EUGDPR Audit
RU EN
Технический аудит · 2026-06-20

zalando.it

Маркетплейс одежды и обуви
IT

Zalando.it — крупный маркетплейс одежды и обуви. Замер главной страницы: 221 обращение, 16 доменов. Набор сдержаннее, чем у сайтов с россыпью рекламных бирж: сторонней программатик-рекламы и RTB здесь нет, рекламные cookie не ставятся. Стоит платформа согласия Usercentrics, и рекламно-аналитический слой Google настроен на соблюдение согласия — сигнал «не дано», реклама неперсонализированная, cookie не выставлены. Но до согласия теги Google всё же отрабатывают: Google Analytics шлёт события просмотра, видимости контента и прокрутки, а рекламный тег AdSense — служебный пинг. То есть поведенческие события уходят в Google в США раньше выбора пользователя, хотя и в обезличенном режиме.

Хронология утечки

533 мс · мониторинг ошибок
Загружается Sentry — сервис мониторинга ошибок. Это технический инструмент отслеживания сбоев, не рекламный трекер.
2569 мс · система тегов Google
Подключается Google Tag Manager — менеджер тегов, через который запускаются аналитика и рекламный тег.
3109–3667 мс · платформа согласия Usercentrics
Загружается платформа сбора согласия Usercentrics. Механизм согласия на сайте предусмотрен.
4245 мс · рекламный тег Google AdSense
Рекламный тег Google AdSense отправляет служебный пинг. Сигнал согласия — «не дано», реклама помечена неперсонализированной.
4420 мс · Google Analytics шлёт просмотр
Google Analytics отправляет событие просмотра страницы. Сигнал согласия — «не дано», передача обезличенная, но факт визита уходит в Google.
4431 мс и далее · поведенческие события
Отправляются события просмотра, видимости контента и прокрутки. То есть в Google уходит и поведение пользователя на странице, по-прежнему в режиме «согласие не дано».
Usercentrics есть, согласие не дано
Платформа согласия присутствует, решение в сеансе не делалось, cookie за сеанс не выставлено. Теги Google отработали до согласия, хотя и в обезличенном режиме.

Декларация против факта

Google Analytics — заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.zalando.it — крупный онлайн-маркетплейс одежды, обуви и аксессуаров. Контролёр данных — Zalando. Сайт коммерческий: каталог, поиск, персональные подборки, корзина, личный кабинет.

Замер: 221 обращение к 16 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Usercentrics. Тяжёлой сторонней рекламной инфраструктуры в замере нет — основной внешний получатель один.

Кто получает данные

Тут был замечен: Google.

Google присутствует аналитикой (Google Analytics), рекламным тегом (AdSense) и системой тегов (Tag Manager). Дополнительно работает Sentry — сервис мониторинга ошибок, технический инструмент. Сторонних рекламных бирж, пикселей соцсетей и сквозных рекламных идентификаторов в замере нет.

Отдельно стоит пояснить про обращения к домену Microsoft Edge: они относятся к встроенной функции перевода страницы в самом браузере и не являются трекингом сайта — сайт за них не отвечает.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия Usercentrics. Решение в этом визите не делалось — замер снят в чистом сеансе.

И здесь важно по-честному отметить положительное: рекламно-аналитический слой Google настроен на соблюдение согласия. Сигнал Google Consent Mode передаёт состояние «не дано», реклама помечена неперсонализированной, отслеживающие cookie за сеанс не выставлены. То есть Google отказ не игнорирует.

Что срабатывает до согласия

До решения пользователя отрабатывает:

  • Google Analytics — события просмотра страницы, видимости контента и прокрутки (обезличенно, но с передачей в Google);
  • рекламный тег Google AdSense — служебный пинг (в неперсонализированном режиме);
  • Sentry — мониторинг ошибок (технический).

Принципиальный момент. Часть из этого Google держит в режиме «согласие не дано» — без cookie и без персонализации, и это засчитываем сайту. Но сами обращения всё равно происходят: поведенческие события (что просмотрено, как прокручено) уходят в Google в США до согласия. Аналитика Google по правилам ЕС не относится к освобождённой от согласия, поэтому её запуск до выбора пользователя остаётся обработкой, начатой раньше согласия.

Что в пользу сайта

Стоит отметить и положительное. Сторонней программатик-рекламы здесь нет: ни рекламных бирж, ни сквозных рекламных идентификаторов, ни пикселей соцсетей, ни записи сессий. Рекламный слой Google работает в неперсонализированном режиме, cookie не выставляются. То есть проблема не в рекламном сливе по двум десяткам компаний, а узкая — в том, что аналитика и рекламный тег Google отрабатывают до согласия.

Вывод

Zalando.it — умеренный коммерческий случай. Тяжёлой сторонней рекламы и рекламных бирж нет, а рекламно-аналитический слой Google настроен на соблюдение согласия: режим «не дано», без cookie, реклама неперсонализированная. Но аналитика и рекламный тег Google всё же отрабатывают до выбора пользователя и отправляют в Google в США события просмотра и прокрутки. Главное, что должен вынести читатель: соблюдение согласия в режиме Google — это правильно и выгодно отличает сайт от тех, кто отказ игнорирует, но даже обезличенные обращения аналитики должны дожидаться согласия, поскольку аналитика Google освобождённой от него не считается. Достаточно перевести запуск тегов в режим ожидания согласия, и узкое расхождение закроется."

Доказательство
Оригинал (разбор)
HAR-файл: it/zalando-it-2026-06-20.har
SHA-256: ee89ce774f07181bbad3e83baf7ce12a63bbe4c86113a349d54cd28b1c6a6512
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом zalando.it.

2. Обстоятельства
Я посетил сайт zalando.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Usercentrics, но в чистом сеансе, до какого-либо решения пользователя, отрабатывают теги Google. В пользу сайта надо честно сказать: они работают в режиме «согласие не дано» — сигнал Google Consent Mode передаёт состояние «denied», реклама помечена неперсонализированной, cookie за сеанс не выставлено ни одной. То есть Google отказ соблюдает и не персонализирует. Но сами обращения всё равно происходят: Google Analytics отправляет события просмотра страницы, видимости контента и прокрутки, а рекламный тег Google AdSense шлёт служебный пинг. Поведенческие события (что просмотрено, как прокручено) при этом уходят в Google в США до согласия. По правилам ЕС аналитика Google не относится к освобождённой от согласия, поэтому её запуск до выбора пользователя, пусть и в обезличенном режиме, остаётся обработкой, начатой раньше согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/zalando-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — аналитика и рекламный тег Google срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]