Технический аудит · 2026-06-16

rotterdam.nl

Официальный сайт города Роттердам

Rotterdam.nl — официальный сайт города Роттердам. Замер главной страницы: 59 обращений, 5 доменов. Большая часть — собственные ресурсы и функциональные сервисы: чат-бот помощи муниципалитета и инструмент озвучки для доступности. Но до какого-либо выбора пользователя на странице инициализируется сторонняя платформа A/B-тестирования и персонализации, назначение которой — профилировать поведение посетителя ради подбора вариантов страницы. Отдельного видимого механизма согласия в трафике не обнаружено, и в политике эта платформа не названа. Сторонней рекламы, аналитики Google и пикселей соцсетей в замере при этом нет.

Хронология утечки

519 мс · платформа экспериментов и персонализации

Загружается и инициализируется движок сторонней платформы A/B-тестирования и персонализации. Её назначение — присваивать код посетителю и подстраивать содержимое, то есть профилировать поведение. Это происходит на первой секунде, до согласия.

706 мс · озвучка для доступности

Загружается инструмент озвучки страницы — функция доступности, не трекинг.

1256 мс · чат-бот помощи

Загружается виджет чат-бота помощи муниципалитета — функциональный инструмент для вопросов посетителей.

Декларация против факта

+ Kameleoon — не заявлен

Зафиксированные трекеры

Kameleoon (A/B-тесты и персонализация)
Чат-бот муниципалитета (функциональный)
ReadSpeaker (озвучка, функциональный)

Зафиксированные нарушения

Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — платформа экспериментов и персонализации инициализируется до согласия

До какого-либо выбора пользователя на странице загружается и инициализируется сторонняя платформа A/B-тестирования и персонализации. Назначение такой платформы — присваивать посетителю код, оценивать варианты страницы и подстраивать содержимое, то есть профилировать поведение. В этом замере наблюдается загрузка её движка на первой же секунде; отдельного видимого механизма сбора согласия в трафике не обнаружено, и cookie за сеанс не выставлено. Платформа персонализации — нетехническая цель, требующая согласия: даже на этапе инициализации она запускает логику профилирования. По нидерландскому закону о cookie такая платформа должна дожидаться согласия, а здесь её движок разворачивается раньше выбора. Функциональные сервисы на странице — чат-бот помощи и инструмент озвучки — к этому отношения не имеют и относятся к работе сайта.
Art. 13 GDPR — платформа экспериментов и персонализации в политике не названа

Политика сайта не упоминает стороннюю платформу A/B-тестирования и персонализации. То есть сервис, назначение которого — профилировать поведение посетителя ради подбора вариантов страницы, в перечне получателей и используемых средств не раскрыт.

Контекст

www.rotterdam.nl — официальный сайт города Роттердам (Gemeente Rotterdam): муниципальные услуги, информация для жителей, обращения в городские службы. Контролёр данных — муниципалитет Роттердама. Сайт информационный и сервисный.

Замер: 59 обращений к 5 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Технический стек включает функциональные сервисы и одну стороннюю платформу персонализации.

Кто получает данные

Тут была замечена платформа A/B-тестирования и персонализации.

Большая часть обращений — к собственному домену. Из стороннего работают платформа экспериментов и персонализации, чат-бот помощи муниципалитета и инструмент озвучки для доступности. Платформа персонализации по назначению профилирует поведение посетителя, чтобы подбирать варианты страницы. Чат-бот и озвучка — функциональные сервисы. Ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей, ни записи сессий в замере нет.

Был ли баннер согласия

Отдельного видимого механизма сбора согласия в трафике не обнаружено, и cookie за сеанс не выставлено ни одной. При этом платформа персонализации инициализируется уже на первой секунде — то есть раньше любого возможного выбора.

Что срабатывает до согласия

До выбора пользователя инициализируется сторонняя платформа A/B-тестирования и персонализации. В замере наблюдается загрузка её движка; назначение платформы — профилировать поведение для подбора вариантов страницы. Функциональные сервисы — чат-бот и озвучка — относятся к работе сайта и доступности, а не к профилированию.

Важно отметить корректно: в этом замере виден факт загрузки и инициализации платформы, а не отдельный маяк с данными. Но сама инициализация платформы персонализации — это запуск логики профилирования, которая требует согласия.

Нераскрытый сервис

Отдельный пункт. Политика сайта не называет стороннюю платформу A/B-тестирования и персонализации. То есть сервис, профилирующий поведение посетителя ради подбора вариантов страницы, в перечне используемых средств не раскрыт.

Вывод

Rotterdam.nl — умеренный случай. Сторонней рекламы, аналитики Google и пикселей соцсетей на сайте нет, а чат-бот и озвучка функциональны — это в пользу сайта. Но до согласия инициализируется сторонняя платформа A/B-тестирования и персонализации, профилирующая поведение, и в политике она не названа. Главное, что должен вынести читатель: платформа персонализации — не функциональный сервис, а средство профилирования, и её следует либо запускать после согласия, либо раскрывать в политике и держать в режиме ожидания согласия. Достаточно отложить инициализацию платформы до согласия и внести её в перечень используемых средств."

Доказательство

Оригинал (разбор)

HAR-файл: nl/rotterdam-nl-2026-06-16.har

SHA-256: 0cc8a757e0ab52431a7f0f49f7469273378fa71adc5c5ee95a4289b1a5d5203c

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом rotterdam.nl.

2. Обстоятельства
Я посетил сайт rotterdam.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) До какого-либо выбора пользователя на странице загружается и инициализируется сторонняя платформа A/B-тестирования и персонализации. Назначение такой платформы — присваивать посетителю код, оценивать варианты страницы и подстраивать содержимое, то есть профилировать поведение. В этом замере наблюдается загрузка её движка на первой же секунде; отдельного видимого механизма сбора согласия в трафике не обнаружено, и cookie за сеанс не выставлено. Платформа персонализации — нетехническая цель, требующая согласия: даже на этапе инициализации она запускает логику профилирования. По нидерландскому закону о cookie такая платформа должна дожидаться согласия, а здесь её движок разворачивается раньше выбора. Функциональные сервисы на странице — чат-бот помощи и инструмент озвучки — к этому отношения не имеют и относятся к работе сайта.

2) Политика сайта не упоминает стороннюю платформу A/B-тестирования и персонализации. То есть сервис, назначение которого — профилировать поведение посетителя ради подбора вариантов страницы, в перечне получателей и используемых средств не раскрыт.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/rotterdam-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — платформа экспериментов и персонализации инициализируется до согласия; Art. 13 GDPR — платформа экспериментов и персонализации в политике не названа

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]