Технический аудит обработки персональных данных on GDPR Audit

Предмет и цели

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 1 формулирует цель GDPR в трёх частях.

1(1) — Предмет регламента

GDPR устанавливает правила:

защиты физических лиц при обработке их персональных данных,
свободного перемещения персональных данных внутри Союза.

1(2) — Защищаемые ценности

Регламент защищает фундаментальные права и свободы физических лиц, в особенности — право на защиту персональных данных (Art. 8 Хартии основных прав ЕС).

1(3) — Свободное перемещение

Свободное перемещение персональных данных внутри Союза не должно ограничиваться или запрещаться по причинам защиты данных.

Материальная сфера применения

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 2 — материальная сфера применения GDPR. Когда регламент применяется к обработке, а когда нет.

2(1) — Когда применяется

GDPR применяется к обработке персональных данных:

полностью или частично автоматизированной;
неавтоматизированной, если данные входят в файловую систему или предназначены для неё.

2(2) — Когда НЕ применяется

GDPR не применяется к обработке данных:

(a) в ходе деятельности, выходящей за рамки права ЕС;

(b) государствами-членами в области общей внешней политики и политики безопасности;

Территориальная сфера применения

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 3 определяет, когда GDPR применяется. Это ключевой вопрос: «попадает ли эта компания под GDPR».

3(1) — Контролёры и обработчики в ЕС

GDPR применяется к обработке персональных данных в контексте деятельности подразделения контролёра или обработчика в Союзе — независимо от того, происходит ли сама обработка в Союзе.

Даже если технически данные обрабатываются на серверах вне ЕС, наличие филиала в ЕС — достаточно.

GDPR применяется к обработке данных субъектов в Союзе контролёром или обработчиком не находящимся в Союзе, если обработка связана с:

Определения

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 4 — словарь GDPR, 26 определений ключевых терминов. Самая длинная статья регламента и одна из главных для аудитов.

Ключевые определения

4(1) — Персональные данные. Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Идентифицируемое лицо — то, которое может быть идентифицировано прямо или косвенно: по имени, идентификационному номеру, данным о местонахождении, онлайн-идентификатору, или по факторам физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности.

Это шире, чем кажется. Cookie ID, IP-адрес, отпечаток браузера, рекламный ID — всё это персональные данные, потому что позволяют косвенно идентифицировать лицо. Этот пункт — центральный почти во всех AdTech-спорах.

Принципы обработки персональных данных

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 5 — семь принципов обработки персональных данных. Это юридический фундамент всего регламента. Любое нарушение GDPR можно свести к нарушению одного из этих принципов.

5(1) — Семь принципов

(a) Законность, справедливость и прозрачность. Обработка должна быть законной (на одном из оснований Art. 6), справедливой и прозрачной для субъекта данных.

(b) Ограничение целью. Данные собираются для конкретных, явных и законных целей и не обрабатываются дальше способом, несовместимым с этими целями.

Правомерность обработки

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 6 — шесть оснований законности обработки. Любая обработка данных должна опираться хотя бы на одно из этих оснований. Без основания обработка незаконна (нарушение Art. 5(1)(a) и Art. 6).

6(1) — Шесть оснований

(a) Согласие. Субъект данных дал согласие на обработку для одной или нескольких конкретных целей. Согласие определено в Art. 4(11) и Art. 7.

(b) Исполнение договора. Обработка необходима для исполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта до заключения договора. Покупка в интернет-магазине — пример.

Условия согласия

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 7 — условия действительного согласия. Расшифровка определения из Art. 4(11). Если согласие не соответствует этим условиям — оно не считается полученным, и обработка незаконна.

7(1) — Бремя доказывания

Контролёр должен быть способен продемонстрировать, что субъект данных дал согласие на обработку.

То есть бремя доказывания лежит на контролёре, а не на субъекте. Если нет записи о согласии — согласия нет.

7(2) — Форма запроса согласия

Если согласие даётся в письменном заявлении, которое касается также других вопросов, запрос на согласие должен быть представлен ясно и отличимо от других вопросов, в понятной и легко доступной форме, ясным и простым языком.

Согласие ребёнка в отношении услуг информационного общества

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 8 — согласие ребёнка в отношении услуг информационного общества (онлайн-сервисов).

8(1) — Возраст согласия

Когда применяется Art. 6(1)(a) (согласие) для предложения услуг информационного общества непосредственно ребёнку, обработка ребёнка законна, если ребёнку не менее 16 лет.

Если ребёнок младше 16, обработка законна только если и в той мере, в какой согласие даётся или одобряется лицом, несущим родительскую ответственность.

Государства-члены могут законодательно установить более низкий возраст, но не ниже 13 лет.

Обработка особых категорий персональных данных

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 9 — особые категории данных. Обработка этих категорий по умолчанию запрещена и разрешена только в строго оговорённых случаях.

9(1) — Запрет

Запрещена обработка персональных данных, раскрывающих:

расовое или этническое происхождение,
политические взгляды,
религиозные или философские убеждения,
членство в профсоюзах,
генетические данные,
биометрические данные для уникальной идентификации физического лица,
данные о состоянии здоровья,
данные о половой жизни или сексуальной ориентации.

9(2) — Десять исключений

Запрет не применяется, если:

Обработка данных о судимостях и правонарушениях

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 10 — данные о судимостях и правонарушениях. Отдельный режим, более жёсткий, чем общий.

Содержание

Обработка персональных данных, касающихся уголовных судимостей и правонарушений или связанных с этим мер безопасности, основанная на Art. 6(1), может осуществляться только под контролем официального органа или когда обработка разрешена правом ЕС или государства-члена, предусматривающим надлежащие гарантии прав и свобод субъектов.

Любой полный реестр уголовных судимостей может вестись только под контролем официального органа.

Обработка, не требующая идентификации

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 2 регламента — “Принципы”.

Подробный пересказ статьи будет добавлен в следующих обновлениях. Пока вы можете ознакомиться с другими статьями этой главы или прочитать оригинальный текст на eur-lex.europa.eu.

Прозрачность информирования

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 12 — обязанность прозрачности и формы коммуникации с субъектом данных. Это «зонтик» для статей 13–22 (информирование, права субъекта).

12(1) — Форма информирования

Контролёр должен предоставлять субъекту любую информацию (по Art. 13, 14) и любую коммуникацию (по Art. 15–22) в:

сжатой,
прозрачной,
понятной и
легко доступной форме,

с использованием ясного и простого языка, особенно для информации, адресованной ребёнку.

Информация предоставляется письменно или иными средствами, включая электронные. При запросе субъекта — устно.

Информация при сборе данных у субъекта

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 13 — какую информацию контролёр обязан предоставить субъекту в момент сбора данных непосредственно у субъекта.

