Технический аудит · 2026-06-16

praxis.nl

Сайт сети товаров для дома и ремонта

Praxis.nl — сайт крупной сети товаров для дома и ремонта. Замер главной страницы: 141 обращение, 19 доменов. На сайте установлена платформа сбора согласия, а политика прямо обещает запрашивать согласие для трекинг-cookie. Но фактически до выбора пользователя платформа персонализации регистрирует визит и шлёт поведенческие события, сервис поиска отправляет данные о поведении, а рекламный пиксель Microsoft срабатывает с событиями действий. Согласие в этом сеансе фиксируется значительно позже — когда эти сервисы уже отработали. В пользу сайта то, что собственный тег Google держится в режиме «согласие не дано», но на персонализацию, поведенческий поиск и рекламу это не распространяется.

Хронология утечки

749 мс · сервис поведенческого поиска

Загружается сервис поиска и подбора товаров, который позже отправит данные о поведении.

751 мс · платформа согласия

Загружается платформа сбора согласия. Механизм согласия предусмотрен, и политика обещает спрашивать согласие для трекинга.

1018 мс · персонализация регистрирует визит

Платформа A/B-тестирования и персонализации регистрирует визит и запрашивает геолокацию. До согласия.

1824 мс · персонализация шлёт поведенческие события

Платформа персонализации отправляет поведенческие события о действиях пользователя. До согласия.

3015 мс · рекламный пиксель Microsoft

Рекламный пиксель Microsoft срабатывает и отправляет события действий. До согласия.

4761 мс · тег Google в режиме «нет согласия»

Собственный тег Google отправляет обращение с сигналом «согласие не дано». Эту часть сайт соблюдает корректно.

4959 мс · поведение поиска уходит сервису

Сервис поиска отправляет данные о поведении пользователя. До согласия.

Декларация против факта

✓ Google Analytics — заявлен

✓ YouTube — заявлен

+ Kameleoon — не заявлен

+ Constructor.io — не заявлен

+ Bing Ads (Microsoft) — не заявлен

Зафиксированные трекеры

Kameleoon (персонализация и события, до согласия)
Constructor.io (поведение поиска, до согласия)
Bing Ads (рекламный пиксель, до согласия)
Google-тег (в режиме «нет согласия»)

Зафиксированные нарушения

Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — персонализация, поведенческий поиск и рекламный пиксель срабатывают до согласия вопреки баннеру и собственному обещанию политики

На сайте установлена платформа сбора согласия, а политика прямо обещает, что для трекинг-cookie запрашивается согласие. Но фактически до того, как пользователь сделал выбор, отрабатывает целый набор нетехнических сервисов. Платформа A/B-тестирования и персонализации регистрирует визит, запрашивает геолокацию и отправляет поведенческие события о действиях пользователя. Сервис поиска и подбора товаров отправляет данные о поведении. Рекламный пиксель Microsoft срабатывает и отправляет события действий. Согласие в этом сеансе фиксируется значительно позже — когда перечисленные сервисы уже отработали. То есть и баннер, и обещание политики на практике не удерживают трекеры. Все эти сервисы — персонализация, поведенческий поиск и реклама — нетехнические цели, требующие согласия. Отдельно отметим в пользу сайта, что собственный тег Google держится в режиме «согласие не дано», но на остальные сервисы это не распространяется.
Art. 13 GDPR — платформа персонализации, сервис поведенческого поиска и рекламный пиксель в основной политике не названы

Основная политика называет аналитику Google и видеоплатформу, но платформа A/B-тестирования и персонализации, сервис поведенческого поиска и рекламный пиксель Microsoft в ней не упомянуты — перечень вынесен в отдельный документ. То есть три сервиса, которые отправляют данные до согласия, в основном тексте политики, описывающем обработку, не раскрыты.

Контекст

www.praxis.nl — сайт крупной нидерландской сети товаров для дома, ремонта и сада. Контролёр данных — Praxis. Сайт коммерческий, интернет-магазин с поиском, подбором и личным кабинетом.

Замер: 141 обращение к 19 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Установлена платформа сбора согласия. Технический стек насыщен сервисами персонализации, поиска и рекламы.

