Технический аудит · 2026-06-06

vinted.ee

Крупнейшая европейская C2C-платформа подержанных вещей — Литва

Крупнейшая европейская C2C-платформа. OneTrust с TCF 2.0 реализован корректно — но Google Publisher Tag и Prebid Stack инициализируются одновременно с TCF stub, до появления баннера. Список IAB-вендоров содержит десятки компаний с заявлениями об «обоснованном интересе».

Хронология утечки

+349 мс · одновременно

OneTrust TCF stub (tcf.stub.js) — TCF-заглушка загружается первой.

+350 мс · одновременно

Google Publisher Tag (gpt.js) — рекламная инфраструктура Google инициализируется вместе с TCF stub.

+351 мс · одновременно

Prebid Stack (boot.pbstck.com) — header bidding инициализируется.

+1978 мс

Google GPT pubads_impl загружается — основная рекламная библиотека.

+2392 мс

pbstck intake — Prebid Stack отправляет данные о странице.

+3358 мс

Confiant (cdn.confiant-integrations.net) — защита от вредоносной рекламы в Prebid.

+3625 мс

conn-check.icg-in.com/connectioncheck — проверка соединения неизвестного сервиса.

Декларация против факта

✓ Google Remarketing — в политике — заявлен

✓ Google Analytics — в политике — заявлен

✓ Google AdSense — в политике — заявлен

✓ IAB TCF 2.0 вендор-лист — сотни вендоров через OneTrust — заявлен

+ conn-check.icg-in.com — не упомянут — не заявлен

+ Confiant — не упомянут явно — не заявлен

Тайминги передачи

+349 мс cdn.cookielaw.org TCF stub OneTrust TCF заглушка

+350 мс pagead2.googlesyndication.com одновременно Google GPT — рекламная инфраструктура

+351 мс boot.pbstck.com одновременно Prebid Stack header bidding

+1791 мс cdn.cookielaw.org баннер OneTrust полностью загружен

+3358 мс cdn.confiant-integrations.net после баннера Confiant — защита от malvertising

+3625 мс conn-check.icg-in.com после баннера Неизвестный connectioncheck

Зафиксированные трекеры

Google Publisher Tag / GPT (pagead2.googlesyndication.com)
Prebid Stack / pbstck.com
Confiant (cdn.confiant-integrations.net)
OneTrust с TCF 2.0 (cdn.cookielaw.org)
ICG-IN.COM (conn-check.icg-in.com)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

Google Publisher Tag (GPT, +350 мс) и Prebid Stack (+351 мс) загружаются одновременно с OneTrust TCF stub (+349 мс) — до появления баннера пользователю. TCF stub должен блокировать рекламную инфраструктуру до согласия, но GPT и Prebid инициализируются параллельно.
GDPR Art. 7, TCF 2.0

OneTrust реализует IAB TCF 2.0 с загрузкой iab2V2Data.json и googleData.json — полным списком IAB-вендоров. Документ с передачей данных компаниям содержит десятки рекламных вендоров (Exponential Interactive, Captify, Index Exchange, Quantcast, RTB House, Trade Desk и другие), каждый с заявлением об «обоснованном интересе» — механизм который EDPB неоднократно признавал недостаточным для рекламного трекинга.
GDPR Art. 13(1)(e)

conn-check.icg-in.com не упомянут в документации как получатель. pbstck.com (Prebid Stack) упомянут косвенно через IAB TCF, но не как именованный получатель в политике.

Контекст

Vinted UAB — литовская C2C-платформа подержанных вещей, крупнейшая в Европе. Работает в 20+ странах, штаб-квартира в Вильнюсе. Ведущий регулятор — литовская VDAI. HAR: 136 запросов, 16 доменов. Сессия на главной странице.