13(1) — Обязательная информация при сборе

В момент получения данных контролёр обязан сообщить:

(a) идентичность и контактные данные контролёра и (при наличии) его представителя в ЕС;

(b) контактные данные DPO (если назначен);

(c) цели обработки и правовое основание (одно из Art. 6(1));

(d) законные интересы — если применяется основание 6(1)(f);

Информация, когда данные получены не от субъекта

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 14 — какую информацию контролёр обязан предоставить субъекту, когда данные получены не от него лично (от третьих лиц, из публичных источников, и т. д.).

14(1) — Обязательная информация

17(1) — Когда можно требовать удаления

Субъект имеет право на удаление данных без неоправданной задержки, если применимо одно из:

(a) данные больше не необходимы для целей, для которых собирались; (b) субъект отозвал согласие и нет иного правового основания; (c) субъект возразил против обработки по Art. 21 и нет преимущественных законных интересов; (d) данные обрабатывались незаконно; (e) удаление требуется для соблюдения правовой обязанности по праву Союза или государства-члена; (f) данные собирались у ребёнка в связи с услугами информационного общества (Art. 8).

Право на ограничение обработки

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 18 — право на ограничение обработки. Промежуточное состояние: данные не удаляются, но и не обрабатываются активно.

18(1) — Когда можно требовать ограничения

Субъект имеет право требовать ограничения обработки, если:

(a) точность данных оспаривается субъектом — на период, необходимый контролёру для проверки точности; (b) обработка незаконна, и субъект возражает против удаления и требует ограничения вместо удаления; (c) контролёр больше не нуждается в данных, но они нужны субъекту для установления, осуществления или защиты правовых требований; (d) субъект возразил против обработки по Art. 21(1) — на период проверки, преобладают ли законные интересы контролёра.

Обязанность уведомлять об исправлении, удалении или ограничении

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 3 регламента — “Права субъекта данных”.

Право на переносимость данных

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 20 — право на переносимость данных. Возможность забрать свои данные у одного сервиса и передать другому.

20(1) — Право получения данных

Субъект имеет право получить персональные данные, которые он предоставил контролёру, в структурированном, общеупотребительном и машиночитаемом формате, и право передать эти данные другому контролёру без препятствий со стороны контролёра, которому данные были предоставлены, если:

(a) обработка основана на согласии (Art. 6(1)(a) или 9(2)(a)) или на договоре (Art. 6(1)(b));

Право возражать против обработки

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 21 — право возражать против обработки. Одно из самых сильных прав в GDPR.

21(1) — Общее возражение

Субъект имеет право в любое время возразить по причинам, относящимся к его конкретной ситуации, против обработки на основании:

Art. 6(1)(e) — публичный интерес или официальные полномочия,
Art. 6(1)(f) — законные интересы,
включая профилирование на этих основаниях.

Контролёр больше не может обрабатывать данные, если только он не докажет:

обязательные законные основания, преобладающие интересы или права и свободы субъекта,
или необходимость для установления, осуществления или защиты правовых требований.

21(2) — Прямой маркетинг

Если данные обрабатываются для прямого маркетинга, субъект имеет право в любое время возразить — включая профилирование в той мере, в какой оно связано с таким маркетингом.

Автоматизированные решения, включая профилирование

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 22 — право не быть подвергнутым автоматизированному решению, включая профилирование. Одна из самых актуальных статей в эпоху AI.

22(1) — Общее правило

Субъект имеет право не быть подвергнутым решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое порождает в отношении него правовые последствия или существенно затрагивает его.

«Существенно затрагивает» — широкое понятие: отказ в кредите, отказ в работе, ограничение доступа к услугам, изменение цены — всё это сюда попадает.

Ограничения прав

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 3 регламента — “Права субъекта данных”.

Ответственность контролёра

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Защита данных по умолчанию и при проектировании

Mon, 01 Jan 0001 00:00:00 +0000

Обработчик не должен привлекать другого обработчика без предварительного письменного разрешения контролёра — общего или конкретного.

28(3) — Содержание соглашения

Обработка обработчиком регулируется договором или иным правовым актом по праву ЕС или государства-члена, который связывает обработчик в отношении контролёра.

Обработка по поручению контролёра или обработчика

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Записи об обработке (реестр обработки)

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 30 — реестр обработки. Обязательный документ, который каждый контролёр (с исключениями) должен вести и предоставлять DPA по запросу.

30(1) — Реестр контролёра

Каждый контролёр (и, если применимо, его представитель) ведёт реестр операций обработки под его ответственностью. Реестр должен содержать:

(a) имя и контактные данные контролёра, совместных контролёров, представителя, DPO; (b) цели обработки; (c) описание категорий субъектов данных и категорий персональных данных; (d) категории получателей, включая получателей в третьих странах; (e) при передаче в третью страну — идентификация страны и документация надлежащих гарантий; (f) где возможно — предполагаемые сроки удаления различных категорий данных; (g) где возможно — общее описание технических и организационных мер безопасности по Art. 32(1).

Если нарушение безопасности вероятно повлечёт высокий риск для прав и свобод физических лиц, контролёр обязан сообщить о нарушении субъекту данных без неоправданной задержки.

34(2) — Содержание сообщения

Сообщение должно описывать ясным и простым языком:

характер нарушения;
имя и контакты DPO или другой контактной точки;
вероятные последствия;
меры, принятые или предложенные.

34(3) — Исключения

Сообщение не требуется, если:

Оценка воздействия на защиту данных (DPIA)

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 35 — Оценка воздействия на защиту данных (DPIA, Data Protection Impact Assessment). Контролёр обязан её проводить до начала обработки, если есть высокий риск.

35(1) — Когда обязательно

Если тип обработки, особенно с использованием новых технологий, и с учётом её характера, объёма, контекста и целей, может привести к высокому риску для прав и свобод физических лиц, контролёр до начала обработки должен провести оценку воздействия.

35(3) — Обязательные случаи

DPIA обязательно требуется в случае:

Предварительная консультация с надзорным органом

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Назначение Data Protection Officer (DPO)

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 37 — когда назначение DPO (Data Protection Officer) обязательно.

37(1) — Обязательные случаи

Контролёр и обработчик должны назначить DPO в любом случае, когда:

(a) обработка осуществляется публичным органом или организацией — за исключением судов в их судебной функции;

(b) основная деятельность контролёра или обработчика состоит из операций, требующих регулярного и систематического мониторинга субъектов в большом масштабе;

(c) основная деятельность состоит из обработки в большом масштабе особых категорий данных (Art. 9) или данных о судимостях (Art. 10).

Положение DPO

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Задачи DPO

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Кодексы поведения

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Мониторинг утверждённых кодексов поведения

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Сертификация

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Органы сертификации

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 4 регламента — “Контролёр и обработчик”.

Общий принцип передачи данных

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 44 — общий принцип передачи персональных данных в третьи страны (вне ЕЭЗ).

Содержание

Любая передача персональных данных, обрабатываемых или предназначенных для обработки после передачи в третью страну или международную организацию, должна происходить только при соблюдении контролёром и обработчиком условий, изложенных в этой главе (Art. 44–50).

