EUGDPR Audit
RU EN
Технический аудит · 2026-06-16

vno-ncw.nl

Сайт федерации работодателей Нидерландов
NL

Vno-ncw.nl — сайт крупнейшей федерации работодателей Нидерландов. Замер главной страницы: 69 обращений, 15 доменов. В целом согласие настроено аккуратно: рекламная отдача Google до согласия держится в режиме «согласие не дано», а запись сессий, аналитика и собственный сборщик запускаются только после принятия согласия — это в пользу сайта. Но один сбор выпадает из схемы: до согласия страница передаёт IP-адрес посетителя стороннему сервису геолокации, чтобы определить его местоположение. IP-адрес — персональные данные, и здесь он уходит коммерческому стороннему сервису раньше выбора пользователя, причём этот сервис в политике не назван.

Хронология утечки

1201 мс · сборщик тегов
Загружается сборщик тегов, через который позже разворачиваются аналитика и реклама.
1834–2030 мс · реклама Google в режиме «нет согласия»
Рекламная отдача Google отправляет обращения с сигналом «согласие не дано» — неперсонализированно. Эту часть сайт соблюдает корректно.
2011 мс · IP уходит сервису геолокации
Страница обращается к стороннему сервису геолокации по IP и передаёт ему адрес посетителя. Это происходит до согласия и передаёт персональные данные стороннему сервису.
1948 мс · платформа согласия Cookiebot
Загружается платформа сбора согласия Cookiebot. Механизм согласия предусмотрен.
5601 мс · пользователь принимает согласие
Пользователь принимает согласие. После этого запускаются запись сессий, аналитика и собственный сборщик — то есть они корректно дождались выбора.
5710 мс · запись сессий после согласия
Запись сессий загружается только после принятия согласия. Это правильное поведение — она дождалась выбора.
5889 мс · аналитика и собственный сборщик после согласия
Аналитика и собственный сборщик данных отправляют обращения после согласия. Их запуск привязан к выбору пользователя.

Декларация против факта

Google Analytics — заявлен
Hotjar — заявлен
+ extreme-ip-lookup.com — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.vno-ncw.nl — сайт крупнейшей федерации работодателей Нидерландов (VNO-NCW): представление интересов бизнеса, новости, публикации, мероприятия. Контролёр данных — VNO-NCW. Сайт информационный.

Замер: 69 обращений к 15 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Cookiebot. Технический стек включает аналитику, рекламу, запись сессий и сторонний сервис геолокации.

Кто получает данные

Тут были замечены: сторонний сервис геолокации по IP, Google, Hotjar.

Сторонний сервис геолокации получает IP-адрес посетителя, чтобы определить его местоположение. Google присутствует аналитикой и рекламной отдачей. Hotjar ведёт запись сессий. Принципиальная разница в моменте срабатывания: большинство сервисов дожидается согласия, а сервис геолокации — нет.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия Cookiebot, и в этом сеансе пользователь принял согласие. И здесь стоит отметить положительное: рекламная отдача Google до согласия держится в режиме «согласие не дано», а запись сессий, аналитика и собственный сборщик данных запускаются только после принятия. То есть основные средства измерения настроены ждать выбора.

Но один сбор выпадает из схемы: до согласия страница передаёт IP-адрес посетителя стороннему сервису геолокации.

Что срабатывает до согласия

До согласия отрабатывает:

  • передача IP-адреса посетителя стороннему сервису геолокации;
  • рекламная отдача Google — в режиме «согласие не дано» (неперсонализированно).

Рекламная часть Google здесь не претензия — она соблюдает отсутствие согласия. Узловой момент — сервис геолокации: ему уходит IP-адрес, то есть персональные данные, ещё до выбора пользователя.

Что в пользу сайта

Это стоит подчеркнуть, потому что сделано правильно. Запись сессий, аналитика и собственный сборщик данных запускаются только после принятия согласия, а рекламная отдача Google до согласия неперсонализирована. То есть основные средства измерения привязаны к выбору пользователя, и в этом сайт устроен аккуратно.

Нераскрытый получатель

Отдельный пункт. Политика перечисляет средства измерения — аналитику Google, запись сессий, пиксели соцсетей. Но сторонний сервис геолокации по IP, которому передаётся адрес посетителя, в политике не упомянут. То есть получатель IP-адреса в перечне не раскрыт.

Вывод

Vno-ncw.nl — в целом аккуратно настроенный сайт с одной узкой проблемой. Запись сессий, аналитика и собственный сборщик дожидаются согласия, а рекламная отдача Google до согласия неперсонализирована — это выгодно отличает сайт. Но до согласия страница передаёт IP-адрес посетителя стороннему сервису геолокации, и этот сервис в политике не назван. Главное, что должен вынести читатель: даже при правильно настроенном согласии для основных трекеров отдельная передача IP-адреса стороннему сервису раньше выбора остаётся нарушением. Достаточно перевести запрос геолокации в режим ожидания согласия и раскрыть этот сервис в политике — и сайт станет последовательным."

Доказательство
Оригинал (разбор)
HAR-файл: nl/vno-ncw-nl-2026-06-16.har
SHA-256: 749f3f638d8abc5c73b31ef2089eee69be7d8970e78f8cca30d1c64ed6152605
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом vno-ncw.nl.

2. Обстоятельства
Я посетил сайт vno-ncw.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Cookiebot, и в целом она настроена аккуратно: рекламная отдача Google до согласия держится в режиме «согласие не дано» и неперсонализирована, а запись сессий, аналитика и собственный сборщик данных запускаются только после того, как пользователь принял согласие. Это в пользу сайта. Но один сбор выпадает из этой схемы. До согласия страница обращается к стороннему сервису геолокации по IP и передаёт ему адрес посетителя, чтобы определить его местоположение. IP-адрес — персональные данные, и здесь он уходит коммерческому стороннему сервису ещё до того, как пользователь сделал выбор. По нидерландскому закону о cookie и правилам обработки такая передача требует основания, а в этом замере она происходит раньше согласия.

2) Политика подробно перечисляет средства измерения — аналитику Google, запись сессий и пиксели соцсетей. Но сторонний сервис геолокации по IP, которому передаётся адрес посетителя, в политике не упомянут. То есть получатель IP-адреса в перечне не раскрыт.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/vno-ncw-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — IP-адрес посетителя уходит стороннему сервису геолокации до согласия; Art. 13 GDPR — сторонний сервис геолокации по IP в политике не назван

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]