Технический аудит · 2026-06-20

euronics.it

Магазин электроники и бытовой техники

Euronics.it — сеть магазинов электроники и бытовой техники. Замер главной страницы: 211 обращений, 26 доменов — один из самых нагруженных поведенческой слежкой коммерческих сайтов. Стоит платформа сбора согласия OneTrust, но её чек согласия фиксируется лишь примерно на 17-й секунде, а до него отрабатывает полный арсенал отслеживания поведения. Сразу три инструмента записи сессий и поведенческого анализа — Microsoft Clarity, Hotjar и VWO; профилирование Salesforce в нескольких сервисах; Google Analytics с аналитикой, разрешённой по умолчанию; рекламный тег Google и платёжный трекинг Klarna. Microsoft Clarity при этом активно записывает сессию и отправляет её на свои серверы ещё до согласия. Все эти инструменты названы в политике, но срабатывают они раньше выбора пользователя.

Хронология утечки

980–985 мс · профилирование Salesforce и платёж

Стартуют профилирующие сервисы Salesforce: платформа клиентских данных и сервис персонализации, а также трекинг платёжного сервиса Klarna и инструмент A/B-тестов Google. Всё это до согласия.

1077–2496 мс · движок рекомендаций Salesforce

Подключается движок рекомендаций Salesforce (Einstein) и запрашивает персональные подборки на основе поведения. Профилирование разворачивается до согласия.

1554 мс · поведенческий анализ VWO

Инструмент VWO отправляет поведенческий beacon. Это анализ действий пользователя на странице, до согласия.

2626 мс · платформа согласия OneTrust

Загружается платформа сбора согласия OneTrust. Механизм согласия предусмотрен — значит то, что отрабатывает раньше выбора, происходит до согласия.

2671–2674 мс · запись сессий Hotjar и Microsoft Clarity

Запускаются два инструмента записи сессий — Hotjar и Microsoft Clarity. Они фиксируют поведение пользователя на странице: движения, клики, прокрутку.

2674 мс и далее · Clarity записывает и отправляет сессию

Microsoft Clarity отправляет данные записи сессии на свои серверы — более десяти раз по ходу сеанса. То есть поведение пользователя реально пишется и уходит наружу, до согласия.

3874–3989 мс · Google Analytics и рекламный тег

Google Analytics отправляет просмотр с аналитикой, разрешённой по умолчанию, а рекламный тег Google шлёт служебный пинг (в неперсонализированном режиме).

Декларация против факта

✓ Microsoft Clarity — заявлен

✓ Hotjar — заявлен

✓ VWO — заявлен

✓ Salesforce iGoDigital — заявлен

✓ Salesforce Einstein — заявлен

Зафиксированные трекеры

Microsoft Clarity (запись сессий)
Hotjar (запись сессий)
VWO
Salesforce (профилирование)
Google Analytics 4
Google AdSense
Klarna

Зафиксированные нарушения

Art. 6(1)(a) GDPR — запись сессий и профилирование срабатывают до согласия

На сайте стоит платформа сбора согласия OneTrust, но её чек согласия в этом сеансе фиксируется лишь примерно на 17-й секунде — а до него успевает отработать целый арсенал поведенческой слежки. Microsoft Clarity записывает сессию (движения, клики, прокрутку) и отправляет данные на свои серверы более десяти раз начиная с третьей секунды. Параллельно работают ещё два инструмента поведенческого анализа — Hotjar и VWO. Профилирование Salesforce представлено сразу несколькими сервисами: платформа клиентских данных, сервис персонализации и движок рекомендаций — все они собирают и передают поведенческие данные. Google Analytics при этом запускается с аналитикой, разрешённой по умолчанию. Запись сессий и профилирование — это не обезличенная статистика, а индивидуальное поведенческое наблюдение, требующее предварительного согласия. Здесь оно разворачивается за десяток секунд до того, как согласие вообще зафиксировано.

Контекст

www.euronics.it — сеть магазинов электроники и бытовой техники. Контролёр данных — оператор Euronics. Сайт коммерческий: каталог, поиск, корзина, личный кабинет, рассрочка.