Также последующая передача этими третьими странами или международными организациями другим третьим странам или международным организациям должна происходить с соблюдением условий главы V.

Передача на основании решения об адекватности

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 45 — передача на основании решения об адекватности.

45(1) — Что такое адекватность

Передача персональных данных в третью страну или международную организацию может происходить, если Комиссия ЕС решила, что третья страна, территория, сектор или международная организация обеспечивает адекватный уровень защиты. Такая передача не требует специального разрешения.

45(2) — Что Комиссия оценивает

При оценке адекватности Комиссия учитывает:

(a) верховенство права, уважение прав человека и основных свобод, действующее законодательство, как общее, так и секторальное;

Передача при наличии надлежащих гарантий

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 46 — передача при наличии надлежащих гарантий. Самое часто используемое основание для трансатлантической передачи данных.

46(1) — Принцип

Если отсутствует решение об адекватности (Art. 45), контролёр или обработчик может передавать данные в третью страну только при условии надлежащих гарантий и при условии, что у субъектов есть обеспеченные правом права и эффективные средства правовой защиты.

46(2) — Виды гарантий, не требующих разрешения DPA

(a) юридически обязательный и подлежащий принудительному исполнению инструмент между публичными органами;

Обязательные корпоративные правила (BCR)

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 47 — обязательные корпоративные правила (BCR, Binding Corporate Rules). Внутрикорпоративный механизм для трансграничной передачи внутри международной группы.

47(1) — Утверждение DPA

Компетентный надзорный орган утверждает BCR в соответствии с механизмом согласованности (Art. 63), при условии что они:

(a) юридически обязательны и применяются ко всем заинтересованным членам корпоративной группы или группы предприятий, занимающихся совместной экономической деятельностью, включая их сотрудников;

(b) явно предоставляют принудительно осуществимые права субъектам данных в отношении обработки их данных;

Передачи или раскрытия, не разрешённые правом Союза

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 5 регламента — “Передача в третьи страны”.

Дерогации в специфических ситуациях

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 49 — дерогации для специфических ситуаций. Исключения, когда передача в третью страну разрешена даже без решения об адекватности (Art. 45) или гарантий (Art. 46).

49(1) — Допустимые случаи

При отсутствии решения об адекватности и надлежащих гарантий, передача допускается только если применяется одно из:

(a) явное согласие субъекта на предлагаемую передачу, информирование о возможных рисках; (b) передача необходима для исполнения договора между субъектом и контролёром или принятия мер до договора по запросу субъекта; (c) передача необходима для заключения или исполнения договора в интересах субъекта между контролёром и другим физическим или юридическим лицом; (d) передача необходима по важным причинам публичного интереса; (e) передача необходима для установления, осуществления или защиты правовых требований; (f) передача необходима для защиты жизненно важных интересов субъекта или других лиц, когда субъект физически или юридически не способен дать согласие; (g) передача из публичного реестра.

Международное сотрудничество по защите данных

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 5 регламента — “Передача в третьи страны”.

Надзорный орган

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 6 регламента — “Независимые надзорные органы”.

Независимость

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 6 регламента — “Независимые надзорные органы”.

Общие условия для членов надзорного органа

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 6 регламента — “Независимые надзорные органы”.

Правила учреждения надзорного органа

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 6 регламента — “Независимые надзорные органы”.

Компетенция

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 6 регламента — “Независимые надзорные органы”.

Компетенция ведущего надзорного органа

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 56 — компетенция ведущего надзорного органа (lead supervisory authority). One-stop-shop механизм.

56(1) — Принцип ведущего DPA

Без ущерба для Art. 55, надзорный орган государства-члена, где находится главное местонахождение контролёра или обработчика, или его единственное местонахождение в ЕС, является ведущим органом для трансграничной обработки этого контролёра или обработчика.

56(2) — Дерогация: «местный случай»

Каждый надзорный орган имеет компетенцию рассматривать жалобу, поданную ему, или возможное нарушение, если предмет касается только подразделения в его государстве-члене или существенно затрагивает субъектов только в этом государстве-члене.

Задачи надзорного органа

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 57 — задачи надзорного органа. Перечень того, что DPA обязан делать.

57(1) — Список задач

Без ущерба для других задач по GDPR, каждый надзорный орган на своей территории:

(a) контролирует и обеспечивает применение GDPR;

(b) способствует осведомлённости общественности и пониманию рисков, правил, гарантий и прав;

(c) консультирует национальный парламент, правительство и другие учреждения по законодательным и административным мерам, относящимся к защите прав и свобод физических лиц;

Полномочия надзорного органа

Mon, 01 Jan 0001 00:00:00 +0000

О чём эта статья

Статья 58 — полномочия надзорного органа. Перечень того, что DPA может делать.

58(1) — Полномочия по расследованию

Каждый надзорный орган имеет полномочия:

(a) приказать контролёру или обработчику предоставить любую информацию для выполнения задач;

(b) проводить расследования в форме аудитов защиты данных;

(c) проводить пересмотр сертификатов;

(d) уведомлять контролёра или обработчика о предполагаемом нарушении;

(e) получать доступ ко всем персональным данным и информации, необходимым для выполнения задач;

Отчёты о деятельности

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 6 регламента — “Независимые надзорные органы”.

Сотрудничество ведущего и других надзорных органов

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Взаимная помощь

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Совместные операции надзорных органов

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Механизм согласованности

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Заключение Европейского совета

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Разрешение споров Европейским советом

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Процедура срочности

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Обмен информацией

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Европейский совет по защите данных (EDPB)

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Независимость EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Задачи EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Отчёты EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Процедура EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Председатель EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Задачи председателя EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Секретариат EDPB

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 7 регламента — “Сотрудничество и согласованность”.

Конфиденциальность EDPB

подать жалобу от его имени,
осуществлять права по Art. 77, 78, 79,
осуществлять право на компенсацию по Art. 82, если это предусмотрено правом государства-члена.

80(2) — Без полномочий

Государства-члены могут предоставить таким органам право подавать жалобу независимо от поручения субъекта и осуществлять права по Art. 77, 78, 79, если считают, что права субъекта нарушены.

Приостановление производства

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 8 регламента — “Средства защиты, ответственность, санкции”.

Право на компенсацию и ответственность

Государства-члены устанавливают правила о других санкциях за нарушения GDPR, в особенности за нарушения, не подлежащие административным штрафам по Art. 83, и принимают все меры, необходимые для обеспечения их применения.

Такие санкции должны быть эффективными, пропорциональными и сдерживающими.

84(2) — Уведомление Комиссии

Каждое государство-член уведомляет Комиссию о положениях национального права не позднее 25 мая 2018 года, и о любых последующих изменениях.