TCF 2.0 — сотни вендоров с «обоснованным интересом»

Vinted реализует IAB Transparency & Consent Framework 2.0 через OneTrust. Документ «передача данных компаниям» содержит список IAB-вендоров: Exponential Interactive, Captify, Roq.ad, AdSpirit, Index Exchange, Quantcast, BeeswaxIO, Sovrn, Adkernel, Adikteev, RTB House, N.Rich, Trade Desk, Nexxen, Epsilon, Yahoo EMEA, Venatus, ADventori, TripleLift, ETARGET, BidTheatre, Ogury, Xandr, ShareThis, NEORY, Nexxen Group — и десятки других.

Большинство из них декларируют «обоснованный интерес» (legitimate interest) как правовое основание для обработки данных в рекламных целях. EDPB в Рекомендациях 3/2022 прямо указал что обоснованный интерес не является допустимым основанием для рекламного профилирования и трекинга без согласия.

GPT и Prebid до баннера — 1 миллисекунда

OneTrust TCF stub (+349 мс), Google GPT (+350 мс) и Prebid Stack (+351 мс) загружаются в течение 2 миллисекунд. TCF stub — это технический механизм который должен перехватывать вызовы к window.__tcfapi и блокировать рекламную инфраструктуру до согласия. Технически это правильная архитектура: TCF API готов раньше GPT. Но фактически GPT и Prebid инициализируются до того как пользователь видит баннер (+1791 мс).

Confiant — защита рекламной экосистемы

cdn.confiant-integrations.net — это Confiant, платформа защиты от вредоносной рекламы (malvertising) в Prebid. Confiant сканирует рекламные креативы перед показом, предотвращая загрузку вредоносного кода через рекламные сети. Это полезный инструмент безопасности — но передаёт данные о странице и контексте в США.

conn-check.icg-in.com — неизвестный домен

conn-check.icg-in.com/connectioncheck (+3625 мс) — запрос на проверку соединения к домену который не упомянут ни в политике, ни в IAB-списке. ICG-IN может быть частью рекламной инфраструктуры, но без явной декларации это нарушение Art. 13(1)(e).

Сравнение с Yaga

Оба — C2C-платформы подержанных вещей на эстонском рынке. Yaga использует Facebook Pixel и загружает GTM за 736 мс до Cookiebot. Vinted использует IAB TCF с сотнями IAB-вендоров, GPT и Prebid для RTB-аукциона. Разные масштабы, разные архитектуры — одна и та же проблема с порядком инициализации.

Вывод

Vinted вложил серьёзные усилия в TCF 2.0 — полный IAB vendor list, OneTrust с корректной конфигурацией. Но «обоснованный интерес» как основание для сотен рекламных вендоров не соответствует позиции EDPB. GPT и Prebid инициализируются одновременно с TCF stub — до появления баннера. conn-check.icg-in.com не задекларирован. Прозрачность есть — правовые основания требуют пересмотра.

Доказательство

Оригинал (разбор)

HAR-файл: ee/vinted-ee-2026-06-06.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом vinted.ee.

2. Обстоятельства
Я посетил сайт vinted.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Publisher Tag (GPT, +350 мс) и Prebid Stack (+351 мс) загружаются одновременно с OneTrust TCF stub (+349 мс) — до появления баннера пользователю. TCF stub должен блокировать рекламную инфраструктуру до согласия, но GPT и Prebid инициализируются параллельно.

2) OneTrust реализует IAB TCF 2.0 с загрузкой iab2V2Data.json и googleData.json — полным списком IAB-вендоров. Документ с передачей данных компаниям содержит десятки рекламных вендоров (Exponential Interactive, Captify, Index Exchange, Quantcast, RTB House, Trade Desk и другие), каждый с заявлением об «обоснованном интересе» — механизм который EDPB неоднократно признавал недостаточным для рекламного трекинга.

3) conn-check.icg-in.com не упомянут в документации как получатель. pbstck.com (Prebid Stack) упомянут косвенно через IAB TCF, но не как именованный получатель в политике.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/vinted-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7, TCF 2.0; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]