EUGDPR Audit
RU EN
Технический аудит · 2026-06-16

ns.nl

Сайт национального железнодорожного перевозчика Нидерландов
NL

Ns.nl — сайт национального железнодорожного перевозчика Нидерландов. Замер главной страницы: 96 обращений, 19 доменов. На сайте установлена платформа сбора согласия, но до выбора пользователя отрабатывает целый поведенческий стек: платформа клиентских данных начинает профилировать визит самым первым сторонним обращением, загружаются A/B-тесты, продуктовая аналитика вместе с записью сессий отправляет события, а система перехвата опросов подключается параллельно. Согласие фиксируется значительно позже — когда всё это уже сработало. Часть сервисов политика называет как используемые с согласия, но в замере они срабатывают раньше него, а платформа A/B-тестов и продуктовая аналитика с записью сессий не названы вовсе.

Хронология утечки

545 мс · платформа клиентских данных начинает профилирование
Самым первым сторонним обращением запускается платформа клиентских данных. Её назначение — профилировать посетителя и собирать единый профиль. Это происходит на полусекунде, задолго до согласия.
1298 мс · A/B-тесты и персонализация
Загружается конфигурация платформы A/B-тестирования и персонализации. До согласия.
2115 мс · продуктовая аналитика
Загружается продуктовая аналитика. До согласия.
2846 мс · запись сессий
Подключается модуль записи сессий продуктовой аналитики — фиксация действий пользователя на странице. До согласия.
2934 мс · перехват опросов
Подключается система перехвата опросов. До согласия.
5090 мс · аналитика отправляет события
Продуктовая аналитика отправляет события на свои серверы. Это происходит до фиксации согласия.
6908 мс · согласие фиксируется, но стек уже отработал
Согласие в этом сеансе фиксируется значительно позже момента, когда профилирование, эксперименты, запись сессий и опросы уже отработали. Cookie через заголовки за сеанс не выставлено.

Декларация против факта

BlueConic — заявлен
Qualtrics — заявлен
+ Optimizely — не заявлен
+ Amplitude (+ запись сессий) — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.ns.nl — сайт национального железнодорожного перевозчика Нидерландов (Nederlandse Spoorwegen): расписание, билеты, планировщик поездок, информация о поездах. Контролёр данных — NS. Сайт коммерческий и сервисный, с высокой посещаемостью.

Замер: 96 обращений к 19 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Установлена платформа сбора согласия. Технический стек насыщен сервисами профилирования, экспериментов, аналитики и опросов.

Кто получает данные

Тут были замечены: платформа клиентских данных, платформа A/B-тестирования, продуктовая аналитика с записью сессий, система опросов.

Платформа клиентских данных профилирует посетителя и собирает единый профиль. Платформа A/B-тестирования подбирает варианты страницы. Продуктовая аналитика фиксирует события и ведёт запись сессий. Система опросов перехватывает посетителя для анкет. Принципиальный момент в том, что весь этот набор срабатывает до согласия.

Был ли баннер согласия

Да, на сайте установлена платформа сбора согласия. Но согласие в этом сеансе фиксируется значительно позже момента, когда профилирование, эксперименты, запись сессий и опросы уже отработали. То есть баннер присутствует, но фактически не удерживает эти сервисы.

Отдельно стоит отметить, что политика называет платформу клиентских данных и систему опросов как используемые с согласия пользователя — но в замере они срабатывают раньше согласия.

Что срабатывает до согласия

До согласия отрабатывает:

  • платформа клиентских данных — профилирование визита (самым первым обращением);
  • платформа A/B-тестирования — подбор вариантов страницы;
  • продуктовая аналитика — события и запись сессий;
  • система перехвата опросов.

Все эти сервисы — нетехнические цели, требующие согласия. Особенно показательно, что профилирование запускается самым первым сторонним обращением, а продуктовая аналитика включает запись сессий — оба требуют согласия и оба отрабатывают раньше выбора.

Нераскрытые получатели

Отдельный пункт. Политика называет платформу клиентских данных и систему опросов, но платформа A/B-тестирования и продуктовая аналитика с модулем записи сессий в ней не упомянуты. То есть два сервиса, включая ведущий запись сессий, которые отправляют данные до согласия, в перечне не раскрыты.

Вывод

Ns.nl — один из более тяжёлых случаев. На сайте национального перевозчика до согласия отрабатывает целый поведенческий стек: платформа клиентских данных профилирует визит самым первым обращением, работают A/B-тесты, а продуктовая аналитика ведёт запись сессий и отправляет события. Платформа сбора согласия присутствует, но фактически не удерживает эти сервисы, а часть из них вдобавок не названа в политике. Главное, что должен вынести читатель: профилирование, эксперименты и запись сессий — самые чувствительные виды сбора, и именно их здесь запускают раньше выбора пользователя. Достаточно перевести весь этот набор в режим ожидания согласия и дополнить перечень получателей."

Доказательство
Оригинал (разбор)
HAR-файл: nl/ns-nl-2026-06-16.har
SHA-256: 1832fdbafe9e58721bb0fa2073c7f7af49ddc453f53989551874ec0871686df8
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ns.nl.

2. Обстоятельства
Я посетил сайт ns.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте установлена платформа сбора согласия, но до того, как пользователь сделал выбор, отрабатывает целый поведенческий стек. Самым первым сторонним обращением, ещё на полусекунде, запускается платформа клиентских данных, назначение которой — профилировать посетителя и собирать единый профиль. Затем загружается платформа A/B-тестирования и персонализации. Затем — продуктовая аналитика, причём вместе с модулем записи сессий, фиксирующим действия пользователя на странице; она отправляет события на свои серверы. Параллельно подключается система перехвата опросов. Согласие в этом сеансе фиксируется значительно позже — когда весь этот набор уже отработал. То есть платформа сбора согласия присутствует, но фактически не удерживает ни профилирование, ни эксперименты, ни запись сессий. Все эти сервисы — нетехнические цели, требующие согласия. Отдельно отметим, что политика называет часть этих сервисов как используемые «с вашего согласия», но в замере они срабатывают раньше согласия.

2) Политика называет платформу клиентских данных и систему опросов, но платформа A/B-тестирования и продуктовая аналитика с модулем записи сессий в ней не упомянуты. То есть два сервиса, в том числе ведущий запись сессий, которые отправляют данные до согласия, в перечне не раскрыты.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ns-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — платформа клиентских данных, A/B-тесты, продуктовая аналитика с записью сессий и опросы срабатывают до согласия; Art. 13 GDPR — платформа A/B-тестирования и продуктовая аналитика с записью сессий в политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]