Методология

Принципы

Аудит — это воспроизводимое измерение, а не мнение. Каждое утверждение в публикации опирается на конкретный артефакт: HAR-файл, скриншот, фрагмент кода. Любой человек с минимальной технической подготовкой должен иметь возможность повторить аудит и получить аналогичный результат.

Инструменты

• Браузер: Firefox или Chromium в режиме обычного посетителя (свежий профиль, без расширений, типичный User-Agent).
• DevTools для записи сетевого трафика в формате HAR (HTTP Archive).
• Дополнительная верификация: Wireshark для подтверждения исходящих TCP-соединений на уровне сети.
• Геолокация: фиксируется и указывается в метаданных аудита, так как RTB-инфраструктура отдаёт разные ответы из разных регионов.

Процедура

1. Подготовка сессии. Свежий профиль браузера, очищенные cookies, отключённые расширения. Открывается режим разработчика, начинается запись сети.
2. Открытие сайта. Запросы фиксируются с точными временными метками относительно начала сессии.
3. Взаимодействие с баннером согласия (если есть): отдельно записывается состояние до клика и после каждого варианта клика.
4. Просмотр нескольких страниц для оценки трекеров, активных вне главной.
5. Экспорт HAR-файла с временной меткой и контрольной суммой SHA-256.

Классификация запросов

Каждый сетевой запрос классифицируется по нескольким измерениям:

• Назначение: технический ресурс, аналитика, реклама, согласие, безопасность, шрифт.
• Получатель: домен, корпорация, юрисдикция (ЕС, США, иная третья страна).
• Момент срабатывания: до баннера, после согласия, после отказа.
• Декларированность: указан ли получатель в политике конфиденциальности сайта.

Правовая квалификация

Технические находки сопоставляются с конкретными статьями GDPR:

• Art. 5, 6, 7 — правовое основание и согласие;
• Art. 9, 10 — особые категории данных;
• Art. 12, 13, 14 — прозрачность и информирование;
• Art. 25 — privacy by design and by default;
• Chapter V — передача данных в третьи страны.

Аудит не делает выводов о виновности или умысле — он фиксирует факты и указывает применимые нормы.

Доказательственная цепочка

Для каждого аудита публикуется:

• HAR-файл в открытом доступе для скачивания.
• SHA-256 контрольная сумма HAR-файла, опубликованная на странице аудита.
• Дата и время проведения аудита.
• Геолокация клиента на момент аудита.
• Версия браузера и User-Agent.

Это даёт возможность проверки целостности доказательства и независимой репликации.

Ограничения

• Аудит фиксирует состояние на конкретный момент времени. Сайт может быть исправлен или, наоборот, добавить новые нарушения после даты аудита.
• Не все нарушения видны через HAR. Например, обработка данных на сервере или в бэк-офисе требует других методов.
• Правовая квалификация публикуется как обоснованное мнение, не как судебное решение. Окончательную квалификацию выносит компетентный орган.

Что делать с результатами аудита

Если разбор показал нарушение — у вас есть право подать жалобу в орган по защите данных на основании статьи 77 GDPR. Для физического лица это бесплатно в любой стране ЕС.

Ниже — универсальный шаблон жалобы, который подходит для подачи в любой из 27 надзорных органов. Точный способ подачи (онлайн-форма, email, почта) и язык подачи отличаются по стране — смотрите блок “Как подать жалобу” на странице соответствующей страны.

ВАЖНО — ОБЯЗАТЕЛЬНЫЙ ПОРЯДОК ДЕЙСТВИЙ:

1. СНАЧАЛА обратитесь напрямую в компанию — направьте письмо на email, указанный в политике конфиденциальности сайта, с описанием найденного нарушения и просьбой его устранить.
2. ДАЙТЕ КОМПАНИИ 30 ДНЕЙ НА ОТВЕТ.
3. ТОЛЬКО ЕСЛИ ответа не было, или ответ уклончивый и не устраняет нарушение — переходите к жалобе в регулятор.

Регулятор вправе отказать в рассмотрении жалобы или приостановить её, если заявитель не предпринял попытку решить вопрос напрямую с компанией. Пропуск этого шага — типичная причина, по которой жалобы закрывают без рассмотрения по существу.

Шаблон письма компании (шаг 1):

Кому: [email компании из политики конфиденциальности]
От: [Ваше имя], [контактный email]

Тема: Запрос об устранении нарушения обработки персональных данных

Уважаемые коллеги,

При посещении вашего сайта [домен] я обнаружил обработку моих персональных данных, которая может не соответствовать требованиям GDPR. Подробности зафиксированы в техническом разборе: [ссылка на gdpru.eu].

Прошу:
1. Подтвердить получение этого обращения.
2. Устранить указанное нарушение либо объяснить, почему обработка соответствует GDPR.
3. Ответить в течение 30 дней.

Если ответа не последует, или ответ не будет содержать конкретных мер, я обращусь в надзорный орган по защите данных с жалобой на основании статьи 77 GDPR.

