EUGDPR Audit
RU EN
Технический аудит · 2026-06-16

bna.nl

Сайт отраслевой ассоциации нидерландских архитектурных бюро
NL

Bna.nl — сайт отраслевой ассоциации нидерландских архитектурных бюро. Замер главной страницы: 108 обращений, 14 доменов. Для профессиональной ассоциации рекламный стек неожиданно тяжёлый. На сайте есть баннер согласия со встроенной блокировкой трекеров, но фактически он ничего не блокирует: до какого-либо выбора пользователя пиксель Facebook отправляет в Meta событие просмотра, рекламный пиксель LinkedIn передаёт визит, а рекламная система и аналитика Google отправляют свои обращения. Режим согласия для Google при этом не настроен. То есть баннер присутствует, но трекеры срабатывают раньше выбора, как будто его нет.

Хронология утечки

328–1447 мс · баннер согласия с блокировкой
Загружается баннер согласия в режиме согласия-до-сбора, со встроенной блокировкой трекеров. По задумке он должен удерживать рекламу и аналитику до выбора пользователя.
556 мс · сборщик тегов
Загружается сборщик тегов, через который позже разворачиваются рекламные и аналитические сервисы.
2178 мс · LinkedIn Insight Tag
Загружается тег LinkedIn Insight. Рекламный сервис соцсети подключается до согласия.
2194 мс · библиотека пикселя Facebook
Загружается библиотека пикселя Facebook. Рекламный сервис подключается до согласия.
2733 мс · аналитика и реклама Google без сигнала согласия
Аналитика Google и рекламная система Google отправляют обращения. Сигнал согласия при этом не передаётся вовсе — режим согласия не настроен.
2858 мс · рекламный пиксель LinkedIn
Рекламный пиксель LinkedIn отправляет данные о визите на серверы LinkedIn. До согласия.
3181 мс · событие просмотра в Meta
Пиксель Facebook отправляет в Meta событие просмотра страницы. Meta получает факт визита до согласия.
баннер есть, но не блокирует
Баннер согласия на сайте присутствует и заявлен с блокировкой трекеров, но фактически рекламные пиксели и аналитика отработали раньше выбора. Cookie через заголовки за сеанс не выставлено.

Декларация против факта

Google Analytics — заявлен
Google Tag Manager — заявлен
+ Facebook Pixel (реклама) — не заявлен
+ LinkedIn (реклама) — не заявлен
+ DoubleClick — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.bna.nl — сайт отраслевой ассоциации нидерландских архитектурных бюро (Branchevereniging Nederlandse Architectenbureaus): профессиональное объединение, представляющее архитектурные бюро. Контролёр данных — BNA. Сайт информационный, на платформе WordPress.

Замер: 108 обращений к 14 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте установлен баннер согласия со встроенной блокировкой трекеров. Технический стек для профессиональной ассоциации насыщен рекламными пикселями.

Кто получает данные

Тут были замечены: Meta, LinkedIn, Google.

Meta получает событие просмотра через пиксель Facebook. LinkedIn получает данные о визите через тег Insight и рекламный пиксель. Google присутствует аналитикой и рекламной системой ремаркетинга. То есть факт визита уходит сразу трём рекламным платформам.

Был ли баннер согласия

Да, на сайте установлен баннер согласия в режиме согласия-до-сбора, и он заявлен со встроенной блокировкой трекеров. Но фактически он ничего не блокирует: рекламные пиксели и аналитика отрабатывают раньше выбора пользователя. Режим согласия для сервисов Google к тому же не настроен — их обращения уходят вовсе без сигнала согласия.

Иными словами, механизм согласия на сайте присутствует, но не выполняет своей задачи.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

  • пиксель Facebook — событие просмотра в Meta;
  • рекламный пиксель LinkedIn — передача визита;
  • рекламная система Google (ремаркетинг);
  • аналитика Google — без сигнала согласия.

Все эти сервисы — нетехнические цели, требующие согласия. По нидерландскому закону о cookie согласие должно предшествовать их запуску. Здесь же визит уходит сразу нескольким рекламным платформам раньше выбора.

Нераскрытые рекламные получатели

Отдельный пункт. Политика называет аналитику Google и в общих словах упоминает рекламные cookie. Но рекламные пиксели Facebook и LinkedIn упомянуты лишь как соцсети, на которые можно подписаться, а не как пиксели на сайте, передающие визит этим платформам. Ремаркетинг Google отдельно не раскрыт. То есть передача визита в Meta и LinkedIn в перечне рекламных получателей не отражена.

Вывод

Bna.nl — характерный случай, когда механизм согласия присутствует, но не работает. На сайте профессиональной ассоциации установлен баннер с заявленной блокировкой трекеров, однако пиксель Facebook, рекламный пиксель LinkedIn, ремаркетинг и аналитика Google срабатывают раньше выбора пользователя, а режим согласия для Google вовсе не настроен. Главное, что должен вынести читатель: наличие баннера само по себе ничего не значит, если он фактически не удерживает трекеры до согласия. Достаточно правильно настроить блокировку и режим согласия — чтобы рекламные пиксели и аналитика действительно дожидались выбора — и дополнить перечень рекламных получателей в политике."

Доказательство
Оригинал (разбор)
HAR-файл: nl/bna-nl-2026-06-16.har
SHA-256: 04bff5404e39af7072b79ab29e563b80f3e439f94e4d62e5382d0025763157df
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bna.nl.

2. Обстоятельства
Я посетил сайт bna.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте установлен баннер согласия в режиме согласия-до-сбора, со встроенной блокировкой трекеров. Но фактически он ничего не блокирует. До какого-либо выбора пользователя на странице отрабатывает целый рекламный стек: пиксель Facebook отправляет в Meta событие просмотра страницы, рекламный пиксель LinkedIn отправляет данные о визите, рекламная система Google и аналитика Google отправляют свои обращения. При этом режим согласия для аналитики и рекламы Google не настроен — обращения уходят без какого-либо сигнала согласия. То есть баннер на сайте есть, но трекеры срабатывают раньше выбора, как будто его нет. Рекламные пиксели соцсетей и аналитика — нетехнические цели, требующие согласия, а здесь они отрабатывают до него.

2) Политика называет аналитику Google и в общих словах упоминает рекламные cookie. Однако рекламные пиксели Facebook и LinkedIn упомянуты лишь в контексте подписки на соцсети, а не как рекламные пиксели на сайте, передающие визит этим платформам. Ремаркетинговая система Google также не раскрыта отдельно. То есть передача визита в Meta и LinkedIn происходит, но в перечне рекламных получателей это не отражено.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bna-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — рекламные пиксели и аналитика срабатывают до согласия вопреки баннеру; Art. 13 GDPR — рекламные пиксели Facebook, LinkedIn и ремаркетинг Google как рекламные получатели в политике не раскрыты

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]