EUGDPR Audit
RU EN
Технический аудит · 2026-06-20

justeat.it

Сервис доставки еды
IT

Justeat.it — сервис доставки еды (группа Just Eat Takeaway). Замер главной страницы: 67 обращений, 10 доменов — сдержанно. На рекламном фронте сайт чист: ни Google Analytics, ни Meta, ни рекламных сетей, ни программатик-бирж — менеджер тегов Google загружен, но аналитику не запустил. Почти всё остальное — собственная инфраструктура Just Eat. Но до согласия отрабатывают два сбора: собственная служба событий сайта отправляет данные ещё до загрузки баннера согласия, а сторонний антифрод-сервис снимает отпечаток устройства и проверяет параметры соединения. Антифрод защитим — политика описывает его как защиту от мошенничества на основании законного интереса, — но снятие отпечатка устройства до согласия по правилам ЕС остаётся спорным.

Хронология утечки

1942 мс · менеджер тегов Google
Загружается Google Tag Manager. При этом ни Google Analytics, ни рекламные теги через него в сеансе не запускаются — менеджер тегов остаётся без рекламной нагрузки.
2734 мс · собственный трекинг событий до баннера
Собственная служба событий Just Eat отправляет данные. Это происходит ещё до того, как загрузился баннер согласия.
3078 мс · собственный баннер согласия
Загружается собственный баннер согласия. То есть собственный трекинг событий успел отправить данные раньше его появления.
3182 мс · сервис опросов
Подключается сервис опросов Usabilla. Это инструмент сбора обратной связи.
4415–6805 мс · антифрод-фингерпринтинг устройства
Сторонний антифрод-сервис снимает отпечаток устройства и проверяет параметры соединения, сети и веб-сокета. Это защита от мошенничества, но снятие отпечатка устройства происходит до согласия.
баннер есть, cookie не выставлено
Собственный баннер согласия на сайте присутствует, решение в сеансе не делалось, cookie через заголовки за сеанс не выставлено. Datadog (мониторинг) подключается позже по ходу сеанса.

Декларация против факта

Антифрод (по политике) — заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.justeat.it — сервис заказа и доставки еды (группа Just Eat Takeaway). Контролёр данных — оператор Just Eat. Сайт коммерческий: поиск ресторанов, оформление и оплата заказов, личный кабинет.

Замер: 67 обращений к 10 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный баннер согласия. Большая часть инфраструктуры — собственная (домены Just Eat Takeaway).

Кто получает данные

Тут был замечен: сторонний антифрод-сервис.

Основной внешний получатель — антифрод-сервис, снимающий отпечаток устройства и проверяющий параметры соединения для выявления мошенничества и ботов. Остальное — собственное: служба событий Just Eat, мониторинг Datadog и сервис опросов Usabilla. Рекламных сетей, аналитики Google, пикселей соцсетей и программатик-бирж в замере нет.

Был ли баннер согласия

Да, на сайте есть собственный баннер согласия. Решение в сеансе не делалось — замер снят в чистом сеансе, cookie за сеанс не выставлено.

При этом тайминг показывает нюанс: собственная служба событий отправляет данные ещё до того, как баннер согласия загрузился. То есть часть сбора происходит раньше, чем механизм согласия вообще появляется.

Что срабатывает до согласия

До согласия отрабатывает:

  • собственная служба событий Just Eat — отправка данных раньше загрузки баннера;
  • антифрод-сервис — снятие отпечатка устройства и проверка соединения.

Антифрод здесь — наименее спорная часть: защита от мошенничества признана законным интересом, и политика сайта прямо её описывает. Но снятие отпечатка устройства по правилам ЕС, как правило, требует согласия, если оно не строго необходимо, поэтому его запуск до выбора пользователя остаётся в спорной зоне. Собственный трекинг событий до появления баннера — отдельный вопрос: если это аналитика поведения, она должна дожидаться согласия.

Что в пользу сайта

Стоит отметить положительное. На рекламном фронте сайт чист: рекламных сетей, программатик-бирж, аналитики Google и пикселей соцсетей в замере нет, хотя менеджер тегов Google загружен. То есть данные о визите не растекаются по рекламным компаниям. Основной внешний сбор — антифрод, у которого есть признанное правовое основание.

Вывод

Justeat.it — умеренный случай с в целом сдержанной картиной. Рекламной слежки на сайте нет, и это выгодно его отличает: ни аналитики Google, ни рекламных сетей, ни программатик-бирж. Основные вопросы узкие: собственная служба событий отправляет данные раньше появления баннера согласия, а сторонний антифрод снимает отпечаток устройства до согласия. Антифрод при этом защитим законным интересом и описан в политике. Главное, что должен вынести читатель: даже на сайте без рекламной слежки остаются два сбора, начатые раньше выбора пользователя, и если снятие отпечатка устройства не является строго необходимым, его, как и собственную аналитику событий, следует перевести в режим ожидания согласия."

Доказательство
Оригинал (разбор)
HAR-файл: it/justeat-it-2026-06-20.har
SHA-256: 7231a8dbae8573143aed1c6fa7262ad4997599bcc25005cf42b4f85a8773823a
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом justeat.it.

2. Обстоятельства
Я посетил сайт justeat.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть собственный баннер согласия, но в чистом сеансе до него и до какого-либо выбора отрабатывают два сбора. Во-первых, собственная служба событий Just Eat отправляет данные ещё до того, как баннер согласия загрузился. Во-вторых, к четвёртой-седьмой секунде подключается сторонний антифрод-сервис, который снимает отпечаток устройства и проверяет параметры соединения (включая проверки сети и веб-сокета) — это характерные приёмы детекции мошенничества и ботов. Сам по себе антифрод защитим: политика сайта прямо описывает автоматическое выявление мошеннических действий на основании законного интереса, а защита от фрода — признанное основание. Но снятие отпечатка устройства по правилам ЕС, как правило, требует согласия, если не является строго необходимым, и его запуск до выбора пользователя остаётся спорным. На рекламном фронте при этом всё чисто: ни Google Analytics, ни рекламных сетей, ни пикселей соцсетей в замере нет.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/justeat-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR / ePrivacy — фингерпринтинг устройства и собственный трекинг срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]