Технический аудит · 2026-06-15

manomano.it

Маркетплейс товаров для дома, ремонта и сада

ManoMano (юридическое лицо Colibri SAS, Париж) — крупный европейский маркетплейс товаров для дома, ремонта и сада. 158 обращений, 12 доменов. В отличие от многих сайтов серии, политика здесь добросовестная: получатели названы поимённо, а передача данных в США для Google Analytics признана прямо. Тем не менее в чистом сеансе рекламные сервисы — платформа спонсорских товаров CitrusAd, собственное событие показа рекламы продавцов и платформа рассылок Batch — срабатывают на первом контакте, сразу после появления баннера и раньше любого решения пользователя, хотя сама политика обуславливает рекламу согласием. А единственный из реально сработавших рекламных получателей, кого политика не называет, — как раз CitrusAd.

Хронология утечки

1141–1768 мс · согласие и системы тегов Google

Загружается платформа сбора согласия Didomi и система управления тегами Google Tag Manager.

1815–2456 мс · первичные обращения к своим сервисам

Идут собственные служебные обращения сайта: определение визита, флаги A/B-тестов и пакет запросов к своей базе данных — наполнение страницы.

3267–3377 мс · реклама сразу после баннера

Сразу за появлением баннера: собственное событие показа объявлений продавцов (на 3,3 секунды) и обращение к рекламной платформе спонсорских товаров CitrusAd (на 3,4 секунды, серверы Google Cloud).

3701–4415 мс · платформа рассылок Batch и её событие

Загружается платформа рассылок и push-уведомлений Batch, после чего на 4,4 секунды ей уходит событие — ещё до того, как заработал сам механизм согласия.

7491–11792 мс · работа механизма согласия

Только теперь идут служебные сообщения самого инструмента согласия Didomi и загрузка списка рекламных вендоров. Рекламные обращения к этому моменту уже отработали.

11866 мс · реклама и конверсии Google через собственный домен

Уходит обращение на адрес самого сайта, по содержанию являющееся эндпоинтом измерения Google для рекламы и конверсий (событие просмотра страницы) — то есть сторонний поток Google, пропущенный через собственный домен ManoMano.

Декларация против факта

+ CitrusAd / Epsilon (Publicis) — не заявлен

Зафиксированные трекеры

CitrusAd
Batch
Google Tag Manager
Google (измерение через свой домен)
Didomi
Событие рекламы продавцов

Зафиксированные нарушения

Art. 6(1)(a) GDPR — рекламные сервисы срабатывают на первом контакте, до решения о согласии

Сама политика ManoMano относит «персонализированную рекламу для сторонних рекламодателей» к обработке, для которой требуется согласие. Тем не менее в чистом сеансе, сразу после того как появляется баннер согласия и заведомо раньше, чем человек успел бы его прочитать и нажать, отрабатывают рекламные обращения: рекламная платформа спонсорских товаров CitrusAd (примерно на 3,4 секунды), собственное событие показа объявлений продавцов (на 3,3 секунды) и событие платформы рассылок Batch (на 4,4 секунды). При этом служебные сообщения самого механизма согласия начинаются лишь на 7,5 секунды — то есть рекламные обращения опережают даже работу инструмента согласия.
Art. 13(1)(e) GDPR — фактический рекламный получатель CitrusAd не назван

Ответственный за обработку — Colibri SAS (ManoMano), Париж. Политика называет получателей поимённо: Google Analytics — с прямым признанием, что его использование влечёт передачу данных в США; а в разделе cookie-маркетинга — Google, Meta/Facebook, Moloco, Microsoft/Bing, Awin, Connexity, Webloyalty, Batch, Reddit, Pinterest, TikTok, каждого с адресом и политикой. Это редкий для серии уровень открытости. Но рекламной платформы CitrusAd, которая реально отрабатывает на сайте, в этом списке нет.
Art. 25 GDPR — реклама и конверсии Google пропущены через собственный домен сайта

Один из потоков уходит на адрес самого сайта, но по содержанию это эндпоинт измерения Google для рекламы и конверсий. В отличие от ряда других случаев серии, здесь Google и передача данных в США в политике названы честно — поэтому речь не о сокрытии получателя, а о том, что пропуск через собственный домен делает сторонний поток Google на сетевом уровне неотличимым от собственного трафика сайта (это обходит блокировщики и ограничения браузера на сторонние идентификаторы).

Контекст

www.manomano.it — итальянская витрина маркетплейса ManoMano, одной из крупнейших в Европе площадок товаров для дома, ремонта, сада и самостоятельного строительства. Ответственный за обработку данных — компания Colibri SAS (ManoMano), Париж. Это коммерческий маркетплейс с продавцами, рекламой продавцов и оплатой.

Замер: 158 обращений к 12 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Didomi. Этот разбор стоит особняком в серии: политика ManoMano — добросовестная, и тем заметнее расхождение между ней и фактическим поведением.

Кто получает данные

Тут были замечены: Google, CitrusAd / Epsilon (Publicis), Batch, Didomi.

Оговорка по ролям: Didomi — это сама платформа сбора согласия, претензией не является. Batch — французская платформа рассылок и push-уведомлений, европейская. Центральные для разбора — CitrusAd (рекламное профилирование) и Google.

Был ли баннер согласия

Видимая часть баннера дорисовывается примерно на 2,8 секунды. Выбор по баннеру пользователь в этом визите не делал, а служебные сообщения самого инструмента согласия начинаются лишь на 7,5 секунды — то есть всё, что отрабатывает раньше, происходит до какого-либо решения о согласии.