Обработка и свобода выражения и информации

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Обработка и публичный доступ к официальным документам

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Обработка национального идентификационного номера

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Обработка в контексте трудовых отношений

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Гарантии и дерогации для архивных, научных, исторических и статистических целей

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Обязательства профессиональной тайны

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Существующие правила защиты данных церквей и религиозных объединений

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 9 регламента — “Положения для специфических ситуаций”.

Осуществление делегирования

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 10 регламента — “Делегированные акты”.

Процедура комитета

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 10 регламента — “Делегированные акты”.

Отмена Директивы 95/46/ЕС

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 11 регламента — “Заключительные положения”.

Связь с Директивой 2002/58/ЕС (ePrivacy)

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 11 регламента — “Заключительные положения”.

Связь с ранее заключёнными соглашениями

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 11 регламента — “Заключительные положения”.

Отчёты Комиссии

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 11 регламента — “Заключительные положения”.

Пересмотр других правовых актов Союза о защите данных

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 11 регламента — “Заключительные положения”.

Вступление в силу и применение

Mon, 01 Jan 0001 00:00:00 +0000

Эта статья относится к Главе 11 регламента — “Заключительные положения”.

autotrack.nl

Tue, 23 Jun 2026 00:00:00 +0300

Контекст

www.autotrack.nl — одна из крупных нидерландских площадок объявлений о продаже автомобилей. Контролёр данных по отдаваемой сайтом политике — AutoScout24 Nederland B.V. (часть группы AutoScout24); монетизация рекламы на площадке обслуживается через DPG Media. Сайт коммерческий, с поиском по объявлениям и рекламной моделью.

Замер: 89 обращений к 15 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Отдельно отмечу: обращения к edge.microsoft.com в этом замере — это встроенная функция перевода страницы в браузере Edge, а не трекинг сайта; домен cdn.amv.nl обслуживает изображения (контент). На сайте есть механизм согласия — AutoScout24 Privacy Manager.

bol.com

Tue, 23 Jun 2026 00:00:00 +0300

Контекст

www.bol.com — крупнейший интернет-магазин Нидерландов и Бельгии (маркетплейс с собственным ассортиментом и продавцами-партнёрами, личный кабинет, программа доставки). Контролёр данных — bol.com b.v. (Утрехт, Нидерланды). Сайт коммерческий.

Замер: 160 обращений к 8 доменам, главная страница, снят на чистом браузере без VPN и блокировщика; вход через переадресацию с www.bol.com на /nl/nl/. Принципиальная особенность — почти все домены собственные, сайт работает как замкнутая экосистема. На сайте есть собственный механизм согласия.

Кто получает данные

Сторонних коммерческих получателей данных до согласия в этом сеансе нет.

coolblue.nl

Tue, 23 Jun 2026 00:00:00 +0300

Контекст

www.coolblue.nl — сайт Coolblue, одного из крупнейших интернет-магазинов электроники и бытовой техники в Нидерландах и Бельгии (каталог, личный кабинет, доставка и установка). Контролёр данных — Coolblue B.V. (Роттердам, Нидерланды). Сайт коммерческий.

Замер: 143 обращения к 11 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Согласие на сайте реализовано через режим Consent Mode.

Кто получает данные

Напрямую до согласия: Google (Analytics), Crazy Egg, Optimizely.

Google Analytics 4 отправляет события на region1.google-analytics.com — session_start, page_view, прокрутку и конверсию. Crazy Egg (script.crazyegg.com, tracking.crazyegg.com) ведёт запись сессий, тепловые карты и опросы. Optimizely (cdn.optimizely.com, eu.logx.optimizely.com) проводит A/B-эксперименты и отправляет события на свой лог-коллектор. Из первичного — real-time-соединение mimir.coolblue.nl на собственном домене (websocket).

docmorris.de

Tue, 23 Jun 2026 00:00:00 +0300

Контекст

decathlon.it

Sat, 20 Jun 2026 00:00:00 +0300

Контекст

www.decathlon.it — интернет-магазин спортивных товаров, итальянская версия международной сети Decathlon. Контролёр данных — оператор Decathlon. Сайт коммерческий: каталог, поиск, корзина, личный кабинет.

Замер: 158 обращений к 7 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Didomi. Принципиальная особенность для коммерческого сайта — почти все домены собственные.

Кто получает данные

Сторонних рекламных получателей нет.

Аналитика развёрнута на собственном домене Decathlon (insights) и собирает события просмотра страницы и видимости контента. Дополнительно работает собственный трекер-скрипт Decathlon. Из внешнего — только менеджер тегов Google (он загрузился, но Google Analytics в сеансе не запустил) и платформа сбора согласия Didomi. Ни рекламных сетей, ни пикселей соцсетей, ни рекламных бирж, ни записи сессий в замере нет.

esselunga.it

Sat, 20 Jun 2026 00:00:00 +0300

Контекст

www.esselunga.it — сайт Esselunga, итальянской сети супермаркетов. Контролёр данных — Esselunga S.p.A. Сайт коммерческий: каталог товаров, акции, личный кабинет, раздел парафармацевтики, оформление заказов.

Замер: 95 обращений к 7 доменам, главная страница. Стоит платформа сбора согласия Axeptio. Из обращений нужно сразу вычесть одно: домен edge.microsoft.com в сеансе — это встроенный переводчик браузера Edge (перевод страницы), он не загружается сайтом и получателем данных сайта не является. Реально сторонних к сайту здесь два: платформа согласия Axeptio и контейнер Google Tag Manager.

euronics.it

Sat, 20 Jun 2026 00:00:00 +0300

Контекст

www.euronics.it — сеть магазинов электроники и бытовой техники. Контролёр данных — оператор Euronics. Сайт коммерческий: каталог, поиск, корзина, личный кабинет, рассрочка.

Замер: 211 обращений к 26 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек — один из самых нагруженных поведенческой слежкой среди коммерческих сайтов.

Кто получает данные

Кто получает данные

Тут был замечен: сторонний антифрод-сервис.

Основной внешний получатель — антифрод-сервис, снимающий отпечаток устройства и проверяющий параметры соединения для выявления мошенничества и ботов. Остальное — собственное: служба событий Just Eat, мониторинг Datadog и сервис опросов Usabilla. Рекламных сетей, аналитики Google, пикселей соцсетей и программатик-бирж в замере нет.

leroymerlin.it

Sat, 20 Jun 2026 00:00:00 +0300

Контекст

www.leroymerlin.it — сеть гипермаркетов товаров для дома, строительства и ремонта (головная группа Adeo). Контролёр данных — оператор Leroy Merlin. Сайт коммерческий: каталог, поиск, корзина, услуги, личный кабинет.

Замер: 158 обращений к 17 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек включает собственный трекинг головной группы, платформу клиентских данных и мониторинг сессий.

