Технический аудит · 2026-05-31

daft.ie

Daft.ie (Distilled Media Group) — крупнейший портал аренды и продажи недвижимости Ирландии

Daft.ie — крупнейший портал недвижимости Ирландии. 103 запроса, 20 доменов. reCAPTCHA Enterprise на +247 мс, GTM на +543 мс, Facebook на +596 мс — всё до обоих CMP. Два CMP параллельно (Didomi + собственный cookie-cutter). Google Analytics задекларирован как 'strictly necessary'.

Хронология утечки

+247 мс · до CMP

www.google.com/recaptcha/enterprise.js — reCAPTCHA Enterprise. Немедленно при загрузке страницы.

+278–1622 мс · до CMP

www.gstatic.com — reCAPTCHA ресурсы и Roboto шрифт (через reCAPTCHA). Google серверы, США.

+542 мс · до CMP

nca.jrnl.ie/nca-distilled.v69.min.js — Journal Media NCA программатик-реклама.

+543 мс · до CMP

www.googletagmanager.com (GTM-MHW55M7) — GTM-контейнер. Два параллельных запроса к GTM.

+596 мс · до CMP

connect.facebook.net/en_US/fbevents.js — Facebook Events SDK. США.

+1004 мс · до CMP

static.hotjar.com (hotjar-1177694) — Hotjar запись сессий. ID 1177694.

+1008 мс · до CMP

cdn.wootric.com — Wootric NPS SDK (account NPS-215a2284). Опросы удовлетворённости.

+1139 мс · до CMP

securepubads.g.doubleclick.net/tag/js/gpt.js — Google Publisher Tags. DoubleClick рекламный стек.

+2039 мс

cookie-cutter.dsch.ie — второй CMP, DSCH собственный баннер. Ещё 887 мс после Didomi.

Декларация против факта

✓ Google Analytics — упомянут, но классифицирован как 'strictly necessary' — заявлен

✓ Google reCAPTCHA — упомянут как strictly necessary — заявлен

✓ Facebook — упомянут в cookie-таблице — заявлен

✓ Hotjar — упомянут в cookie-таблице (как Donedeal) — заявлен

✓ Wootric — упомянут в cookie-таблице (как Donedeal) — заявлен

✓ Journal Media NCA — упомянут в cookie-таблице (как Donedeal) — заявлен

✓ Google Tag Manager — упомянут в cookie-таблице — заявлен

✓ DoubleClick / Google Publisher Tags — упомянут в cookie-таблице — заявлен

+ Hubvisor (cdn.hubvisor.io) — не упомянут явно для daft.ie — не заявлен

Тайминги передачи

+247 мс www.google.com до CMP reCAPTCHA Enterprise. США.

+542 мс nca.jrnl.ie до CMP Journal Media NCA реклама.

+543 мс www.googletagmanager.com до CMP GTM-MHW55M7. x2 запроса. США.

+596 мс connect.facebook.net до CMP Facebook fbevents.js. США.

+1004 мс static.hotjar.com до CMP Hotjar 1177694. Запись сессий.

+1008 мс cdn.wootric.com до CMP Wootric NPS-215a2284. США.

+1139 мс securepubads.g.doubleclick.net до CMP Google GPT DoubleClick. США.

+1152 мс sdk.privacy-center.org CMP Didomi Didomi loader. UUID 809d7df8.

+1154 мс cdn.hubvisor.io до согласия Hubvisor header bidding. США.

+2039 мс cookie-cutter.dsch.ie второй CMP DSCH cookie-cutter. 887 мс после Didomi.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com, GTM-MHW55M7)
Google Analytics GA4 (G-3SCE3PXHNT, region1.google-analytics.com)
Google reCAPTCHA Enterprise (www.google.com, www.gstatic.com)
Google Fonts (fonts.gstatic.com — Roboto, через reCAPTCHA)
Google DoubleClick (securepubads.g.doubleclick.net, pagead2.googlesyndication.com)
Facebook / Meta (connect.facebook.net, www.facebook.com)
Hotjar (static.hotjar.com, script.hotjar.com)
Wootric NPS (cdn.wootric.com, eligibility.wootric.com)
Journal Media NCA (nca.jrnl.ie)
Hubvisor header bidding (cdn.hubvisor.io)
Didomi CMP (sdk.privacy-center.org)
Distilled cookie-cutter CMP (cookie-cutter.dsch.ie)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011)

reCAPTCHA Enterprise загружается на +247 мс. GTM (GTM-MHW55M7) — на +543 мс. Facebook fbevents.js — на +596 мс. Hotjar — на +1004 мс. Wootric SDK — на +1008 мс. Google DoubleClick GPT — на +1139 мс. Journal Media NCA — на +542 мс. Hubvisor — на +1154 мс. Didomi CMP (sdk.privacy-center.org) загружается на +1152 мс — позже или одновременно с большинством трекеров. cookie-cutter.dsch.ie появляется на +2039 мс. Оба CMP инициализируются после того, как трекинговый стек уже активен.
GDPR Art. 6(1) — два параллельных CMP

Daft использует два инструмента управления согласием одновременно: Didomi (sdk.privacy-center.org, ID 809d7df8) и cookie-cutter.dsch.ie — собственную CMP-платформу группы DSCH. Оба загружаются после большинства трекеров. Наличие двух CMP-решений указывает на переходный период или конфликт конфигураций — ни одно из них не функционирует как эффективный блокировщик до согласия.
GDPR Art. 6(1) — Google Analytics классифицирован как «strictly necessary»

Политика конфиденциальности заявляет: «Google Analytics and the cookies it requires to function are classified as strictly necessary». GDPR и EDPB Guidelines (05/2020) устанавливают: аналитические cookies не могут классифицироваться как строго необходимые. Строго необходимые cookies — только те, без которых запрошенная пользователем услуга технически невозможна. Google Analytics не относится к этой категории.
GDPR Art. 13(1)(e)

Cookie Policy содержит таблицу 100+ cookies. Journal Media NCA (nca.jrnl.ie) — программатик-рекламная сеть Irish Journal — упомянута в таблице cookies Donedeal (сестринский сайт), но не задокументирована явно для daft.ie. Hubvisor (header bidding wrapper) в политике явно не упомянут.