[Дата]                                    [Подпись/имя]

Только после этого шага — жалоба регулятору:

Важно: большинство регуляторов ЕС рассматривают жалобы только на государственном языке страны (иногда — плюс английский для нерезидентов, это будет явно указано в блоке “Как подать жалобу” на странице соответствующей страны). Если такой оговорки нет — не считайте это автоматическим разрешением писать на любом языке: письмо на государственном языке безопаснее. Перевод можно сделать самостоятельно или штатным переводчиком — машинный перевод для официального обращения нежелателен.

Это не юридическая консультация — мы не юристы, это просто стандартная структура жалобы, основанная на требованиях, которые сами регуляторы публикуют на своих сайтах.

Жалоба в орган по защите персональных данных
(на основании статьи 77 GDPR / Регламента (ЕС) 2016/679)

Кому: [НАЗВАНИЕ РЕГУЛЯТОРА]
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных
сайтом [домен, например bauhaus.ee], оператором которого является
[название компании, если известно].

2. Обстоятельства
HAR-анализ сайта [домен], проведённый [дата], зафиксировал
следующее: [краткое описание нарушения].
Полная техническая документация (HAR-файл, контрольная сумма
SHA-256, методология) доступна по ссылке: [ссылка на разбор на gdpru.eu]

3. Нарушенные положения
[Перечень статей — например: Art. 5(1)(a), Art. 6, Art. 7 GDPR]

4. Требование
Прошу провести проверку указанного нарушения и принять меры,
предусмотренные статьёй 58 GDPR.

5. Приложения
— HAR-файл и контрольная сумма (ссылка выше)
— Скриншот политики конфиденциальности сайта на момент проверки

[Дата]                                    
[Подпись/имя]



Кому: Andmekaitse Inspektsioon (AKI)
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных
сайтом bauhaus.ee, оператором которого является BAUHAUS Eesti UÜ —
эстонское подразделение швейцарской сети строительных магазинов
BAUHAUS.

2. Обстоятельства
Я посетил сайт bauhaus.ee и обнаружил, что мои персональные данные
обрабатывались с нарушением требований GDPR. Технический разбор
этого сайта, опубликованный на gdpru.eu 16.05.2026 (открытая
методология, воспроизводимые измерения, контрольная сумма SHA-256),
документирует следующее:

а) Сервис Zendesk (Zendesk Inc., США) фиксирует каждый просмотр
страницы с первой секунды загрузки сайта — до появления баннера
согласия. Запрос повторяется каждые 7 секунд на протяжении всей
сессии (зафиксировано 19 запросов с уникальным идентификатором
клиента). В cookie-политике сайта эта категория обозначена как
«функциональная», хотя по факту собирается информация о поведении
пользователя.

б) Google reCAPTCHA — единственный из всех вендоров в cookie-менеджере
сайта, включённый по умолчанию без согласия. Собирает траекторию
кликов, движения мыши, временные метки действий, IP-адрес,
геолокацию, данные браузера и устройства; данные передаются
в Google Ireland Ltd и далее за пределы ЕС.

в) Официальная политика конфиденциальности сайта утверждает, что
используемые куки не хранят персональные данные пользователя. При
этом cookie-менеджер того же сайта документирует: Criteo (США, 390
дней, сопоставление данных между устройствами), Klaviyo (США, 730
дней, история просмотров товаров), Facebook Pixel, HotJar (запись
сессий), Microsoft Clarity (запись сессий, данные используются также
для Microsoft Advertising) — прямое противоречие между двумя
официальными документами одной компании.

г) Cookie «otsid» платформы Adform (Дания) хранится 3650 дней (10 лет)
и используется для сопоставления данных из разных источников
и связывания устройств между собой. Правовым основанием одновременно
указаны согласие и законный интерес — взаимоисключающие основания.

Дополнительно: в сетевом трафике сайта в открытом виде зафиксирован
API-ключ Google Maps, принадлежащий BAUHAUS Eesti UÜ.

Полная техническая документация: HAR-файл и контрольная сумма SHA-256
опубликованы по адресу: https://gdpru.eu/audits/bauhaus.ee/

3. Нарушенные положения
Art. 6(1) GDPR — обработка данных (Zendesk) без законного основания;
Art. 6(1), Art. 7(1) GDPR — reCAPTCHA включена без действительного
согласия;
Art. 5(1)(a) GDPR — принцип прозрачности: политика конфиденциальности
противоречит фактическим настройкам cookie-менеджера;
Art. 5(1)(e) GDPR — принцип ограничения хранения: срок хранения куки
Adform (10 лет) явно избыточен, правовое основание указано
противоречиво.

4. Требование
Прошу провести проверку указанных нарушений и принять меры,
предусмотренные статьёй 58(2) GDPR.

5. Приложения
— HAR-файл и контрольная сумма SHA-256 (ссылка выше)
— Скриншот политики конфиденциальности сайта с цитируемым утверждением
о куки
— Скриншот настроек cookie-менеджера сайта со списком вендоров
и сроками хранения

[Дата]                                    
[Подпись/имя]

Открытость

Методология открыта для критики. Если вы замечаете методологическую ошибку — напишите по адресу contact@gdpru.eu. Исправления документируются публично в журнале изменений.