Кто получает данные

Тут были замечены: Adeo (Optimeeze), Tealium, Datadog.

ovs.it

Sat, 20 Jun 2026 00:00:00 +0300

Контекст

www.ovs.it — сеть магазинов одежды, один из крупных итальянских ретейлеров одежды. Контролёр данных — оператор OVS. Сайт коммерческий: каталог, поиск, корзина, личный кабинет, обслуживание клиентов через чат.

Замер: 278 обращений к 24 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек включает профилирование Salesforce, рекламный ретаргетинг и аналитику.

Кто получает данные

Тут были замечены: Salesforce, Blueknow, Google.

Salesforce представлен профилирующими сервисами — персонализацией и движком рекомендаций, а также инфраструктурой личного кабинета и чата поддержки. Blueknow — сервис рекламного ретаргетинга (догоняющей рекламы). Google — аналитикой. Дополнительно работают визуальная витрина LiveStory, сервис опросов Usabilla, защита от мошенничества Opticks и собственная аналитическая прослойка сайта.

prenatal.com

Sat, 20 Jun 2026 00:00:00 +0300

Контекст

Кто получает данные

Тут были замечены: Cobrowse.io (со-браузинг), Salesforce (чат поддержки).

anp.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.anp.nl — сайт национального информационного агентства Нидерландов (Algemeen Nederlands Persbureau): новостная лента, фотобанк, услуги для редакций. Контролёр данных — ANP. Сайт информационный, с выходом на сервисы для медиа.

Замер: 51 обращение к 16 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте установлен собственный баннер согласия. Технический стек для информационного агентства насыщен трекерами.

Сторонних получателей нет.

cbs.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.cbs.nl — сайт центрального статистического бюро Нидерландов (Centraal Bureau voor de Statistiek): официальная статистика, данные, публикации. Контролёр данных — CBS, государственная организация. Сайт информационный.

Замер: 38 обращений к 13 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Технический стек сдержанный.

Кто получает данные

Сторонних коммерческих получателей нет.

Веб-статистику бюро ведёт на собственном аккаунте платформы Piwik PRO. Дополнительно работают пассивный инструмент опросов, видеоплатформа для предпросмотра роликов и функциональные библиотеки интерфейса. Ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей, ни записи сессий в замере нет.

defensie.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.defensie.nl — официальный сайт Министерства обороны Нидерландов (Ministerie van Defensie): информация о вооружённых силах, операциях, вакансиях и деятельности ведомства. Контролёр данных — Министерство обороны. Сайт информационный.

Замер: 46 обращений к 3 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Технический стек предельно минимален.

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.gamma.nl — нидерландская сеть магазинов товаров для дома, строительства и ремонта. Контролёр данных — оператор GAMMA. Сайт коммерческий: каталог, поиск, корзина, личный кабинет, оформление заказа.

Замер: 113 обращений к 20 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек включает рекламный пиксель и аналитику. Сайт работает под надзором нидерландского регулятора и нидерландского закона о cookie, который требует согласия до размещения и чтения нетехнических трекеров.

government.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.government.nl — официальный портал правительства Нидерландов (англоязычная версия Rijksoverheid): информация о государственной политике, ведомствах, услугах. Контролёр данных — правительство Нидерландов. Сайт информационный.

Замер: 35 обращений к 4 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Сайт работает на государственной платформе и использует только государственные сервисы.

Кто получает данные

Сторонних коммерческих получателей нет.

Внешних сервисов только два, и оба — государственная инфраструктура: централизованная веб-статистика правительства на платформе Piwik PRO в обезличенном режиме и собственная опросная платформа правительства для сбора обратной связи. Ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей, ни записи сессий в замере нет.

ind.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.ind.nl — сайт иммиграционной и натурализационной службы Нидерландов (Immigratie- en Naturalisatiedienst): оформление видов на жительство, гражданства, виз. Контролёр данных — IND, государственный орган. Это особо чувствительная категория: посетители — иностранцы и мигранты, а сведения касаются их правового статуса.

Замер: 40 обращений к 4 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Технический стек минимален: собственная обезличенная статистика и чат-бот поддержки.

Кто получает данные

Сторонних рекламных получателей нет.

kadaster.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.kadaster.nl — сайт Кадастра Нидерландов (Het Kadaster): государственный земельный реестр, регистрация недвижимости и прав на неё, картографические данные. Контролёр данных — Kadaster, государственная организация. Сайт информационный и сервисный.

Замер: 77 обращений к 4 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный баннер cookie. Технический стек минимален.

Кто получает данные

Сторонних коммерческих получателей нет.

Единственный внешний сервис — собственная веб-статистика Kadaster на платформе Piwik PRO, развёрнутая под собственным аккаунтом организации и настроенная обезличенно. Ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей, ни записи сессий в замере нет.

kvk.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.kvk.nl — сайт Торговой палаты Нидерландов (Kamer van Koophandel): регистрация предприятий, торговый реестр, сведения о компаниях, услуги для предпринимателей. Контролёр данных — KVK, государственная организация. Сайт информационный и сервисный.

Замер: 109 обращений к 18 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный баннер согласия. Технический стек для государственного реестра насыщенный: аналитика, сторонний сбор данных, чат поддержки и опросы.

Кто получает данные

Тут были замечены: Google, Cloud Nine Digital.

logius.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.logius.nl — сайт государственного агентства цифровой инфраструктуры Нидерландов (Logius): цифровая идентификация DigiD, портал MijnOverheid, государственная аутентификация и стандарты. Контролёр данных — Logius, часть государственного аппарата. Сайт информационный.

Замер: 33 обращения к 4 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Сайт использует только государственную инфраструктуру.

Кто получает данные

Сторонних коммерческих получателей нет.

Внешних сервисов только два, и оба — государственная инфраструктура: централизованная веб-статистика правительства на платформе Piwik PRO в обезличенном режиме и собственный технический мониторинг ошибок и безопасности. Ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей, ни записи сессий в замере нет.

mediamarkt.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.mediamarkt.nl — сайт крупной нидерландской сети магазинов бытовой электроники (часть группы MediaMarktSaturn). Контролёр данных — MediaMarkt. Сайт коммерческий, интернет-магазин с каталогом, поиском и личным кабинетом.

Замер: 107 обращений к 11 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный механизм согласия. Технический стек для интернет-магазина выглядит нетипично сдержанным.

Кто получает данные

Из сторонних сервисов до согласия активен только сервис защиты от мошенничества.

ncsc.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.ncsc.nl — сайт Национального центра кибербезопасности Нидерландов (Nationaal Cyber Security Centrum): предупреждения об угрозах, рекомендации по безопасности, реагирование на инциденты. Контролёр данных — NCSC, государственная организация. Сайт информационный.

Замер: 42 обращения к 4 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Технический стек минимален.

Кто получает данные

Сторонних коммерческих получателей нет.

