Технический аудит · 2026-06-23

coolblue.nl

Сайт интернет-магазина электроники Coolblue

Coolblue.nl — сайт крупного нидерландского интернет-магазина электроники. Замер главной страницы: 143 обращения, 11 доменов. В чистом сеансе без согласия сразу разворачивается аналитико-поведенческий слой: Google Analytics 4 шлёт события (session_start на 5232 мс, page_view на 5259 мс, далее прокрутку и конверсию), причём сигнал согласия в самих запросах GA4 помечает хранение для аналитики как разрешённое (analytics_storage = granted), хотя пользователь ничего не выбирал. Параллельно отрабатывает Crazy Egg — запись сессий, тепловые карты и опросы (скрипт на 839 мс, трекинговый бикон на 6781 мс) — и Optimizely, платформа A/B-экспериментов (клиентское хранилище на 4452 мс, события на лог-коллектор на 5924 мс). Аналитика, запись сессий и эксперименты — нетехнические цели, требующие согласия, и здесь все три срабатывают до него.

Хронология утечки

838–839 мс · сборщик тегов и Crazy Egg

Загружаются Google Tag Manager (838 мс) и скрипт Crazy Egg (839 мс) — инструмента записи сессий, тепловых карт и опросов. Загрузка Crazy Egg начинается одной из первых, до согласия.

4452 мс · Optimizely

Загружается клиентское хранилище Optimizely — платформы A/B-экспериментов. Это поведенческое разделение пользователей на варианты, нетехническая цель.

5232–5259 мс · события Google Analytics 4

GA4 отправляет конверсию (5232 мс) и событие page_view (5259 мс). Сигнал согласия в запросах (gcs=G101) показывает, что хранение для аналитики помечено как разрешённое (analytics_storage = granted) — при том что пользователь ничего не выбирал. Рекламная часть помечена как неперсонализированная.

5924 мс · события Optimizely

На лог-коллектор Optimizely (eu.logx.optimizely.com) уходят события. Эксперименты отрабатывают до согласия.

6781 мс · трекинговый бикон Crazy Egg

На tracking.crazyegg.com уходит трекинговый бикон — запись поведения пользователя на странице. До согласия.

8458–29358 мс · продолжение GA4

GA4 продолжает отправлять события (включая прокрутку) на 8458, 13463, 24350 и 29358 мс — всё в том же режиме «аналитика разрешена».

сигнал согласия GA4 — «аналитика разрешена» по умолчанию, до выбора пользователя

Отдельного стороннего механизма согласия в замере не видно; согласие реализовано через режим Consent Mode, и сигнал в запросах GA4 (gcs=G101) показывает аналитику как разрешённую по умолчанию. К моменту, когда пользователь мог бы что-то выбрать, GA4, Crazy Egg и Optimizely уже отработали.

Декларация против факта

✓ Google Analytics (в политике назван, заявлен как «низкого влияния» с маскировкой IP) — заявлен

+ Crazy Egg (в политике конфиденциальности не назван) — не заявлен

+ Optimizely (в политике конфиденциальности не назван) — не заявлен

Зафиксированные трекеры

Google Analytics 4 (события до согласия, analytics_storage = granted)
Crazy Egg (запись сессий, тепловые карты, опросы — до согласия)
Optimizely (A/B-эксперименты и логирование событий — до согласия)
Google Tag Manager
mimir.coolblue.nl (первичный real-time, websocket)

Зафиксированные нарушения

Art. 6(1)(a) GDPR и art. 11.7a Telecommunicatiewet — аналитика, запись сессий и эксперименты срабатывают до согласия

В чистом сеансе без какого-либо выбора пользователя сразу разворачивается полноценный аналитико-поведенческий слой. Google Analytics 4 отправляет события session_start (5232 мс), page_view (5259 мс) и далее прокрутку и конверсию; при этом сигнал согласия в самих запросах GA4 (gcs=G101) показывает, что хранение для аналитики помечено как разрешённое (analytics_storage = granted) — то есть аналитика по умолчанию считается согласованной, хотя пользователь ничего не выбирал. Рекламная часть при этом помечена как неперсонализированная. Параллельно загружается и отрабатывает Crazy Egg — инструмент записи сессий, тепловых карт и опросов: на 839 мс грузится его скрипт, а на 6781 мс уходит трекинговый бикон. Также отрабатывает Optimizely — платформа A/B-экспериментов: на 4452 мс загружается её клиентское хранилище, а на 5924 мс на её лог-коллектор уходят события. Аналитика, запись сессий и эксперименты — это нетехнические цели, требующие согласия по art. 11.7a Telecommunicatiewet и Art. 6(1)(a) GDPR, и здесь все три отрабатывают до согласия. Политика Coolblue называет Google Analytics инструментом «низкого влияния» с маскировкой IP, но наблюдаемый GA4 шлёт полноценные события, включая конверсию, в режиме «аналитика разрешена»; Crazy Egg и Optimizely в политике конфиденциальности не названы вовсе.

Контекст

www.coolblue.nl — сайт Coolblue, одного из крупнейших интернет-магазинов электроники и бытовой техники в Нидерландах и Бельгии (каталог, личный кабинет, доставка и установка). Контролёр данных — Coolblue B.V. (Роттердам, Нидерланды). Сайт коммерческий.

