Технический аудит · 2026-06-23

bol.com

Сайт крупнейшего нидерландского интернет-магазина bol

Bol.com — крупнейший интернет-магазин Нидерландов и Бельгии. Замер главной страницы: 160 обращений, 8 доменов; вход через переадресацию с www.bol.com на /nl/nl/. Сторонний коммерческий слой удержан грамотно: загрузчики аналитики Google и пикселя Facebook отдаются с первичного CDN bol, но в чистом сеансе ни одного бикона не отправляют — ни к google-analytics, ни к facebook, ни к doubleclick за рекламой; библиотека рекламного сервера Google (Google Publisher Tag) загружается на 2632 мс, но объявлений не подаёт. На сайте есть собственный механизм согласия (Consent UI, 2638 мс). Но до согласия отрабатывает собственная аналитика bol: служба логирования (2109 мс), пакет событий (15880 мс) и измерение Firefly с идентификатором сеанса (51370 мс). Первичный сбор поведения и измерение — нетехнические цели, требующие согласия, и здесь они срабатывают до него.

Хронология утечки

1253 мс · защита от ботов

Отрабатывает механизм защиты от ботов Akamai (сенсор на собственном домене). Это мера безопасности, не трекинг.

2109 мс · собственное логирование

На собственную службу логирования bol уходит обращение. Это происходит до какого-либо выбора пользователя.

2125 мс · мониторинг ошибок

На самостоятельно размещённый коллектор Sentry (регион ЕС) уходит технический конверт об ошибках/состоянии. Технический инструмент, не маркетинг.

2632 мс · библиотека рекламного сервера Google

Загружается Google Publisher Tag (gpt.js) — библиотека рекламного сервера Google. Важно: за объявлениями она не обращается — запроса к doubleclick в замере нет, реклама не подаётся.

2638 мс · механизм согласия

Загружается собственный механизм согласия bol (Consent UI). То, что отрабатывает раньше выбора, и определяет, что происходит до согласия.

5748–5751 мс · загрузчики пикселя и аналитики

С первичного CDN bol загружаются скрипты-загрузчики пикселя Facebook (5748 мс) и аналитики Google (5751 мс). Важно: ни один из них в чистом сеансе бикон не отправил — обращений к facebook и google-analytics в замере нет.

15880 мс · собственный пакет событий

На собственный коллектор bol уходит пакет событий. Это первичный сбор поведения, до согласия.

51370 мс · собственное измерение Firefly

На собственную службу измерения bol (Firefly) уходит обращение с идентификатором сеанса. Это первичное измерение, и оно отрабатывает до согласия.

механизм согласия есть, сторонние коммерческие биконы за согласием, но собственная аналитика отработала раньше

Собственный механизм согласия присутствует, и сторонний коммерческий слой удержан за ним: загрузчики аналитики Google и пикселя Facebook, а также библиотека рекламного сервера загружены, но ни одного коммерческого бикона не отправили и рекламы не подали. Но собственная аналитика и измерение bol к этому моменту уже отработали — до любого выбора пользователя.

Декларация против факта

✓ Реклама и персонализация — за согласием (политика) — заявлен

✓ Передача в Facebook — за согласием (политика) — заявлен

+ Собственная аналитика и измерение bol (Firefly, логирование, пакет событий) — не заявлен

Зафиксированные трекеры

Собственная аналитика bol (Firefly, измерение с идентификатором, до согласия)
Собственное логирование и пакет событий bol (до согласия)
Google Analytics и Facebook-пиксель (загрузчики с первичного CDN, биконы не отправлены — за согласием)
Google Publisher Tag / Ad Manager (библиотека загружена, реклама не подаётся)
Sentry (мониторинг ошибок), Akamai (антибот)

Зафиксированные нарушения

Art. 6(1)(a) GDPR и art. 11.7a Telecommunicatiewet — собственная аналитика и измерение работают до согласия

Сайт построен в основном на собственной инфраструктуре, и сторонний коммерческий слой здесь удержан грамотно: загрузчики аналитики Google и пикселя Facebook отдаются с первичного CDN bol, но в чистом сеансе ни одного бикона не отправляют — обращений к google-analytics, facebook или doubleclick в замере нет; библиотека рекламного сервера Google (Google Publisher Tag) загружается, но объявлений не подаёт. Это в пользу сайта. Однако в том же чистом сеансе, без какого-либо выбора пользователя, отрабатывает собственная аналитика. На 2109 мс уходит обращение к собственной службе логирования, на 15880 мс — пакет событий на собственный коллектор, а на 51370 мс собственная служба измерения bol (Firefly) отправляет обращение с идентификатором сеанса. Это первичный сбор поведения и измерение, то есть нетехническая цель, требующая согласия по art. 11.7a Telecommunicatiewet и Art. 6(1)(a) GDPR. Собственная политика bol прямо обусловливает рекламу и персонализацию предварительным согласием — то есть площадка признаёт согласие основанием, — но собственная аналитика и измерение отрабатывают до него. То, что почти всё первой стороны и сторонним рекламным сетям данные не растекаются, не освобождает от согласия: аналитика и измерение, даже собственные, должны его дожидаться.

Контекст

www.bol.com — крупнейший интернет-магазин Нидерландов и Бельгии (маркетплейс с собственным ассортиментом и продавцами-партнёрами, личный кабинет, программа доставки). Контролёр данных — bol.com b.v. (Утрехт, Нидерланды). Сайт коммерческий.

