Технический аудит · 2026-06-23

docmorris.de

Сайт онлайн-аптеки DocMorris

Docmorris.de — сайт крупной онлайн-аптеки DocMorris. Замер главной страницы: 146 обращений, 12 доменов; сессия вошла через редирект с docmorris.nl на docmorris.de. На сайте есть полноценный баннер согласия на платформе consentmanager, и устроен он во многом правильно: контейнеры сборщика тегов (первичный домен measure.docmorris.de поверх Google Tag Gateway и стандартный Google Tag Manager) загружаются, но ни аналитики Google, ни Criteo, ни рекламных пикселей в чистом сеансе не разворачивают — Criteo лишь разрешён в CSP и удержан за согласием. До того, как интерфейс баннера отрисовывается (15956 мс), отрабатывают две маркетинговые вещи: библиотека атрибуции Exactag (5380 мс, которую сама аптека относит к обработке за согласием) и обращение-бикон на сторонний, не идентифицированный домен spapi.io (7630 мс). Обе цели маркетинговые и срабатывают раньше выбора пользователя.

Хронология утечки

3747 мс · первичный контейнер тегов

С собственного поддомена measure.docmorris.de загружается контейнер сборщика тегов (Google Tag Gateway / серверная разметка). Сам по себе он коммерческих трекеров пока не разворачивает.

5380 мс · маркетинговая атрибуция Exactag

Загружается библиотека Exactag — инструмент маркетинговой атрибуции и измерения пути пользователя. Это нетехническая цель, которую аптека в своей документации относит к обработке за согласием, и она отрабатывает до согласия.

5818–5844 мс · механизм согласия и контейнер Google

Загружаются скрипт платформы согласия consentmanager (5818 мс) и стандартный контейнер Google Tag Manager (5844 мс). Важно: ни аналитика Google, ни рекламные обращения в этом сеансе не сработали — контейнеры загружены, но теги не развёрнуты.

7630 мс · сторонний бикон spapi.io

На сторонний домен spapi.io уходит обращение-бикон: полезный груз закодирован прямо в адресе запроса (длина адреса — 1087 символов), источник — docmorris.de. Вендор публично не идентифицируется и в политике сайта не назван. До согласия.

8315 мс · чат-ассистент

Загружается виджет чат-ассистента (Zowie) — функциональный сервис поддержки, заявленный в политике; работает в облаке ЕС.

интерфейс баннера — 15956 мс, согласие зафиксировано — 40255 мс; Exactag и сторонний бикон отработали раньше

Полноценный баннер согласия присутствует: его интерфейс отрисовывается на 15956 мс, а решение фиксируется на 40255 мс (обращение consent.php). Маркетинговая атрибуция Exactag (5380 мс) и сторонний бикон spapi.io (7630 мс) к этому моменту уже отработали — до баннера и до любого согласия.

Декларация против факта

✓ Zowie (чат-ассистент) — заявлен

✓ Criteo (за согласием, не сработал) — заявлен

✓ Datadog (безопасность, законный интерес) — заявлен

+ Exactag (в политике сайта не назван) — не заявлен

+ Сторонний трекер spapi.io — не заявлен

Зафиксированные трекеры

Exactag (маркетинговая атрибуция, до согласия)
Сторонний трекер spapi.io (до согласия, вендор не идентифицирован)
Google Tag Manager / Google Tag Gateway (контейнер загружен, теги не развёрнуты)
consentmanager (механизм согласия)
Criteo (разрешён в CSP, за согласием — не сработал)

Зафиксированные нарушения

Art. 6(1)(a) GDPR (и § 25 TDDDG/TTDSG) — маркетинговая атрибуция и сторонний трекер срабатывают до согласия

На сайте есть полноценный механизм согласия (платформа consentmanager), и сама аптека в своей документации относит маркетинговые инструменты, включая Exactag, к обработке на основании согласия (Art. 6(1)(a) GDPR). Однако в чистом сеансе без согласия библиотека маркетинговой атрибуции Exactag загружается на 5380 мс — раньше, чем баннер согласия успевает отрисоваться (интерфейс баннера появляется на 15956 мс). Назначение Exactag — измерение пути пользователя и конверсий (точки контакта, просмотры, onsite-события), то есть нетехническая, маркетинговая цель. Дополнительно на 7630 мс на сторонний домен уходит обращение-бикон: полезный груз закодирован прямо в адресе запроса (длина адреса — 1087 символов), источник — docmorris.de; вендор этого трекера публично не идентифицируется и в политике сайта не назван. То, что тяжёлые средства (аналитика Google, Criteo, рекламные пиксели) не развернулись, — в пользу сайта, но не снимает проблему: маркетинговая атрибуция и сторонний бикон контактируют с третьими лицами раньше выбора пользователя, вопреки тому основанию (согласие), на которое опирается сама аптека.

Контекст

www.docmorris.de — сайт DocMorris, одной из крупнейших европейских онлайн-аптек (доставка лекарств и товаров для здоровья, личный кабинет, программа лояльности). Контролёры данных — DocMorris N.V. и DocMorris Services B.V. (Хеерлен, Нидерланды); сайт работает на немецкую аудиторию под доменом .de. Поскольку речь об аптеке, чувствительность контекста высокая.

Замер: 146 обращений к 12 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Сессия вошла через переадресацию с www.docmorris.nl на www.docmorris.de — этим объясняется нидерландский домен в списке. На сайте есть собственный механизм согласия на платформе consentmanager.

Кто получает данные

Напрямую до согласия: Exactag, сторонний трекер spapi.io.

