Методология

Принципы

Аудит — это воспроизводимое измерение, а не мнение. Каждое утверждение в публикации опирается на конкретный артефакт: HAR-файл, скриншот, фрагмент кода. Любой человек с минимальной технической подготовкой должен иметь возможность повторить аудит и получить аналогичный результат.

Инструменты

• Браузер: Firefox или Chromium в режиме обычного посетителя (свежий профиль, без расширений, типичный User-Agent).
• DevTools для записи сетевого трафика в формате HAR (HTTP Archive).
• Дополнительная верификация: Wireshark для подтверждения исходящих TCP-соединений на уровне сети.
• Геолокация: фиксируется и указывается в метаданных аудита, так как RTB-инфраструктура отдаёт разные ответы из разных регионов.

Процедура

1. Подготовка сессии. Свежий профиль браузера, очищенные cookies, отключённые расширения. Открывается режим разработчика, начинается запись сети.
2. Открытие сайта. Запросы фиксируются с точными временными метками относительно начала сессии.
3. Взаимодействие с баннером согласия (если есть): отдельно записывается состояние до клика и после каждого варианта клика.
4. Просмотр нескольких страниц для оценки трекеров, активных вне главной.
5. Экспорт HAR-файла с временной меткой и контрольной суммой SHA-256.

Классификация запросов

Каждый сетевой запрос классифицируется по нескольким измерениям:

• Назначение: технический ресурс, аналитика, реклама, согласие, безопасность, шрифт.
• Получатель: домен, корпорация, юрисдикция (ЕС, США, иная третья страна).
• Момент срабатывания: до баннера, после согласия, после отказа.
• Декларированность: указан ли получатель в политике конфиденциальности сайта.

Правовая квалификация

Технические находки сопоставляются с конкретными статьями GDPR:

• Art. 5, 6, 7 — правовое основание и согласие;
• Art. 9, 10 — особые категории данных;
• Art. 12, 13, 14 — прозрачность и информирование;
• Art. 25 — privacy by design and by default;
• Chapter V — передача данных в третьи страны.

Аудит не делает выводов о виновности или умысле — он фиксирует факты и указывает применимые нормы.

Доказательственная цепочка

Для каждого аудита публикуется:

• HAR-файл в открытом доступе для скачивания.
• SHA-256 контрольная сумма HAR-файла, опубликованная на странице аудита.
• Дата и время проведения аудита.
• Геолокация клиента на момент аудита.
• Версия браузера и User-Agent.

Это даёт возможность проверки целостности доказательства и независимой репликации.

Ограничения

• Аудит фиксирует состояние на конкретный момент времени. Сайт может быть исправлен или, наоборот, добавить новые нарушения после даты аудита.
• Не все нарушения видны через HAR. Например, обработка данных на сервере или в бэк-офисе требует других методов.
• Правовая квалификация публикуется как обоснованное мнение, не как судебное решение. Окончательную квалификацию выносит компетентный орган.

Открытость

Методология открыта для критики. Если вы замечаете методологическую ошибку — напишите по адресу contact@gdpr-audit.eu. Исправления документируются публично в журнале изменений.