Технический аудит · 2026-05-26

willhaben.at

Крупнейший австрийский маркетплейс объявлений

Крупнейший австрийский маркетплейс — 168 запросов, 9 внешних доменов. CMP есть, политика есть. Но рекламная машина запускается до согласия: Permutive, Xandr и Microsoft Advertising активны уже через 2–3 секунды после загрузки. И среди них — незадекларированный pa-cd.com.

Хронология утечки

+1887 мс · CMP начинает загрузку

sdk.privacy-center.org начинает загружать компоненты CMP. Баннер ещё не показан.

+2114 мс · первый трекер

njnccxc.pa-cd.com получает первый POST с idclient. Незадекларированный сервис, согласия нет.

+2601 мс · аудиторная аналитика

api.permutive.com отдаёт сегменты аудитории. Permutive строит профиль посетителя до любого выбора.

+2900 мс · реклама Microsoft

adsdk.microsoft.com загружает рекламный SDK. За ним — adsdk.bing.net и adsdkprod.azureedge.net.

+3128 мс · Xandr

ib.adnxs-simple.com и ams3-ib.adnxs-simple.com (Xandr/AppNexus) — запросы на размещение рекламы. Всего 9 запросов к Xandr за сессию.

Итог сессии

Из 168 запросов 33 — к внешним рекламным и аналитическим сервисам. Ни один не ждал согласия.

Декларация против факта

✓ Permutive — упомянут косвенно в разделе об аналитике — заявлен

✓ Microsoft Advertising — упомянут как рекламный партнёр — заявлен

+ pa-cd.com — POST с клиентским идентификатором, в политике отсутствует — не заявлен

Тайминги передачи

+2114 мс njnccxc.pa-cd.com 204 POST с idclient=mpmyuubwyz89p1vb. 5 запросов за сессию. В политике конфиденциальности не упоминается.

+2601 мс api.permutive.com 200 Сегментация аудитории до согласия. 4 запроса за сессию.

+2900 мс adsdk.microsoft.com / adsdk.bing.net 200 Рекламный SDK Microsoft. 7 запросов за сессию.

+3128 мс ib.adnxs-simple.com / ams3-ib.adnxs-simple.com 200 Xandr (AppNexus) — рекламный аукцион. 9 запросов за сессию.

Зафиксированные трекеры

Permutive (аудиторная аналитика)
Xandr / AppNexus (adnxs-simple.com)
Microsoft Advertising (adsdk.microsoft.com, adsdk.bing.net)
pa-cd.com (неустановленный трекер)

Зафиксированные нарушения

GDPR Art. 6(1)(a), TKG § 165

Рекламные трекеры — Permutive, Xandr, Microsoft Advertising и pa-cd.com — загружаются до завершения инициализации CMP и до любого действия пользователя. Согласия нет, данные уходят.
GDPR Art. 13

pa-cd.com отправляет POST-запросы с идентификатором клиента (idclient=mpmyuubwyz89p1vb) 5 раз за сессию. Этот сервис в политике конфиденциальности не упоминается.

Контекст

willhaben.at — крупнейшая австрийская платформа объявлений (недвижимость, авто, работа, маркетплейс), входит в Styria Media Group. HAR: 168 запросов, 9 внешних доменов.

CMP есть, но реклама не ждёт

Privacy Center CMP подключён и начинает загружаться через 1887 мс. Но рекламная инфраструктура не ждёт его завершения: pa-cd.com стреляет POST-запросом на +2114 мс, Permutive сегментирует аудиторию на +2601 мс, Microsoft Advertising загружает SDK на +2900 мс, Xandr выходит на аукцион на +3128 мс. Баннер согласия в этот момент ещё не был показан ни разу.

pa-cd.com — незадекларированный

Среди внешних сервисов выделяется njnccxc.pa-cd.com — случайный субдомен, отправляющий POST-запросы с постоянным идентификатором клиента (idclient=mpmyuubwyz89p1vb) пять раз за сессию. Тело запроса помечено как <REDACTED>. В политике конфиденциальности этот сервис не упоминается ни разу — ни под этим именем, ни под каким другим.

Политика подробная, но не совпадает с реальностью

Политика конфиденциальности (март 2026) детально описывает правовые основания, сроки хранения, права пользователей и партнёров. Но между тем, что задекларировано, и тем, что происходит до согласия — разрыв. Коммерческий маркетплейс с рекламной моделью и подробной политикой, где рекламные трекеры опережают собственный инструмент управления согласием.

Доказательство

Оригинал (разбор)

HAR-файл: at/willhaben-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом willhaben.at.

2. Обстоятельства
Я посетил сайт willhaben.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Рекламные трекеры — Permutive, Xandr, Microsoft Advertising и pa-cd.com — загружаются до завершения инициализации CMP и до любого действия пользователя. Согласия нет, данные уходят.

2) pa-cd.com отправляет POST-запросы с идентификатором клиента (idclient=mpmyuubwyz89p1vb) 5 раз за сессию. Этот сервис в политике конфиденциальности не упоминается.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-willhaben-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), TKG § 165; GDPR Art. 13

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]