Технический аудит · 2026-06-20

glovoapp.com

Платформа быстрой доставки еды, продуктов и товаров

Glovoapp.com — платформа быстрой доставки еды, продуктов и товаров (группа Delivery Hero). Замер главной страницы: 133 обращения, 19 доменов. Стоит платформа сбора согласия Usercentrics, и рекламно-аналитический слой Google держится в режиме «согласие не дано» — это в пользу сайта. Но до согласия отрабатывают другие сервисы: маркетинговая платформа Braze отправляет данные, собственная продуктовая аналитика группы (Perseus) отправляет события, а антифрод Incognia снимает отпечаток устройства с привязкой к локации. То есть рекламная отдача Google отказ уважает, а маркетинговая автоматизация, аналитика и фингерпринтинг стартуют раньше выбора пользователя.

Хронология утечки

280 мс · платформа согласия Usercentrics

Загружается платформа сбора согласия Usercentrics. Механизм согласия предусмотрен.

1231 мс · фингерпринтинг устройства Incognia

Загружается сервис Incognia — снятие отпечатка устройства с привязкой к местоположению для защиты от мошенничества. До согласия.

2049 мс · маркетинговая платформа Braze

Маркетинговая платформа Braze отправляет данные на свои серверы. Это автоматизация рассылок и вовлечения — нетехническая цель, требующая согласия.

2067 мс · продуктовая аналитика Perseus

Собственная продуктовая аналитика группы (Perseus) отправляет события. До согласия.

3253 мс · первое обращение согласия

Платформа Usercentrics впервые обращается к своему сервису согласия — то есть всё перечисленное выше отработало раньше.

3396 мс · Google Analytics в режиме «нет согласия»

Google Analytics отправляет просмотр с сигналом «согласие не дано» — без cookie и персонализации. Эту часть Google соблюдает корректно.

4048 мс · Incognia отправляет сигналы устройства

Сервис Incognia отправляет собранные сигналы устройства и проверки соединения на свои серверы. До согласия.

Декларация против факта

+ Braze — не заявлен

+ Perseus (Delivery Hero) — не заявлен

+ Incognia — не заявлен

Зафиксированные трекеры

Braze (маркетинг)
Perseus (аналитика Delivery Hero)
Incognia (антифрод-фингерпринтинг)
Google Analytics 4 (denied)
Usercentrics

Зафиксированные нарушения

Art. 6(1)(a) GDPR — маркетинговая платформа и аналитика срабатывают до согласия

На сайте стоит платформа сбора согласия Usercentrics, и часть стека настроена корректно: рекламно-аналитический слой Google работает в режиме «согласие не дано» — передаётся сигнал «denied», реклама неперсонализированная, cookie не выставляются. Но до того, как платформа согласия впервые обращается к своему сервису (около 3,3 секунды), уже отрабатывают нетехнические сервисы. Маркетинговая платформа Braze (автоматизация рассылок и вовлечения) отправляет данные на свои серверы. Собственная продуктовая аналитика группы — Perseus (Delivery Hero) — отправляет события. Параллельно работает Incognia — снятие отпечатка устройства с привязкой к местоположению для защиты от мошенничества: SDK загружается и отправляет собранные сигналы на свои серверы. Маркетинговая автоматизация и продуктовая аналитика — цели, требующие согласия, и здесь они отрабатывают раньше него. Антифрод-фингерпринтинг можно защищать законным интересом, но снятие отпечатка устройства до согласия по правилам ЕС остаётся спорным.
Art. 13 GDPR — фактические получатели в политике не названы

Политика описывает категории cookie в общих словах и не называет конкретных получателей: ни Braze, ни Perseus (Delivery Hero), ни Incognia в ней не упомянуты. Пользователь не может узнать из документа, что при заходе на сайт его устройство профилирует антифрод-сервис, а данные о визите уходят маркетинговой платформе и продуктовой аналитике.

Контекст

www.glovoapp.com — платформа быстрой доставки еды, продуктов и товаров (группа Delivery Hero). Контролёр данных — оператор Glovo. Сайт коммерческий: выбор ресторанов и магазинов, оформление и оплата заказов, личный кабинет.

Замер: 133 обращения к 19 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Usercentrics. Технический стек включает маркетинговую платформу, продуктовую аналитику и антифрод со снятием отпечатка устройства.

Кто получает данные

Тут были замечены: Braze, Delivery Hero (Perseus), Incognia, Google.