Ответственный за обработку — Colibri SAS (ManoMano), Париж. Политика называет получателей поимённо: Google Analytics — с прямым признанием, что его использование влечёт передачу данных в США; Batch; Meta/Facebook; Reddit; TikTok; Microsoft/Bing; Awin; Criteo; Pinterest; платёжных партнёров. Это редкий для серии уровень открытости. Но рекламной платформы CitrusAd, которая реально отрабатывает на сайте, в этом списке нет.

Реклама срабатывает на первом контакте

Суть. Сразу после появления баннера, в промежутке примерно с 3,3 до 4,4 секунды — то есть заведомо раньше, чем человек успел бы прочитать баннер и сделать выбор, — отрабатывают три рекламных обращения:

обращение к рекламной платформе спонсорских товаров CitrusAd;
собственное событие показа объявлений продавцов;
событие платформы рассылок Batch.

Главный довод — юридический: сама политика ManoMano относит «персонализированную рекламу для сторонних рекламодателей» к обработке, для которой требуется согласие. А по времени видно, что рекламный слой запускается на первом контакте, опережая даже работу самого инструмента согласия (она начинается лишь на 7,5 секунды). То есть документ обуславливает рекламу согласием, а поведение сайта этого условия в чистом сеансе не дожидается.

Не названный рекламный получатель — CitrusAd

И вот вторая нестыковка, тем более заметная на фоне открытости политики. Из всех рекламных обращений, что реально сработали, единственное не названное в политике — CitrusAd. Это рекламная платформа спонсорских товаров, входящая в Epsilon (группа Publicis) — крупную рекламную сеть, которая занимается в том числе сведением идентификаторов пользователей. Политика тщательно перечисляет десяток партнёров, но именно платформу профилирования в момент покупки не упоминает. Тот, кто ведёт рекламную обработку, и оказался вне списка.

Реклама и конверсии Google через собственный домен

Отдельно отмечу, мягче предыдущих пунктов. Один из потоков уходит на адрес самого сайта, но по содержанию это эндпоинт измерения Google для рекламы и конверсий. В отличие от ряда других случаев серии, здесь Google и передача данных в США названы в политике открыто — так что это не сокрытие получателя. Но приём тот же: на сетевом уровне сторонний поток Google выглядит как собственный трафик сайта, обходя блокировщики и ограничения браузера на сторонние идентификаторы. Стоит держать в поле зрения, но как наблюдение, а не как заявленное нарушение.

Вывод

ManoMano — редкий в серии случай добросовестной политики: получатели названы поимённо, передача данных в США для Google признана прямо, документ открыт. И именно на этом фоне две нестыковки видны резко. Первая: рекламный слой — CitrusAd, событие рекламы продавцов, платформа рассылок Batch — отрабатывает на первом контакте, раньше любого решения и даже раньше работы самого механизма согласия, хотя политика сама обуславливает рекламу согласием. Вторая: единственный из реально сработавших рекламных получателей, кого политика не называет, — это CitrusAd, то есть как раз платформа профилирования. Главное, что должен вынести читатель: подробная и честная политика — условие необходимое, но не достаточное; она описывает, как должно быть, но проверяется только сетевым замером, а здесь замер показывает, что реклама не дожидается согласия, которого сама же политика для неё требует..

Доказательство

Оригинал (разбор)

HAR-файл: it/manomano-it-2026-06-15.har

SHA-256: 56a860890298bed6796f9f98a50412889c83f3f10a3526edddb033b914f2f17b

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом manomano.it.

2. Обстоятельства
Я посетил сайт manomano.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Сама политика ManoMano относит «персонализированную рекламу для сторонних рекламодателей» к обработке, для которой требуется согласие. Тем не менее в чистом сеансе, сразу после того как появляется баннер согласия и заведомо раньше, чем человек успел бы его прочитать и нажать, отрабатывают рекламные обращения: рекламная платформа спонсорских товаров CitrusAd (примерно на 3,4 секунды), собственное событие показа объявлений продавцов (на 3,3 секунды) и событие платформы рассылок Batch (на 4,4 секунды). При этом служебные сообщения самого механизма согласия начинаются лишь на 7,5 секунды — то есть рекламные обращения опережают даже работу инструмента согласия.

2) Ответственный за обработку — Colibri SAS (ManoMano), Париж. Политика называет получателей поимённо: Google Analytics — с прямым признанием, что его использование влечёт передачу данных в США; а в разделе cookie-маркетинга — Google, Meta/Facebook, Moloco, Microsoft/Bing, Awin, Connexity, Webloyalty, Batch, Reddit, Pinterest, TikTok, каждого с адресом и политикой. Это редкий для серии уровень открытости. Но рекламной платформы CitrusAd, которая реально отрабатывает на сайте, в этом списке нет.

3) Один из потоков уходит на адрес самого сайта, но по содержанию это эндпоинт измерения Google для рекламы и конверсий. В отличие от ряда других случаев серии, здесь Google и передача данных в США в политике названы честно — поэтому речь не о сокрытии получателя, а о том, что пропуск через собственный домен делает сторонний поток Google на сетевом уровне неотличимым от собственного трафика сайта (это обходит блокировщики и ограничения браузера на сторонние идентификаторы).

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/manomano-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — рекламные сервисы срабатывают на первом контакте, до решения о согласии; Art. 13(1)(e) GDPR — фактический рекламный получатель CitrusAd не назван; Art. 25 GDPR — реклама и конверсии Google пропущены через собственный домен сайта

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]