EUGDPR Audit
RU EN
Технический аудит · 2026-06-06

aboutyou.ee

Европейский онлайн-ритейлер одежды — дочерняя компания Otto Group
EE

Немецкий онлайн-ритейлер — русскоязычная версия для Эстонии. Usercentrics загружается корректно и опережает большинство трекеров. Одно исключение: собственный tracking API t2.aboutyou.com стартует одновременно с баннером — до его фактического появления.

Хронология утечки

+129 мс · одновременно
t2.aboutyou.com (lib.js?t=AYC) и Usercentrics loader — запускаются в одну миллисекунду. Баннер ещё не отрендерился.
+129–1904 мс · загрузка баннера
Usercentrics полностью загружается за ~1,8 секунды: loader, WebSdk, конфигурация GDPR для русского языка, UI компоненты.
+2898 мс · после баннера
unpkg.com (@rive-app/canvas 2.34.1, rive.wasm) — CDN библиотеки анимаций. Данные в США.
+3043 мс
Optimizely (logx.optimizely.com) — A/B тестирование, events. США.
+3136 мс
tadarida-web.aboutyou.com — собственный gRPC API: корзина, миссии, навигация. Данные в инфраструктуре ABOUT YOU.

Декларация против факта

+ Optimizely (logx.optimizely.com) — США — не заявлен
+ unpkg.com CDN — США — не заявлен

Тайминги передачи

+129 мс t2.aboutyou.com до баннера Tracking lib.js одновременно с Usercentrics
+129 мс web.cmp.usercentrics.eu баннер Usercentrics loader — начало загрузки
+1904 мс graphql.usercentrics.eu баннер Usercentrics полностью загружен
+2898 мс unpkg.com после баннера rive.wasm CDN. США
+3043 мс logx.optimizely.com после баннера A/B тестирование events. США

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

ru.aboutyou.ee — русскоязычная версия эстонского магазина ABOUT YOU, дочерней компании Otto Group (Гамбург). Аудит проводился на русскоязычной версии сайта (ru.aboutyou.ee/vash-magazin) — отдельная локализация для русскоязычных жителей Эстонии. HAR: 177 запросов, 13 доменов.

Что сделано правильно

ABOUT YOU выстроил архитектуру значительно лучше большинства ритейлеров в серии. Usercentrics загружается на +129 мс — одним из первых запросов. Конфигурация GDPR подгружается на русском языке (/ru/GDPR/). Большинство трекеров активируются после загрузки Usercentrics. Собственная инфраструктура (assets.aboutstatic.com, cdn.aboutstatic.com, tadarida-web.aboutyou.com) — без Google CDN, без Cloudflare для медиаконтента. Ноль Set-Cookie ответов.

t2.aboutyou.com — граничный случай

На +129 мс одновременно запускаются и Usercentrics loader, и t2.aboutyou.com/tapi/basic-js/lib.js — собственный tracking API ABOUT YOU. Технически они стартуют в одну миллисекунду, но баннер Usercentrics отрендерился и стал видим пользователю лишь через ~1,5–2 секунды. Это означает что собственный трекер ABOUT YOU инициализировался до того как пользователь мог физически видеть баннер и взаимодействовать с ним.

Optimizely и unpkg — незадекларированные получатели

Optimizely (logx.optimizely.com, +3043 мс) — платформа A/B тестирования американской компании Optimizely Inc. Активируется после загрузки Usercentrics, что технически лучше — но в политике конфиденциальности ABOUT YOU для Эстонии Optimizely не упомянут как получатель данных.

unpkg.com (+2898 мс) — публичный CDN npm-пакетов. Загружает @rive-app/canvas@2.34.1/rive.wasm — библиотеку анимаций. IP уходит в Cloudflare (США). Использование публичного CDN вместо собственного хостинга библиотеки — небрежность на фоне в целом аккуратной архитектуры.

Сравнение с Zalando

Оба сайта используют Usercentrics. Залando загружает GTM за 1,5 секунды до баннера. ABOUT YOU загружает Usercentrics одним из первых запросов и держит большинство трекеров за барьером согласия. Архитектурно ABOUT YOU ближе к правильной реализации — с оговоркой про t2.aboutyou.com и Optimizely.

Вывод

ABOUT YOU демонстрирует один из лучших подходов к согласию среди коммерческих сайтов в серии: Usercentrics стартует сразу, большинство трекеров за барьером, собственная инфраструктура. Два нераскрытых получателя (Optimizely, unpkg.com) и пограничный случай с t2.aboutyou.com — это точки для исправления, а не системная проблема.

Доказательство
Оригинал (разбор)
HAR-файл: ee/aboutyou-ee-2026-06-06.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом aboutyou.ee.

2. Обстоятельства
Я посетил сайт aboutyou.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) t2.aboutyou.com (tracking API) загружается одновременно с Usercentrics на +129 мс — до того как баннер отрендерился и пользователь мог его видеть. Optimizely (+3043 мс) активируется после загрузки Usercentrics, но механизм согласия для него не очевиден из HAR.

2) Optimizely (США) и unpkg.com CDN не упомянуты в политике конфиденциальности как получатели данных. Механизм передачи данных в США для Optimizely не указан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/aboutyou-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 13(1)(e), Art. 13(1)(f)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]