Exactag — это маркетинговая атрибуция: измерение точек контакта, просмотров, onsite-событий и конверсий по пути пользователя. Её библиотека загружается на 5380 мс, раньше отрисовки интерфейса баннера (15956 мс). spapi.io — сторонний домен, на который на 7630 мс уходит обращение-бикон с привязанным к визиту полезным грузом (длина адреса запроса — 1087 символов); вендора идентифицировать публично не удалось, в политике сайта он не назван.

Контейнеры сборщика тегов (первичный поддомен measure.docmorris.de поверх Google Tag Gateway и стандартный Google Tag Manager) загружаются, но коммерческих трекеров не разворачивают: ни аналитики Google, ни рекламных обращений в этом сеансе нет. Criteo разрешён в заголовке CSP, но удержан за согласием и не сработал. Из функционального — виджет чат-ассистента (Zowie), заявленный в политике.

Был ли баннер согласия

Да, полноценный баннер на платформе consentmanager присутствует, и устроен он во многом правильно: основная масса коммерческих средств удержана за ним. Скрипт платформы согласия загружается на 5818 мс, интерфейс баннера отрисовывается на 15956 мс, а решение фиксируется на 40255 мс (обращение consent.php).

Узловой момент в том, что часть маркетинга отработала раньше баннера: к моменту отрисовки его интерфейса (15956 мс) библиотека Exactag (5380 мс) и сторонний бикон (7630 мс) уже сходили в сеть.

Что срабатывает до согласия

До отрисовки баннера и до любого согласия отрабатывает:

маркетинговая атрибуция Exactag (5380 мс) — загрузка библиотеки измерения пути пользователя;
обращение-бикон на сторонний домен spapi.io (7630 мс) — с привязанным к визиту полезным грузом;
контейнеры сборщика тегов — загружаются, но коммерческих тегов в этом сеансе не разворачивают;
чат-ассистент Zowie (8315 мс) — функциональный сервис поддержки.

Контейнеры тегов и чат претензий не вызывают: первые без согласия ничего не развернули, второй функционален и заявлен. Претензия — к Exactag и стороннему бикону: это маркетинговые, нетехнические цели, и они контактируют с третьими лицами до выбора пользователя.

Почему «контейнер загружен» — это ещё не нарушение, а Exactag — уже

Это важно для понимания. Загрузка контейнера сборщика тегов сама по себе нейтральна: если без согласия он не развернул ни аналитику, ни рекламу, ни пиксели — претензии нет, и здесь это так. Поэтому Google Tag Manager в этом замере к нарушению не относится.

Иначе с Exactag. Это не контейнер, а конкретный маркетинговый инструмент с собственной целью — измерение пути и конверсий. DocMorris в своей же документации относит маркетинговые средства, включая Exactag, к обработке на основании согласия (Art. 6(1)(a) GDPR). Запуск такой библиотеки до согласия противоречит этому основанию. К ней добавляется сторонний бикон на spapi.io, который не назван в политике вовсе, — что усугубляет и вопрос прозрачности.

Вывод

Docmorris.de — случай в целом дисциплинированной настройки с одной утечкой на уровне маркетинга. В пользу сайта многое: есть полноценный баннер согласия, аналитика Google, Criteo и рекламные пиксели в чистом сеансе не разворачиваются, Criteo удержан за согласием. Но библиотека маркетинговой атрибуции Exactag (5380 мс) и сторонний бикон на не идентифицированный домен spapi.io (7630 мс) отрабатывают раньше, чем отрисовывается интерфейс баннера (15956 мс), и раньше любого согласия. Главное, что должен вынести читатель: достаточно перевести маркетинговую атрибуцию и сторонний бикон в режим ожидания согласия — так же, как это уже сделано для аналитики Google и Criteo, — и для аптеки, оперирующей чувствительным контекстом, конфигурация стала бы чистой.

Доказательство

Оригинал (разбор)

HAR-файл: de/docmorris-de-2026-06-23.har

SHA-256: e1abf7637d90e8e91695c3184b29760190616e1a7674bfce48e38001234030cc

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом docmorris.de.

2. Обстоятельства
Я посетил сайт docmorris.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 23.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть полноценный механизм согласия (платформа consentmanager), и сама аптека в своей документации относит маркетинговые инструменты, включая Exactag, к обработке на основании согласия (Art. 6(1)(a) GDPR). Однако в чистом сеансе без согласия библиотека маркетинговой атрибуции Exactag загружается на 5380 мс — раньше, чем баннер согласия успевает отрисоваться (интерфейс баннера появляется на 15956 мс). Назначение Exactag — измерение пути пользователя и конверсий (точки контакта, просмотры, onsite-события), то есть нетехническая, маркетинговая цель. Дополнительно на 7630 мс на сторонний домен уходит обращение-бикон: полезный груз закодирован прямо в адресе запроса (длина адреса — 1087 символов), источник — docmorris.de; вендор этого трекера публично не идентифицируется и в политике сайта не назван. То, что тяжёлые средства (аналитика Google, Criteo, рекламные пиксели) не развернулись, — в пользу сайта, но не снимает проблему: маркетинговая атрибуция и сторонний бикон контактируют с третьими лицами раньше выбора пользователя, вопреки тому основанию (согласие), на которое опирается сама аптека.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/docmorris-de/

3. Нарушенные положения
Art. 6(1)(a) GDPR (и § 25 TDDDG/TTDSG) — маркетинговая атрибуция и сторонний трекер срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]