Технический аудит · 2026-06-15

mediaworld.it

Розничная сеть бытовой электроники и техники

MediaWorld (контролёр Mediamarket S.p.A., часть европейской группы MediaMarktSaturn) — крупнейшая в Италии розничная сеть бытовой электроники. 178 обращений, всего 6 доменов, и это самый сдержанный сайт серии: тяжёлых трекеров до согласия здесь нет. Ни передачи данных в Google Analytics, ни рекламных пикселей, ни сторонних бирж в сеансе не сработало. До согласия отрабатывают лишь сторонний сервис измерения скорости SpeedCurve (США, на 155-й миллисекунде), загрузка систем тегов Google и присвоение собственного идентификатора посетителя. Случай пограничный и мягкий, но формально обращения к сторонним сервисам до согласия здесь есть.

Хронология утечки

155 мс · сервис измерения скорости раньше всех

Самым первым из стороннего загружается SpeedCurve — внешний инструмент, замеряющий скорость загрузки страниц. Он стартует ещё до того, как загрузился собственный механизм согласия сайта. Серверы SpeedCurve находятся в США.

555 мс · собственный механизм согласия

Загружаются собственные модули сайта, отвечающие за сбор согласия. Механизм здесь свой, встроенный, а не сторонняя платформа согласия.

1218 мс · присвоение идентификатора посетителю

Сайт через свой же адрес присваивает посетителю постоянный идентификатор. Это происходит до того, как пользователь сделал выбор по cookie.

1248 мс и далее · четыре системы тегов Google

Сайт обращается к домену Google и в первые секунды загружает четыре контейнера системы управления тегами (Google Tag Manager). Это обращение передаёт Google адрес посетителя и сведения о странице — но дальнейших отправок данных тегами (в аналитику или рекламу) в сеансе не последовало.

5260 мс · собственная служебная телеметрия

Начинается поток служебных сообщений на внутренний адрес самого сайта. Это его собственная телеметрия событий; содержимое сообщений в выгрузке отредактировано, поэтому что именно в них — установить нельзя.

6545 мс · сообщение сервису SpeedCurve

На серверы SpeedCurve уходит служебное сообщение — то есть сторонний сервис не просто загрузился, но и отправил данные, по-прежнему без зафиксированного решения пользователя по согласию.

Декларация против факта

+ SpeedCurve — не заявлен

+ Google Tag Manager — не заявлен

Зафиксированные трекеры

SpeedCurve (cdn.speedcurve.com, beacon.speedcurve.com)
Google Tag Manager — система управления тегами Google
Собственный постоянный идентификатор посетителя
Собственный поток служебных событий сайта на внутренний адрес

Зафиксированные нарушения

Art. 6(1)(a) GDPR — сторонний сервис измерения скорости работает до согласия

В чистом сеансе самым первым из всего стороннего загружается SpeedCurve — внешний инструмент, измеряющий скорость загрузки страниц и фиксирующий ошибки. Он запускается на 155-й миллисекунде, ещё до того как успевает загрузиться собственный механизм согласия сайта, а позже, примерно на шестой секунде, отправляет на свои серверы служебное сообщение. SpeedCurve — сторонняя компания с серверами в США, и его запуск и обращения происходят раньше любого решения пользователя о cookie. Сбор таких данных о производительности нередко оправдывают технической необходимостью, но фактически это сторонний получатель, отрабатывающий до согласия.
Art. 6(1)(a) GDPR — загрузка систем тегов Google до согласия

В первые секунды визита, ещё до выбора пользователя, сайт обращается к домену Google и загружает четыре контейнера Google Tag Manager — это система, через которую обычно подключают аналитику и рекламные теги. Само такое обращение передаёт Google адрес посетителя и сведения о странице. Важная оговорка в пользу сайта: дальше этого дело не пошло — ни одной отправки данных в Google Analytics, рекламные сети или пиксели соцсетей в этом сеансе не зафиксировано. То есть до согласия загрузилась лишь инфраструктура для тегов, но сами теги данные не собирали.
Art. 13(1)(e) GDPR — сторонний сервис SpeedCurve не назван в политике

Контролёр данных — