Технический аудит · 2026-06-23

autotrack.nl

Сайт автомобильной площадки объявлений AutoTrack

Autotrack.nl — крупная нидерландская площадка автомобильных объявлений (входит в группу AutoScout24, монетизация рекламы — через DPG Media). Замер главной страницы: 89 обращений, 15 доменов (из них обращения к edge.microsoft.com — это встроенный перевод браузера Edge, а не трекинг сайта). Механизм согласия присутствует — AutoScout24 Privacy Manager, режим согласия инициализируется как «по умолчанию отказано». Это в пользу сайта. Но до любого согласия отрабатывает рекламно-аналитический слой DPG Media: ещё до загрузки CMP рекламный модуль постит данные на свой эндпойнт, затем поднимается программатик-стек (Xandr, prebid header bidding) с обращением к рекламной сети Opt Out Advertising, а аналитика Snowplow отправляет просмотр страницы на сторонний коллектор. Этот слой в отдаваемой сайтом политике не назван.

Хронология утечки

1762 мс · рекламный модуль DPG — до загрузки CMP

Рекламный модуль DPG Media отправляет POST-обращение на свой эндпойнт. Это происходит раньше, чем загружается сам механизм согласия — то есть на этот момент рамки согласия ещё не инициализированы.

2509 мс · загрузка механизма согласия

Загружается AutoScout24 Privacy Manager (CMP). Само по себе это правильно — но часть рекламного слоя уже отработала до него.

2608 мс · сборщик тегов и режим согласия «по умолчанию»

Загружается Google Tag Manager и инициализируется режим согласия в состоянии «по умолчанию отказано». Тег Microsoft UET при этом удерживается в бескуковом режиме — это в пользу сайта.

2640 мс · программатик-реклама

Поднимается рекламный стек DPG: модуль Xandr, prebid header bidding, конфигурация ставок и шаблоны нативной рекламы, а также рекламный тег Opt Out Advertising. Реклама инициализируется до согласия.

3231 мс · аналитика Snowplow

Загружается трекер Snowplow, обслуживаемый с домена DPG. Это поведенческая аналитика, а не технический мониторинг.

4193 мс · обращение к рекламной сети

На рекламную сеть Opt Out Advertising уходит POST-запрос показа объявления — то есть рекламный обмен уже идёт. До согласия.

4215 мс · просмотр страницы в Snowplow

Snowplow отправляет событие просмотра страницы (pageview) на сторонний коллектор DPG. Аналитический сбор отрабатывает раньше выбора пользователя.

CMP есть, режим согласия «отказано» — но реклама и аналитика уже отработали

Механизм согласия присутствует, режим инициализирован как «по умолчанию отказано» — это сильная сторона. Но рекламный аукцион и просмотр страницы в Snowplow к этому моменту уже ушли к третьим лицам, до какого-либо согласия.

Декларация против факта

✓ Microsoft UET (в политике назван, в замере — режим Consent Mode «отказано») — заявлен

✓ Google Tag Manager — заявлен

✓ Мониторинг производительности (описан в политике как законный интерес) — заявлен

+ DPG Media — реклама и Snowplow-аналитика — не заявлен

+ Opt Out Advertising (рекламная сеть) — не заявлен

+ Xandr / prebid header bidding — не заявлен

+ New Relic (в политике не назван) — не заявлен

Зафиксированные трекеры

Snowplow-аналитика DPG (pageview до согласия)
Программатик-реклама DPG: Xandr + prebid header bidding (до согласия)
Opt Out Advertising — обращение к рекламной сети (до согласия)
Рекламный модуль DPG (POST до загрузки CMP)
Microsoft UET (Consent Mode «default» — отказано)
New Relic (мониторинг производительности)
AutoScout24 Privacy Manager (механизм согласия)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — рекламный программатик-стек и сторонняя аналитика срабатывают до согласия

На сайте есть механизм согласия (AutoScout24 Privacy Manager), и устроен он во многом грамотно: режим согласия инициализируется в состоянии «по умолчанию отказано» (Consent Mode default), благодаря чему теги Google и Microsoft (UET) удерживаются в бескуковом режиме. Это в пользу сайта. Однако до какого-либо согласия успевает отработать целый рекламно-аналитический слой. Ещё до загрузки самого CMP, на 1762 мс, рекламный модуль DPG Media отправляет POST-обращение на свой эндпойнт. Далее поднимается программатик-стек DPG (Xandr и prebid header bidding) и происходит обращение к рекламной сети Opt Out Advertising (запрос показа объявления). Параллельно аналитика Snowplow отправляет просмотр страницы на сторонний коллектор DPG. Все эти обращения передают третьим лицам IP-адрес и контекст визита — то есть персональные данные — для рекламных и аналитических целей, и происходит это раньше выбора пользователя. Усугубляет картину то, что весь этот слой (DPG Media, Snowplow, Xandr, prebid, Opt Out Advertising) в отдаваемой сайтом политике конфиденциальности — а это групповое заявление AutoScout24 — не назван вовсе. То, что режим согласия по умолчанию «отказано», смягчает оценку, но не отменяет того, что аналитический просмотр и рекламные обращения к третьим лицам уходят до согласия.

Контекст

www.autotrack.nl — одна из крупных нидерландских площадок объявлений о продаже автомобилей. Контролёр данных по отдаваемой сайтом политике — AutoScout24 Nederland B.V. (часть группы AutoScout24); монетизация рекламы на площадке обслуживается через DPG Media. Сайт коммерческий, с поиском по объявлениям и рекламной моделью.

Замер: 89 обращений к 15 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Отдельно отмечу: обращения к edge.microsoft.com в этом замере — это встроенная функция перевода страницы в браузере Edge, а не трекинг сайта; домен cdn.amv.nl обслуживает изображения (контент). На сайте есть механизм согласия — AutoScout24 Privacy Manager.

Кто получает данные

Напрямую до согласия: DPG Media (реклама и Snowplow-аналитика), Opt Out Advertising (рекламная сеть).

Рекламный модуль DPG отправляет POST-обращение на свой эндпойнт ещё до загрузки CMP. Затем поднимается программатик-стек DPG (Xandr, prebid header bidding), и на рекламную сеть Opt Out Advertising уходит запрос показа объявления. Аналитика Snowplow, обслуживаемая с домена DPG, отправляет просмотр страницы на сторонний коллектор. Все эти обращения передают третьим лицам IP-адрес и контекст визита для рекламных и аналитических целей.

Из функционального — мониторинг производительности New Relic (отслеживание ошибок и скорости). Сама площадка ведёт собственную телеметрию тегов (AutoScout24 tag-monitor), по которой, в частности, видно, что режим согласия инициализирован как «по умолчанию отказано».

Был ли баннер согласия

Да, механизм согласия присутствует — AutoScout24 Privacy Manager. И ряд вещей сделан правильно: режим согласия инициализируется в состоянии «по умолчанию отказано» (Consent Mode default), теги Google и Microsoft (UET) удерживаются в бескуковом режиме.

Узловой момент: часть рекламного слоя отработала раньше, чем загрузился сам CMP, а аналитический просмотр и рекламные обращения ушли к третьим лицам до согласия.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

рекламный модуль DPG — POST-обращение ещё до загрузки CMP;
программатик-стек DPG — Xandr и prebid header bidding;
рекламная сеть Opt Out Advertising — запрос показа объявления;
аналитика Snowplow — просмотр страницы на сторонний коллектор DPG;
мониторинг производительности New Relic — технический.

Мониторинг производительности претензий не вызывает: это техническая цель, и в политике она описана как обработка на законном интересе. Претензия — к рекламному аукциону и Snowplow: это рекламные и аналитические цели, и они контактируют с третьими лицами до согласия.

Почему «режим согласия по умолчанию отказано» — не индульгенция

Это важно для понимания. Режим согласия «по умолчанию отказано» — действительно сильная сторона: он удерживает теги Google и Microsoft в ограниченном режиме. Но юридически вопрос шире. IP-адрес и контекст визита, переданные рекламному аукциону и стороннему аналитическому коллектору, — это персональные данные, и их обработка для рекламы и аналитики до согласия требует основания, которого здесь нет. Тот факт, что рекламный модуль DPG обращается на свой эндпойнт ещё до загрузки самого CMP, показывает, что этот слой не привязан к решению пользователя.

Вывод

Autotrack.nl — случай, когда дисциплина по режиму согласия соседствует с рекламным слоем, отрабатывающим слишком рано. В пользу сайта многое: есть CMP, режим согласия инициализирован как «отказано», теги Google и Microsoft удерживаются в бескуковом режиме, мониторинг производительности технический. Но программатик-реклама DPG (Xandr, prebid, обращение к Opt Out Advertising) и просмотр страницы в Snowplow уходят к третьим лицам до согласия, а рекламный модуль DPG обращается на свой эндпойнт ещё до загрузки CMP. Вдобавок весь этот слой не назван в отдаваемой сайтом политике — групповом заявлении AutoScout24. Главное, что должен вынести читатель: достаточно перевести рекламный аукцион и аналитику Snowplow в режим ожидания согласия — так же, как это уже сделано для тегов Google и Microsoft, — и привязать рекламный модуль к решению пользователя, чтобы конфигурация стала чистой.

Доказательство

Оригинал (разбор)

HAR-файл: nl/autotrack-nl-2026-06-23.har

SHA-256: 52dc18efed1bd371069cd89753e8e33bd05d7034c3111a55d2cda2abd035683e

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом autotrack.nl.

2. Обстоятельства
Я посетил сайт autotrack.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 23.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть механизм согласия (AutoScout24 Privacy Manager), и устроен он во многом грамотно: режим согласия инициализируется в состоянии «по умолчанию отказано» (Consent Mode default), благодаря чему теги Google и Microsoft (UET) удерживаются в бескуковом режиме. Это в пользу сайта. Однако до какого-либо согласия успевает отработать целый рекламно-аналитический слой. Ещё до загрузки самого CMP, на 1762 мс, рекламный модуль DPG Media отправляет POST-обращение на свой эндпойнт. Далее поднимается программатик-стек DPG (Xandr и prebid header bidding) и происходит обращение к рекламной сети Opt Out Advertising (запрос показа объявления). Параллельно аналитика Snowplow отправляет просмотр страницы на сторонний коллектор DPG. Все эти обращения передают третьим лицам IP-адрес и контекст визита — то есть персональные данные — для рекламных и аналитических целей, и происходит это раньше выбора пользователя. Усугубляет картину то, что весь этот слой (DPG Media, Snowplow, Xandr, prebid, Opt Out Advertising) в отдаваемой сайтом политике конфиденциальности — а это групповое заявление AutoScout24 — не назван вовсе. То, что режим согласия по умолчанию «отказано», смягчает оценку, но не отменяет того, что аналитический просмотр и рекламные обращения к третьим лицам уходят до согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/autotrack-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR — рекламный программатик-стек и сторонняя аналитика срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]