Braze — маркетинговая платформа автоматизации рассылок и вовлечения, получает данные о пользователе. Perseus — собственная продуктовая аналитика группы Delivery Hero. Incognia — сервис снятия отпечатка устройства с привязкой к местоположению для защиты от мошенничества; его SDK грузится с одного домена, а собранные сигналы уходят на его же серверный домен. Дополнительно работает аналитика Google. Медиа-домен группы в этом замере раздаёт изображения и трекингом не является.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия Usercentrics. И здесь стоит отметить положительное: рекламно-аналитический слой Google держится в режиме «согласие не дано» — сигнал передаёт состояние «denied», реклама неперсонализированная, cookie не выставляются.

Но другие сервисы отрабатывают раньше согласия: маркетинговая платформа, продуктовая аналитика и антифрод отправляют данные ещё до первого обращения платформы согласия.

Что срабатывает до согласия

До согласия отрабатывает:

маркетинговая платформа Braze — отправка данных;
продуктовая аналитика Perseus — отправка событий;
сервис фингерпринтинга Incognia — снятие отпечатка устройства и отправка сигналов на свои серверы.

Маркетинговая автоматизация и продуктовая аналитика — нетехнические цели, требующие согласия. Антифрод-фингерпринтинг можно защищать законным интересом, но снятие отпечатка устройства до согласия по правилам ЕС остаётся спорным.

Что в пользу сайта

Стоит отметить положительное. Рекламно-аналитический слой Google устроен правильно: при отсутствии согласия реклама неперсонализированная, признак «нет согласия» передаётся, cookie не выставляются. Сторонней рекламной программатик-биржи и пикселей соцсетей в замере нет. То есть проблема не в рекламном сливе по множеству сетей, а в том, что маркетинговая платформа, аналитика и фингерпринтинг включаются раньше выбора пользователя.

За сеанс сайт не выставил ни одной cookie через заголовки ответа. Наивный вывод «cookie нет — значит, чисто» здесь был бы ошибкой: маркетинговая платформа, аналитика и антифрод отправляют данные на свои серверы и без cookie-механизма. Отсутствие cookie не равно отсутствию передачи данных.

Вывод

Glovoapp.com — умеренный случай со смешанной картиной. Рекламная отдача Google настроена на соблюдение согласия, сторонних рекламных бирж и пикселей соцсетей нет — это выгодно отличает сайт. Но маркетинговая платформа Braze и продуктовая аналитика отправляют данные до согласия, а параллельно работает антифрод со снятием отпечатка устройства. Главное, что должен вынести читатель: соблюдение согласия рекламной отдачей Google не закрывает вопрос, если рядом маркетинговая автоматизация и аналитика включаются раньше выбора, а отпечаток устройства снимается ещё до него. Достаточно перевести маркетинг и аналитику в режим ожидания согласия — так же, как это уже сделано для рекламной отдачи.

Доказательство

Оригинал (разбор)

HAR-файл: it/glovoapp-com-2026-06-20.har

SHA-256: aac507de2adf98518b25d6521a13cf82839fe9010d0beaba08b06e5c1ab9a94e

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом glovoapp.com.

2. Обстоятельства
Я посетил сайт glovoapp.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Usercentrics, и часть стека настроена корректно: рекламно-аналитический слой Google работает в режиме «согласие не дано» — передаётся сигнал «denied», реклама неперсонализированная, cookie не выставляются. Но до того, как платформа согласия впервые обращается к своему сервису (около 3,3 секунды), уже отрабатывают нетехнические сервисы. Маркетинговая платформа Braze (автоматизация рассылок и вовлечения) отправляет данные на свои серверы. Собственная продуктовая аналитика группы — Perseus (Delivery Hero) — отправляет события. Параллельно работает Incognia — снятие отпечатка устройства с привязкой к местоположению для защиты от мошенничества: SDK загружается и отправляет собранные сигналы на свои серверы. Маркетинговая автоматизация и продуктовая аналитика — цели, требующие согласия, и здесь они отрабатывают раньше него. Антифрод-фингерпринтинг можно защищать законным интересом, но снятие отпечатка устройства до согласия по правилам ЕС остаётся спорным.

2) Политика описывает категории cookie в общих словах и не называет конкретных получателей: ни Braze, ни Perseus (Delivery Hero), ни Incognia в ней не упомянуты. Пользователь не может узнать из документа, что при заходе на сайт его устройство профилирует антифрод-сервис, а данные о визите уходят маркетинговой платформе и продуктовой аналитике.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/glovoapp-com/

3. Нарушенные положения
Art. 6(1)(a) GDPR — маркетинговая платформа и аналитика срабатывают до согласия; Art. 13 GDPR — фактические получатели в политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]