Замер: 160 обращений к 8 доменам, главная страница, снят на чистом браузере без VPN и блокировщика; вход через переадресацию с www.bol.com на /nl/nl/. Принципиальная особенность — почти все домены собственные, сайт работает как замкнутая экосистема. На сайте есть собственный механизм согласия.

Кто получает данные

Сторонних коммерческих получателей данных до согласия в этом сеансе нет.

Данные в основном остаются внутри собственной инфраструктуры bol: собственная служба логирования, собственный пакет событий и собственная служба измерения (Firefly) собирают данные на доменах bol. Загрузчики аналитики Google и пикселя Facebook отдаются с первичного CDN bol и в чистом сеансе ни одного бикона не отправляют: обращений к google-analytics, facebook или doubleclick в замере нет. Библиотека рекламного сервера Google (Google Publisher Tag) загружается, но рекламу не подаёт. Из стороннего до согласия отрабатывает только мониторинг ошибок Sentry (технический), защита от ботов Akamai и доставка изображений из системы управления контентом.

Был ли баннер согласия

Да, на сайте есть собственный механизм согласия (Consent UI, загружается на 2638 мс), и сторонний коммерческий слой удержан за ним: в чистом сеансе без согласия загрузчики аналитики и пикселя, а также библиотека рекламного сервера загрузились, но ни одного коммерческого бикона не отправили и рекламы не подали. Это согласуется с политикой bol, которая прямо обусловливает рекламу, персонализацию и передачу данных в Facebook предварительным согласием.

Узловой момент в том, что собственная аналитика отработала раньше: логирование (2109 мс), пакет событий (15880 мс) и измерение Firefly (51370 мс) ушли до согласия.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

собственное логирование bol (2109 мс);
собственный пакет событий bol (15880 мс);
собственное измерение Firefly с идентификатором сеанса (51370 мс);
защита от ботов Akamai (1253 мс) — техническая;
мониторинг ошибок Sentry (2125 мс) — технический;
библиотека рекламного сервера Google (2632 мс) — загружается, но рекламу не подаёт;
загрузчики пикселя Facebook и аналитики Google (5748–5751 мс) — загружаются, но биконов не отправляют.

Защита от ботов и мониторинг ошибок претензий не вызывают — это технические и охранные цели. Загрузчики аналитики, пикселя и библиотека рекламного сервера без согласия ничего не развернули — это в пользу сайта. Претензия — к собственной аналитике и измерению: это первичный сбор поведения, и он отрабатывает до согласия.

Почему «первая сторона» — не индульгенция

Это важно для понимания. То, что bol не передаёт данные стороннему рекламному рою, действительно лучше, чем россыпь чужих трекеров. Но юридически вопрос не в том, кому уходят данные, а на каком основании они собираются. Собственная аналитика поведения и измерение — цели, требующие согласия, и собственная политика bol прямо относит рекламу и персонализацию к обработке по согласию. Запуск этих сборов до согласия противоречит и правилу, и собственному документу. Сторонний коммерческий слой при этом удержан правильно — именно так и следует поступать и с собственной аналитикой.

Вывод

Bol.com — пример замкнутой экосистемы, где сторонний коммерческий слой удержан грамотно: загрузчики аналитики Google, пикселя Facebook и библиотека рекламного сервера загружаются, но без согласия не отправляют ни одного бикона и не подают рекламы. Это выгодно отличает сайт. Но собственная аналитика, логирование и измерение Firefly собирают данные до согласия, при том что собственная политика относит рекламу и персонализацию к обработке по согласию. Главное, что должен вынести читатель: отсутствие сторонних получателей не отменяет требования согласия — собственная аналитика и измерение должны его дожидаться так же, как удержан сторонний слой. Достаточно перевести их запуск в режим ожидания согласия.

Доказательство

Оригинал (разбор)

HAR-файл: nl/bol-com-2026-06-23.har

SHA-256: c0d90742886567234cf5719e028511240b4b727feb2050415fcf173923c7928a

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bol.com.

2. Обстоятельства
Я посетил сайт bol.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 23.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Сайт построен в основном на собственной инфраструктуре, и сторонний коммерческий слой здесь удержан грамотно: загрузчики аналитики Google и пикселя Facebook отдаются с первичного CDN bol, но в чистом сеансе ни одного бикона не отправляют — обращений к google-analytics, facebook или doubleclick в замере нет; библиотека рекламного сервера Google (Google Publisher Tag) загружается, но объявлений не подаёт. Это в пользу сайта. Однако в том же чистом сеансе, без какого-либо выбора пользователя, отрабатывает собственная аналитика. На 2109 мс уходит обращение к собственной службе логирования, на 15880 мс — пакет событий на собственный коллектор, а на 51370 мс собственная служба измерения bol (Firefly) отправляет обращение с идентификатором сеанса. Это первичный сбор поведения и измерение, то есть нетехническая цель, требующая согласия по art. 11.7a Telecommunicatiewet и Art. 6(1)(a) GDPR. Собственная политика bol прямо обусловливает рекламу и персонализацию предварительным согласием — то есть площадка признаёт согласие основанием, — но собственная аналитика и измерение отрабатывают до него. То, что почти всё первой стороны и сторонним рекламным сетям данные не растекаются, не освобождает от согласия: аналитика и измерение, даже собственные, должны его дожидаться.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bol-com/

3. Нарушенные положения
Art. 6(1)(a) GDPR и art. 11.7a Telecommunicatiewet — собственная аналитика и измерение работают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]