Внешних сервисов два, и оба сдержанные: централизованная веб-статистика правительства на платформе Piwik PRO в обезличенном режиме и самостоятельно размещённый мониторинг ошибок — технический инструмент отслеживания сбоев. Ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей, ни записи сессий в замере нет.

nctv.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.nctv.nl — сайт национального координатора по борьбе с терроризмом и безопасности Нидерландов (NCTV): оценка террористической угрозы, координация национальной безопасности, кибербезопасность и кризисное управление. Контролёр данных — NCTV, часть государственного аппарата. Сайт информационный.

Замер: 43 обращения к 3 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Внешняя поверхность сведена к минимуму.

Кто получает данные

Тут была замечена аналитика Google, а также собственная аналитическая система университета.

vno-ncw.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.vno-ncw.nl — сайт крупнейшей федерации работодателей Нидерландов (VNO-NCW): представление интересов бизнеса, новости, публикации, мероприятия. Контролёр данных — VNO-NCW. Сайт информационный.

Замер: 69 обращений к 15 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Cookiebot. Технический стек включает аналитику, рекламу, запись сессий и сторонний сервис геолокации.

Кто получает данные

Тут были замечены: сторонний сервис геолокации по IP, Google, Hotjar.

Сторонний сервис геолокации получает IP-адрес посетителя, чтобы определить его местоположение. Google присутствует аналитикой и рекламной отдачей. Hotjar ведёт запись сессий. Принципиальная разница в моменте срабатывания: большинство сервисов дожидается согласия, а сервис геолокации — нет.

zorginstituutnederland.nl

Tue, 16 Jun 2026 00:00:00 +0300

Контекст

www.zorginstituutnederland.nl — сайт института здравоохранения Нидерландов (Zorginstituut Nederland): управление базовым пакетом медицинского страхования, оценка качества помощи, консультирование по лекарствам. Контролёр данных — Zorginstituut Nederland, государственная организация. Сайт информационный.

Замер: 42 обращения к 4 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Сайт использует только государственную инфраструктуру.

Кто получает данные

garanteprivacy.it — официальный сайт Garante per la protezione dei dati personali, то есть самого итальянского надзорного органа по защите данных. Того самого, который пишет правила декларирования третьих сторон для всех остальных сайтов страны. Сделан на платформе Liferay. В замере 110 обращений к трём доменам. Политика верно указывает титуляром сам Garante и перечисляет полтора десятка относящихся к нему доменов, включая gpdp.it. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

giustizia.it

Mon, 15 Jun 2026 00:00:00 +0300

Контекст

giustizia.it — сайт Министерства юстиции Италии. Сделан на типовой государственной теме. В замере 35 обращений к трём доменам: самому сайту, собственному новостному порталу министерства и национальной аналитической платформе. Ответственным за обработку данных верно указано само министерство. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Это чистый результат — и, что приятно, образцовый ровно в тех деталях, где другие сайты серии ошибались.

Замер: 109 обращений всего к 2 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Из двух доменов один — собственный, второй — аналитика на домене министерства. Никаких сторонних коммерческих трекеров, Google, рекламы или соцплагинов.

Кто получает данные

Сторонних коммерческих получателей нет.

mit.gov.it

Mon, 15 Jun 2026 00:00:00 +0300

betoon.org — один из наиболее чистых сайтов в серии. Нет GTM, нет Google Analytics, нет Facebook Pixel, нет Microsoft Clarity, нет рекламных трекеров. Единственный внешний сервис — Google Fonts, загружающий шрифт Manrope.

На фоне ekel.ee (UA + GA4 без баннера) и e-kaubanduseliit.ee (GTM + Webflow CDN без баннера) — это принципиально другой уровень. Вероятно разработчик сайта не добавлял аналитику «по умолчанию» или её убрали в какой-то момент.

ekel.ee — MTÜ EKEL

Sat, 06 Jun 2026 08:56:10 +0300

Контекст

MTÜ EKEL — Эстонский союз строительно-консультационных и проектных бюро. Информационный сайт: новости сектора, список членов, календарь обучений. HAR: 20 запросов, 4 домена — один из наименьших в серии. Никакого маркетинга, никакой рекламной инфраструктуры.

UA после закрытия

Google Analytics Universal Analytics официально прекратил обработку данных 1 июля 2024 года. ekel.ee по-прежнему загружает analytics.js и отправляет UA pageview collect на +112 мс. Google принимает эти запросы — технически сервис отвечает статусом 200. Но данные в UA-свойство больше не записываются: Google перестал их обрабатывать почти два года назад.

e-kaubanduseliit.ee — MTÜ Eesti E-Kaubanduse Liit

Sat, 06 Jun 2026 08:49:43 +0300

Контекст

MTÜ Eesti E-Kaubanduse Liit — Эстонский союз электронной торговли, некоммерческая организация. Объединяет интернет-магазины, выдаёт знак доверия, лоббирует интересы e-commerce. Сайт построен на Webflow. HAR: 30 запросов, 7 доменов.

Замкнутый круг

Трекеры без согласия

Контекст

Два аналитических инструмента — оба до согласия

Политика конфиденциальности содержит фразу: «By continuing to use our website without changing the settings, you are agreeing to our use of cookies». Это implied consent — согласие через продолжение использования сайта. Такая формула прямо противоречит GDPR Art. 7(1): согласие должно быть явным, конкретным, информированным и данным посредством однозначного подтверждающего действия. ePrivacy Regulations дополнительно требуют согласия до установки нестрого необходимых cookies. Implied consent не является правовым основанием с момента вступления GDPR в силу в мае 2018 года. Политика не обновлялась с учётом этих требований.

mygovid.ie

Sun, 31 May 2026 00:00:00 +0300

Контекст

MyGovID — государственная система цифровой идентификации Ирландии, управляемая Министерством социальной защиты. Обеспечивает единый вход для более чем 60 государственных онлайн-сервисов: Revenue, MyWelfare, NDLS, RSA, SUSI, службы здравоохранения. Для верификации аккаунта обрабатывает PPS-номера, паспортные данные, биометрические данные. Sensitivity — high: компрометация данных MyGovID означает компрометацию доступа к всей государственной идентификации гражданина. HAR: 49 запросов, 4 домена.

Архитектура приватности — намеренная

Контекст

DIHK (Deutscher Industrie- und Handelskammertag) — федеральный союз 79 торгово-промышленных палат Германии, представляющих около 3,5 миллиона предприятий. CoreMedia CMS, Varnish. HAR: 34 запроса, 3 домена.

etracker без баннера — Art. 6(1)(f)

Google GSI и Tealium IQ — до баннера

etracker без cookies — до баннера

На +123 мс загружаются два скрипта etracker: static.etracker.com/code/e.js и code.etracker.com/code/e.js. Это происходит одновременно с загрузчиком Usercentrics — баннер появится только через +755 мс.

