EUGDPR Audit
RU EN
Технический аудит · 2026-06-16

uva.nl

Сайт Амстердамского университета
NL

Uva.nl — сайт Амстердамского университета. Замер главной страницы: 35 обращений, 9 доменов. На сайте есть собственный баннер согласия, но до него уже отрабатывает собственная аналитическая система университета — причём не как обезличенный счётчик. На первой же секунде она присваивает посетителю постоянный идентификатор и запускает модуль записи сессий и тепловых карт, фиксирующий поведение на странице. Дополнительно аналитика Google отправляет обращение с разрешённой аналитикой. То, что измерение развёрнуто на собственном поддомене, не делает его освобождённым: при постоянном идентификаторе и записи сессий это полноценный поведенческий сбор, требующий согласия, а он происходит раньше выбора пользователя.

Хронология утечки

171 мс · собственный баннер согласия
Загружается собственный баннер согласия университета. Механизм согласия предусмотрен — значит то, что отрабатывает раньше выбора, происходит до согласия.
194–320 мс · собственная аналитика с постоянным идентификатором
Собственная аналитическая система университета отправляет просмотр и присваивает посетителю постоянный идентификатор. Это не обезличенный счётчик, а измерение с устойчивым идентификатором, и оно происходит до согласия.
417 мс · запись сессий и тепловые карты
Запускается модуль записи сессий и тепловых карт — фиксация поведения пользователя на странице. До согласия.
833 мс · приватная аналитика
Загружается приватная аналитика Siteimprove, работающая без cookie. Эта часть устроена сдержанно.
6067 мс · аналитика Google с разрешённой аналитикой
Аналитика Google отправляет просмотр с сигналом «аналитика разрешена». Рекламная часть при этом отклонена.
баннер есть, но измерение и запись сессий отработали до выбора
Собственный баннер согласия присутствует, но измерение с постоянным идентификатором и запись сессий к этому моменту уже отработали. Cookie через заголовки за сеанс не выставлено.

Декларация против факта

Siteimprove (приватная аналитика) — заявлен
+ Запись сессий (собственный Matomo) — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.uva.nl — сайт Амстердамского университета (Universiteit van Amsterdam): информация об образовании, исследованиях, поступлении. Контролёр данных — университет. Сайт информационный, с выходом на сервисы для студентов и сотрудников.

Замер: 35 обращений к 9 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный баннер согласия. Аналитический стек включает собственную систему измерения, приватную аналитику и аналитику Google.

Кто получает данные

Тут была замечена аналитика Google, а также собственная аналитическая система университета.

Собственная система измерения развёрнута на собственном поддомене университета и работает на движке с открытым кодом. Она присваивает посетителю постоянный идентификатор и ведёт запись сессий с тепловыми картами. Дополнительно работают приватная аналитика, не ставящая cookie, и аналитика Google. Рекламных сетей и пикселей соцсетей в замере нет.

Был ли баннер согласия

Да, на сайте есть собственный баннер согласия. Но до него уже отрабатывает собственная аналитическая система с постоянным идентификатором и записью сессий. Собственная политика указывает, что cookie ставятся после согласия, когда это необходимо, — однако измерение с идентификатором и запись сессий запускаются раньше выбора.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

  • собственная аналитика — с присвоением постоянного идентификатора;
  • модуль записи сессий и тепловых карт — фиксация поведения;
  • приватная аналитика Siteimprove (без cookie).

Приватная аналитика здесь не претензия — она обезличена и без cookie. Узловой момент — собственная система измерения: при постоянном идентификаторе и записи сессий это полноценный поведенческий сбор, и развёртывание на собственном поддомене не делает его освобождённым.

Почему «собственный поддомен» — не индульгенция

Это важно для понимания. То, что аналитика работает на инфраструктуре университета, действительно лучше, чем передача данных стороннему сервису. Но юридически вопрос не в том, чья инфраструктура, а в характере сбора. Постоянный идентификатор посетителя и запись сессий — это поведенческое профилирование, требующее согласия. Запуск его до согласия противоречит и правилу, и собственной политике сайта, которая обещает ставить cookie после согласия.

Вывод

Uva.nl — случай, когда собственная аналитика университета настроена слишком плотно. На сайте есть баннер согласия, приватная аналитика обезличена, рекламных сетей нет — это в пользу сайта. Но собственная система измерения присваивает постоянный идентификатор и ведёт запись сессий ещё до выбора пользователя, а аналитика Google работает с разрешённой аналитикой. Главное, что должен вынести читатель: размещение аналитики на собственном поддомене не отменяет требования согласия, если она присваивает устойчивый идентификатор и записывает сессии. Достаточно перевести измерение с идентификатором и запись сессий в режим ожидания согласия — как это уже сделано для приватной аналитики."

Доказательство
Оригинал (разбор)
HAR-файл: nl/uva-nl-2026-06-16.har
SHA-256: 762af1737a4ffc55f19fe77023e8c53b4b7edd8424b522c4d3cc6caf3ad8452f
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом uva.nl.

2. Обстоятельства
Я посетил сайт uva.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть собственный баннер согласия, но до него уже отрабатывает собственная аналитическая система университета. И она настроена не как обезличенный счётчик: на первой же секунде она присваивает посетителю постоянный идентификатор и отправляет его на свои серверы, а также запускает модуль записи сессий и тепловых карт, фиксирующий поведение пользователя на странице. То, что аналитика развёрнута на собственном поддомене университета, не делает её освобождённой: при постоянном идентификаторе и записи сессий это полноценный поведенческий сбор, требующий согласия. Дополнительно аналитика Google отправляет обращение с разрешённой аналитикой. Запись сессий и поведенческая аналитика с устойчивым идентификатором — нетехнические цели, требующие согласия, а здесь они отрабатывают раньше выбора пользователя. Собственная политика при этом указывает, что cookie ставятся после согласия, когда это необходимо, — но измерение с идентификатором и запись сессий запускаются до него.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/uva-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — собственная аналитика с записью сессий и постоянным идентификатором работает до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]