Замер: 211 обращений к 26 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек — один из самых нагруженных поведенческой слежкой среди коммерческих сайтов.

Кто получает данные

Тут были замечены: Microsoft, Salesforce, Google, Klarna.

Microsoft получает запись сессии через Clarity — фиксацию движений, кликов и прокрутки. Salesforce представлен сразу несколькими профилирующими сервисами: платформа клиентских данных, сервис персонализации и движок рекомендаций. Google — аналитикой и рекламным тегом. Klarna — платёжным трекингом. Дополнительно работают ещё два инструмента поведенческого анализа — Hotjar и VWO. То есть на сайте одновременно действуют три инструмента записи сессий и поведенческого анализа.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия OneTrust, но её чек согласия в сеансе фиксируется лишь примерно на 17-й секунде. К этому моменту запись сессий и профилирование уже отработали и отправили данные.

При этом важно: сама политика относит профилирующие cookie к нетехническим, требующим согласия, а аналитику приравнивает к техническим лишь при условии обезличенности. Запись сессий и профилирование под обезличенную аналитику не подпадают — это индивидуальное поведенческое наблюдение.

Что срабатывает до согласия

До фиксации согласия отрабатывает:

Microsoft Clarity — запись сессии с отправкой данных более десяти раз;
Hotjar и VWO — ещё два инструмента поведенческого анализа;
профилирование Salesforce — платформа клиентских данных, персонализация и движок рекомендаций;
Google Analytics — с аналитикой, разрешённой по умолчанию;
рекламный тег Google и платёжный трекинг Klarna.

Запись сессий фиксирует индивидуальное поведение пользователя — это не агрегированная статистика, и по правилам ЕС такое наблюдение требует предварительного согласия. Здесь оно разворачивается за десяток секунд до того, как согласие зафиксировано.

Заявлено, но включено до согласия

Стоит отметить: с прозрачностью у сайта в части наименования получателей лучше, чем у некоторых других. Все эти инструменты — Clarity, Hotjar, VWO, сервисы Salesforce — названы в политике. Проблема не в том, что они скрыты, а в том, что они отрабатывают до согласия. Названность инструмента не заменяет правового основания: если сервис записывает поведение пользователя, он должен дождаться согласия, а не просто быть упомянутым в документе.

Вывод

Euronics.it — один из самых тяжёлых коммерческих случаев по объёму поведенческой слежки. До согласия, которое фиксируется лишь к 17-й секунде, на сайте уже работают три инструмента записи сессий и поведенческого анализа, несколько профилирующих сервисов Salesforce и аналитика Google, разрешённая по умолчанию. Microsoft Clarity при этом реально записывает сессию пользователя и отправляет её наружу. Главное, что должен вынести читатель: запись сессий и профилирование — это индивидуальное наблюдение, которое обязано дожидаться согласия, и наличие этих инструментов в списке политики ничего не меняет, если они включены раньше выбора. Здесь до согласия успевает отработать практически весь поведенческий стек сразу."

Доказательство

Оригинал (разбор)

HAR-файл: it/euronics-it-2026-06-20.har

SHA-256: 8f1fe746a9cd30b920b27364517b00a38b2627000bcca86acfbd8b07d5cdedb3

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом euronics.it.

2. Обстоятельства
Я посетил сайт euronics.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия OneTrust, но её чек согласия в этом сеансе фиксируется лишь примерно на 17-й секунде — а до него успевает отработать целый арсенал поведенческой слежки. Microsoft Clarity записывает сессию (движения, клики, прокрутку) и отправляет данные на свои серверы более десяти раз начиная с третьей секунды. Параллельно работают ещё два инструмента поведенческого анализа — Hotjar и VWO. Профилирование Salesforce представлено сразу несколькими сервисами: платформа клиентских данных, сервис персонализации и движок рекомендаций — все они собирают и передают поведенческие данные. Google Analytics при этом запускается с аналитикой, разрешённой по умолчанию. Запись сессий и профилирование — это не обезличенная статистика, а индивидуальное поведенческое наблюдение, требующее предварительного согласия. Здесь оно разворачивается за десяток секунд до того, как согласие вообще зафиксировано.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/euronics-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — запись сессий и профилирование срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]