Политика конфиденциальности обосновывает etracker через Art. 6(1)(f) DSGVO (законный интерес) и описывает cookieless-режим: данные псевдонимизированы, обрабатываются исключительно в Германии, не передаются третьим лицам, уважается Do Not Track. etracker GmbH действительно предлагает cookieless-аналитику — это дифференцирующая характеристика сервиса. Тем не менее данные о браузере, URL и поведении пользователя уходят на etracker до любого взаимодействия с баннером. Правомерность Art. 6(1)(f) для аналитики без согласия — предмет дискуссии в немецкой надзорной практике.

obi.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

OBI — немецкая розничная сеть строительных и хозяйственных гипермаркетов, 350+ магазинов в Германии. Дочерняя компания Tengelmann Group. CloudFront CDN, Next.js-подобная архитектура. HAR: 388 запросов, 21 домен.

Загрузка до баннера: четыре внешних сервиса

oebb.at — ÖBB-Personenverkehr AG

Tue, 26 May 2026 18:21:56 +0000

Контекст

ÖBB-Personenverkehr AG — пассажирское подразделение австрийских федеральных железных дорог. HAR: 106 запросов, 4 домена. Политика конфиденциальности — 77 страниц, охватывает ticketshop, мобильное приложение, onboard-портал, программу лояльности, опросы и многое другое.

Инфраструктура своя

106 запросов — все к поддоменам oebb.at: www.oebb.at, image-service.web.oebb.at (CDN изображений), pv-apps.web.oebb.at (API расписания и остановок), 8fhpe4.oebb.at (CDN JS-бандлов). Ноль внешних сервисов, ноль cookies.

Matomo скрипт загружается на +103 мс — но трекинг-пинг в HAR не появился. Consent-gate работает: скрипт присутствует, данные не уходят до согласия. Политика ссылается на отдельную Cookie-Richtlinie на сайте — стандартная структура для крупных операторов.

bmimi.gv.at — Bundesministerium für Innovation, Mobilität und Infrastruktur

Tue, 26 May 2026 18:21:33 +0000

Контекст

BMIMI (Bundesministerium für Innovation, Mobilität und Infrastruktur) — федеральное министерство, отвечающее за транспорт, инновации и инфраструктуру. Ранее называлось BMK (Bundesministerium für Klimaschutz). HAR: 34 запроса, 2 домена.

Редиректы и один домен

Сессия начинается с bmk.gv.at — старый домен делает 307 и 301 редиректы на www.bmimi.gv.at. Никаких данных при этом не передаётся. Далее — 32 запроса к новому домену, всё локально: BRZ-платформа с Source Sans Pro, шрифт «Heimat bist du schöner», images с Magnolia CMS.

manz.at — MANZ Verlag

Tue, 26 May 2026 18:20:25 +0000

Контекст

Один домен

Österreichisches Bundesheer (ÖBH) — вооружённые силы Австрии, подчиняются Bundesministerium für Landesverteidigung (BMLV). HAR: 34 запроса, 1 домен. Typo3 CMS, Cloudflare CDN/WAF.

Один домен, ноль трекеров

34 запроса, все к www.bundesheer.at. Шрифты Khand и icomoon, Bootstrap-icons, видеофайл — всё хостировано локально. Captcha реализована через Typo3 powermail (серверная генерация PNG). Cloudflare только как WAF, внешних запросов к Cloudflare-аналитике нет.

Политика — минимум и корректно

Политика BMLV описывает обработку данных в семи категориях: вебсайт, воинская обязанность, кадры, договоры, гражданская служба, медиа, социальные сети. Раздел о сайте: только серверные логи и технически необходимые cookies — без аналитики, без трекеров. DPO указан с контактом.

bundesheer.at — Österreichisches Bundesheer

Tue, 26 May 2026 18:08:03 +0000

Контекст

google.com

Sat, 16 May 2026 00:00:00 +0300

Контекст

Google Ireland Limited — европейская дочка Google LLC, расположенная в Дублине. По GDPR именно она является контролёром данных пользователей из ЕС. Ведущий регулятор — ирландская DPC.

Технический интерес представляет не сам google.com как поисковик, а присутствие Google-инфраструктуры почти на всех аудируемых сайтах: Google Analytics, Google Fonts, reCAPTCHA, YouTube embeds, Google Tag Manager, Google Ads. Каждое такое присутствие — отдельный канал передачи данных в США, требующий правового основания и согласия.

wix.com

Sat, 16 May 2026 00:00:00 +0300

Контекст

Sun, 03 May 2026 17:16:00 +0300

Что показал HAR

234 запроса за сессию. 10 внешних доменов — все в США. Сайт открывается по редиректу со старого digilugu.ee на www.terviseportaal.ee.

При загрузке страницы автоматически уходят:

YouTube — три встроенных видео через youtube.com/embed, без privacy-режима. 56 запросов.
Google Fonts — 8 запросов, IP пользователя в Google США.
DoubleClick — googleads.g.doubleclick.net и static.doubleclick.net. Рекламный трекер. На медицинском портале. 8 запросов.
Google и gstatic — www.google.com, www.gstatic.com.
YouTube anti-bot — jnn-pa.googleapis.com, система идентификации пользователей.

Контекст

EVEA — Eesti Väike ja Keskmiste Ettevõtjate Assotsiatsioon, некоммерческое объединение малого и среднего бизнеса Эстонии. Сайт работает на WordPress с WooCommerce — то есть обрабатывает данные членов организации, регистрации на мероприятия, возможно платежи. 197 запросов за сессию, 2 домена.

Что показал HAR

Внешние домены за всю сессию

ruuter.buerokratt.eesti.ee (чат-бот), tara.ria.ee (государственная аутентификация), govsso.ria.ee (единый вход), buerokratt.eesti.ee (поддомен портала) и один раз static.cloudflareinsights.com на странице TARA. Всё. Больше никого. Никакого Google, Facebook, Microsoft, AddToAny.

Архитектура, которая работает правильно

Content Security Policy прописывает строгий белый список — только *.ria.ee и *.eesti.ee. Любой внешний скрипт блокируется автоматически: Cloudflare Insights попытался загрузиться 5 раз и 4 раза был заблокирован с кодом 0. Это не случайность — это решение. Аутентификация идёт только через государственную инфраструктуру: при входе через ID-карту или Mobile-ID данные остаются внутри *.ria.ee, не уходят в Google и не в США.

eesti.ee

Sun, 12 Apr 2026 00:00:00 +0300

Контекст

Баннер согласия — тёмный паттерн

На сайте есть баннер согласия, но кнопки «Отклонить всё» не существует. Представлены два варианта: «Разрешить выбранные» и «Разрешить все». Отказать одним кликом невозможно — нужно войти в настройки и вручную снять каждую галочку. По Art. 7 GDPR отказ от согласия должен быть таким же простым, как его выдача: один клик принять — один клик отказать. Это не техническая оплошность, а намеренный дизайн.

tiktok.com

Mon, 30 Mar 2026 18:49:00 +0300

Контекст

TikTok — социальная сеть, принадлежащая ByteDance Ltd. (зарегистрирована на Каймановых островах, операционный штаб в Пекине). Под GDPR применяется через ирландскую дочку TikTok Technology Ltd. (ведущий регулятор — DPC). Известен многочисленными расследованиями по поводу обработки данных несовершеннолетних, передачи данных за пределы ЕЭЗ и алгоритмического таргетинга.