Кто получает данные

Тут были замечены: платформа A/B-тестирования и персонализации, сервис поведенческого поиска, рекламный пиксель Microsoft.

Платформа персонализации регистрирует визит и отправляет поведенческие события. Сервис поиска отправляет данные о поведении. Рекламный пиксель Microsoft передаёт события действий. Принципиальный момент в том, что все они срабатывают до согласия.

Был ли баннер согласия

Да, на сайте установлена платформа сбора согласия, и политика прямо обещает запрашивать согласие для трекинг-cookie. Но фактически согласие в этом сеансе фиксируется значительно позже момента, когда персонализация, поведенческий поиск и рекламный пиксель уже отработали. То есть и баннер, и обещание политики на практике не удерживают эти сервисы.

В пользу сайта стоит отметить, что собственный тег Google держится в режиме «согласие не дано» — эту часть сайт соблюдает корректно.

Что срабатывает до согласия

До согласия отрабатывает:

платформа персонализации — регистрация визита, геолокация и поведенческие события;
сервис поиска — отправка данных о поведении;
рекламный пиксель Microsoft — события действий.

Все эти сервисы — нетехнические цели, требующие согласия. На фоне корректно настроенного режима «нет согласия» для тега Google остальные сервисы отрабатывают раньше выбора, что и составляет нарушение.

Нераскрытые получатели

Отдельный пункт. Основная политика называет аналитику Google и видеоплатформу, но платформа персонализации, сервис поведенческого поиска и рекламный пиксель Microsoft в ней не упомянуты — перечень вынесен в отдельный документ. То есть три сервиса, отправляющие данные до согласия, в основном тексте политики не раскрыты.

Вывод

Praxis.nl — случай, когда механизм согласия есть и политика обещает правильное поведение, но на практике это не выполняется. Платформа персонализации, сервис поведенческого поиска и рекламный пиксель Microsoft отправляют данные раньше выбора пользователя, хотя политика прямо обещает спрашивать согласие для трекинга. Корректно настроен только режим «нет согласия» для тега Google. Главное, что должен вынести читатель: наличие баннера и правильная формулировка в политике ничего не стоят, если персонализация, поведенческий поиск и реклама фактически срабатывают до согласия. Достаточно перевести эти сервисы в режим ожидания согласия — так же, как это уже сделано для тега Google."

Доказательство

Оригинал (разбор)

HAR-файл: nl/praxis-nl-2026-06-16.har

SHA-256: e633f9fdb9c4f19d401215ad579539e6b6256f4efe0dadade7ed51442b3bed3d

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом praxis.nl.

2. Обстоятельства
Я посетил сайт praxis.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте установлена платформа сбора согласия, а политика прямо обещает, что для трекинг-cookie запрашивается согласие. Но фактически до того, как пользователь сделал выбор, отрабатывает целый набор нетехнических сервисов. Платформа A/B-тестирования и персонализации регистрирует визит, запрашивает геолокацию и отправляет поведенческие события о действиях пользователя. Сервис поиска и подбора товаров отправляет данные о поведении. Рекламный пиксель Microsoft срабатывает и отправляет события действий. Согласие в этом сеансе фиксируется значительно позже — когда перечисленные сервисы уже отработали. То есть и баннер, и обещание политики на практике не удерживают трекеры. Все эти сервисы — персонализация, поведенческий поиск и реклама — нетехнические цели, требующие согласия. Отдельно отметим в пользу сайта, что собственный тег Google держится в режиме «согласие не дано», но на остальные сервисы это не распространяется.

2) Основная политика называет аналитику Google и видеоплатформу, но платформа A/B-тестирования и персонализации, сервис поведенческого поиска и рекламный пиксель Microsoft в ней не упомянуты — перечень вынесен в отдельный документ. То есть три сервиса, которые отправляют данные до согласия, в основном тексте политики, описывающем обработку, не раскрыты.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/praxis-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — персонализация, поведенческий поиск и рекламный пиксель срабатывают до согласия вопреки баннеру и собственному обещанию политики; Art. 13 GDPR — платформа персонализации, сервис поведенческого поиска и рекламный пиксель в основной политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]