Контекст

Daft.ie — крупнейший ирландский портал недвижимости, принадлежащий Distilled Media Group (DSCH). Работает совместно с сестринскими сайтами Donedeal.ie и Adverts.ie. Обрабатывает данные потенциальных арендаторов и покупателей недвижимости — нередко в финансово или жилищно уязвимом положении. HAR: 103 запроса, 20 доменов. 52 запроса к dist-property-frontend-daft.daft.ie (Next.js CDN), 8 к media.daft.ie (изображения), 7 к www.daft.ie.

Два CMP с разрывом 887 мс

Daft использует два инструмента управления согласием параллельно. Didomi (sdk.privacy-center.org) — на +1152 мс. cookie-cutter.dsch.ie — собственная CMP-платформа группы DSCH — на +2039 мс. Разрыв между ними 887 мс. К моменту появления первого CMP уже активны: reCAPTCHA (+247 мс), NCA (+542 мс), GTM (+543 мс), Facebook (+596 мс), Hotjar (+1004 мс), Wootric (+1008 мс), DoubleClick (+1139 мс). К моменту появления второго CMP активны все перечисленные плюс Hubvisor (+1154 мс). Ни один из CMP не функционирует как блокировщик: оба появляются после трекингового стека.

Google Analytics как «strictly necessary»

Cookie Policy daft.ie содержит следующее утверждение: «For the privacy of our users, we only use Google Analytics to process obscured and/or non-personally identifiable data… With these privacy safeguards, Google Analytics and the cookies it requires to function are classified as strictly necessary». Классификация Google Analytics как строго необходимого cookie противоречит позиции EDPB (Guidelines 05/2020 on consent, §25): аналитические cookies не могут освобождаться от требования согласия на том основании, что они используются с агрегированными данными. Строго необходимые cookies — исключительно те, без которых запрошенная пользователем услуга технически не может быть предоставлена. Отказ от Google Analytics не делает daft.ie неработоспособным.

Journal Media NCA и Hubvisor

nca.jrnl.ie — рекламная платформа Irish Journal Media (Noteworthy Contextual Advertising). Загружается на +542 мс, за 610 мс до первого CMP. cdn.hubvisor.io — header bidding wrapper, управляющий ставками нескольких рекламных бирж в реальном времени. Hubvisor в cookie policy явно не упомянут.

Ни один из 103 запросов не устанавливает cookie через Set-Cookie. Весь трекинговый стек работает через localStorage и параметры URL.

Вывод

daft.ie воспроизводит паттерн myhome.ie с дополнительными элементами: два CMP вместо одного, оба позже трекеров; Google Analytics задекларирован как строго необходимый в нарушение позиции EDPB. Пользователи, ищущие жильё — часто в ситуации жилищного стресса — идентифицируются девятью внешними сервисами до какого-либо выбора о согласии. Архитектура требует принципиального изменения: один CMP, загружаемый как первый скрипт страницы, блокирующий все последующие теги через GTM до получения согласия..

Доказательство

Оригинал (разбор)

HAR-файл: ie/daft-ie-2026-05-31.har

SHA-256: 0204a2756a5d404ad954566d7ae9dfedbc3881980aac0b9a0412fff190831385

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом daft.ie.

2. Обстоятельства
Я посетил сайт daft.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) reCAPTCHA Enterprise загружается на +247 мс. GTM (GTM-MHW55M7) — на +543 мс. Facebook fbevents.js — на +596 мс. Hotjar — на +1004 мс. Wootric SDK — на +1008 мс. Google DoubleClick GPT — на +1139 мс. Journal Media NCA — на +542 мс. Hubvisor — на +1154 мс. Didomi CMP (sdk.privacy-center.org) загружается на +1152 мс — позже или одновременно с большинством трекеров. cookie-cutter.dsch.ie появляется на +2039 мс. Оба CMP инициализируются после того, как трекинговый стек уже активен.

2) Daft использует два инструмента управления согласием одновременно: Didomi (sdk.privacy-center.org, ID 809d7df8) и cookie-cutter.dsch.ie — собственную CMP-платформу группы DSCH. Оба загружаются после большинства трекеров. Наличие двух CMP-решений указывает на переходный период или конфликт конфигураций — ни одно из них не функционирует как эффективный блокировщик до согласия.

3) Политика конфиденциальности заявляет: «Google Analytics and the cookies it requires to function are classified as strictly necessary». GDPR и EDPB Guidelines (05/2020) устанавливают: аналитические cookies не могут классифицироваться как строго необходимые. Строго необходимые cookies — только те, без которых запрошенная пользователем услуга технически невозможна. Google Analytics не относится к этой категории.

4) Cookie Policy содержит таблицу 100+ cookies. Journal Media NCA (nca.jrnl.ie) — программатик-рекламная сеть Irish Journal — упомянута в таблице cookies Donedeal (сестринский сайт), но не задокументирована явно для daft.ie. Hubvisor (header bidding wrapper) в политике явно не упомянут.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/daft-ie/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; ePrivacy Regulations (SI 336/2011); GDPR Art. 6(1) — два параллельных CMP; GDPR Art. 6(1) — Google Analytics классифицирован как «strictly necessary»; GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]