Технический разбор был опубликован в социальных сетях с зафиксированной датой.

Epsilon Data Management / Lotame

Sun, 29 Mar 2026 00:00:00 +0000

puumarket.ee — Puumarket AS

Sat, 28 Mar 2026 17:09:28 +0300

Контекст

Puumarket AS — эстонская сеть строительных и хозяйственных магазинов, регистрационный номер 10363212. Сайт работает как интернет-магазин с корзиной, онлайн-заказами и программой лояльности. HAR: 853 запроса, 13 доменов. Сессия включала просмотр товаров.

Сломанный баннер согласия

Центральная находка этого аудита — не трекеры, а механизм согласия. Cookie-script прописан в коде и инициирует запросы к cdn.cookie-script.com на +9957 мс — но все запросы возвращают статус 0. Баннер не загружается вообще. Вместе с ним не загружаются GTM (GTM-TSXS8GB, статус 0) и Klaviyo (статус 0). Это означает что Cookie-script, GTM и Klaviyo заблокированы — вероятно CSP или сетевой ошибкой — и в этой сессии данные через них не ушли.

Magnite

Thu, 26 Mar 2026 00:00:00 +0000

pinterest.com — Pinterest

Tue, 24 Mar 2026 19:23:19 +0300

Контекст

Pinterest — глобальная платформа визуального поиска и вдохновения. Для целей GDPR контролёр данных пользователей из ЕС — Pinterest Europe Ltd. (Дублин, Ирландия), ведущий регулятор — ирландская DPC. HAR: 579 запросов, 5 доменов. Сессия авторизована — аудит проводился в личном аккаунте.

Что показал HAR — почти образец

579 запросов, и почти все внутри собственной инфраструктуры Pinterest: www.pinterest.com, i.pinimg.com (изображения), v1.pinimg.com (видео в формате HLS), s.pinimg.com (JavaScript и CSS). Ноль Google Analytics. Ноль Facebook Pixel

telia.ee — Telia Eesti AS

Fri, 13 Mar 2026 21:56:46 +0300

Контекст

Telia Eesti AS — крупнейший телекоммуникационный оператор Эстонии, дочерняя компания шведского концерна Telia Company AB (Nasdaq Stockholm). Предоставляет услуги мобильной связи, домашнего интернета, телевидения и бизнес-решений. Как телеком-оператор обрабатывает одни из наиболее чувствительных персональных данных: исикукод, платёжную историю, данные о потреблении услуг. HAR: 199 запросов, 14 доменов, сессия в личном кабинете.

Главная находка — исикукод в URL

HAR фиксирует GET-запрос к iseteenindus.telia.ee с исикукодом клиента в открытом виде в строке URL:

Google

Tue, 03 Mar 2026 00:00:00 +0000

IT и инфраструктура

Mon, 01 Jan 0001 00:00:00 +0000

Государственный

Mon, 01 Jan 0001 00:00:00 +0000

Законодательная власть

Mon, 01 Jan 0001 00:00:00 +0000

Закупки и бизнес

Mon, 01 Jan 0001 00:00:00 +0000

Здравоохранение

Mon, 01 Jan 0001 00:00:00 +0000

Исполнительная власть

Mon, 01 Jan 0001 00:00:00 +0000

Коммерческий аудит

Mon, 01 Jan 0001 00:00:00 +0000

Кризис и гражданская оборона

Mon, 01 Jan 0001 00:00:00 +0000

Медиа

Mon, 01 Jan 0001 00:00:00 +0000

Миграция и полиция

Mon, 01 Jan 0001 00:00:00 +0000

Министерства

Mon, 01 Jan 0001 00:00:00 +0000

Наука и генетика

Mon, 01 Jan 0001 00:00:00 +0000

Оборона и безопасность

Mon, 01 Jan 0001 00:00:00 +0000

Образование

Mon, 01 Jan 0001 00:00:00 +0000

Регистры и данные

Mon, 01 Jan 0001 00:00:00 +0000

Регуляторы

Mon, 01 Jan 0001 00:00:00 +0000

Строительство

Mon, 01 Jan 0001 00:00:00 +0000

Судебная система

Mon, 01 Jan 0001 00:00:00 +0000

Транспорт и энергетика

Mon, 01 Jan 0001 00:00:00 +0000

Финансы и налоги

Mon, 01 Jan 0001 00:00:00 +0000

Технический аудит обработки персональных данных on GDPR Audit

Предмет и цели

О чём эта статья

1(1) — Предмет регламента

1(2) — Защищаемые ценности

1(3) — Свободное перемещение

Материальная сфера применения

О чём эта статья

2(1) — Когда применяется

2(2) — Когда НЕ применяется

Территориальная сфера применения

О чём эта статья

3(1) — Контролёры и обработчики в ЕС

3(2) — «Длинная рука GDPR»

Определения

О чём эта статья

Ключевые определения

Принципы обработки персональных данных

О чём эта статья

5(1) — Семь принципов

Правомерность обработки

О чём эта статья

6(1) — Шесть оснований

Условия согласия

О чём эта статья

7(1) — Бремя доказывания

7(2) — Форма запроса согласия

Согласие ребёнка в отношении услуг информационного общества

О чём эта статья

8(1) — Возраст согласия

Обработка особых категорий персональных данных

О чём эта статья

9(1) — Запрет

9(2) — Десять исключений

Обработка данных о судимостях и правонарушениях

О чём эта статья

Содержание

Обработка, не требующая идентификации

Структура GDPR

Прозрачность информирования

О чём эта статья

12(1) — Форма информирования

Информация при сборе данных у субъекта

О чём эта статья

13(1) — Обязательная информация при сборе

Информация, когда данные получены не от субъекта

О чём эта статья

14(1) — Обязательная информация

Право доступа субъекта данных

О чём эта статья

15(1) — Что субъект имеет право получить

Право на исправление

О чём эта статья

Содержание

Почему это важно

Право на удаление («право быть забытым»)

О чём эта статья

17(1) — Когда можно требовать удаления

Право на ограничение обработки

О чём эта статья

18(1) — Когда можно требовать ограничения

Обязанность уведомлять об исправлении, удалении или ограничении

Структура GDPR

Право на переносимость данных

О чём эта статья

20(1) — Право получения данных

Право возражать против обработки

О чём эта статья

21(1) — Общее возражение

21(2) — Прямой маркетинг

Автоматизированные решения, включая профилирование

О чём эта статья

22(1) — Общее правило

Ограничения прав

Структура GDPR

Ответственность контролёра

Структура GDPR

Защита данных по умолчанию и при проектировании

О чём эта статья

25(1) — Privacy by Design (на этапе проектирования)