Замер: 143 обращения к 11 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Согласие на сайте реализовано через режим Consent Mode.

Кто получает данные

Напрямую до согласия: Google (Analytics), Crazy Egg, Optimizely.

Google Analytics 4 отправляет события на region1.google-analytics.com — session_start, page_view, прокрутку и конверсию. Crazy Egg (script.crazyegg.com, tracking.crazyegg.com) ведёт запись сессий, тепловые карты и опросы. Optimizely (cdn.optimizely.com, eu.logx.optimizely.com) проводит A/B-эксперименты и отправляет события на свой лог-коллектор. Из первичного — real-time-соединение mimir.coolblue.nl на собственном домене (websocket).

Был ли баннер согласия

Отдельного стороннего механизма согласия (CMP) в замере не видно; согласие реализовано через режим Consent Mode. Узловой момент: сигнал согласия в самих запросах GA4 (gcs=G101) помечает хранение для аналитики как разрешённое (analytics_storage = granted) по умолчанию — то есть аналитика считается согласованной ещё до того, как пользователь что-либо выбрал. Рекламная часть при этом помечена как неперсонализированная, и это в пользу сайта — но аналитика, запись сессий и эксперименты к моменту возможного выбора уже отработали.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

Google Analytics 4 — события session_start, page_view, прокрутка, конверсия (с 5232 мс), в режиме «аналитика разрешена»;
Crazy Egg — запись сессий, тепловые карты, опросы (скрипт на 839 мс, бикон на 6781 мс);
Optimizely — A/B-эксперименты и логирование событий (с 4452 мс).

Все три — нетехнические цели, требующие согласия. Запись сессий и тепловые карты особенно чувствительны: это фиксация поведения пользователя на странице. Здесь они отрабатывают раньше любого выбора.

Почему «аналитика по умолчанию разрешена» — это проблема

Это важно для понимания. Режим Consent Mode сам по себе — правильный механизм: он позволяет тегам уважать выбор пользователя. Но значение по умолчанию здесь выставлено так, что хранение для аналитики помечено как разрешённое (analytics_storage = granted) ещё до выбора. В результате GA4 шлёт полноценные события, включая конверсию, а не ограниченные бескуковые пинги. Политика Coolblue называет Google Analytics инструментом «низкого влияния» с частичной маскировкой IP — но наблюдаемое поведение шире, чем у освобождённой приватной аналитики: это стандартный сбор GA4 в режиме согласия. К нему добавляются Crazy Egg и Optimizely, которые в политике конфиденциальности не названы вовсе.

Вывод

Coolblue.nl — случай, когда согласие для рекламы соблюдается, а для аналитики и поведенческих инструментов — нет. В пользу сайта то, что рекламная часть помечена как неперсонализированная. Но Google Analytics 4 отправляет полноценные события с пометкой «аналитика разрешена» по умолчанию, Crazy Egg ведёт запись сессий, тепловые карты и опросы, а Optimizely проводит эксперименты — и все три отрабатывают до согласия. Главное, что должен вынести читатель: значение Consent Mode по умолчанию для аналитики следует переключить на «отказано» до выбора пользователя, а запись сессий и эксперименты — перевести в режим ожидания согласия. Тогда конфигурация пришла бы в соответствие с тем основанием (согласие), на которое опирается сама политика.

Доказательство

Оригинал (разбор)

HAR-файл: nl/coolblue-nl-2026-06-23.har

SHA-256: 5cc3828073813c2ca5e3f8051a254d9af5737272143304eca099cc265cf4690c

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом coolblue.nl.

2. Обстоятельства
Я посетил сайт coolblue.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 23.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) В чистом сеансе без какого-либо выбора пользователя сразу разворачивается полноценный аналитико-поведенческий слой. Google Analytics 4 отправляет события session_start (5232 мс), page_view (5259 мс) и далее прокрутку и конверсию; при этом сигнал согласия в самих запросах GA4 (gcs=G101) показывает, что хранение для аналитики помечено как разрешённое (analytics_storage = granted) — то есть аналитика по умолчанию считается согласованной, хотя пользователь ничего не выбирал. Рекламная часть при этом помечена как неперсонализированная. Параллельно загружается и отрабатывает Crazy Egg — инструмент записи сессий, тепловых карт и опросов: на 839 мс грузится его скрипт, а на 6781 мс уходит трекинговый бикон. Также отрабатывает Optimizely — платформа A/B-экспериментов: на 4452 мс загружается её клиентское хранилище, а на 5924 мс на её лог-коллектор уходят события. Аналитика, запись сессий и эксперименты — это нетехнические цели, требующие согласия по art. 11.7a Telecommunicatiewet и Art. 6(1)(a) GDPR, и здесь все три отрабатывают до согласия. Политика Coolblue называет Google Analytics инструментом «низкого влияния» с маскировкой IP, но наблюдаемый GA4 шлёт полноценные события, включая конверсию, в режиме «аналитика разрешена»; Crazy Egg и Optimizely в политике конфиденциальности не названы вовсе.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/coolblue-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и art. 11.7a Telecommunicatiewet — аналитика, запись сессий и эксперименты срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]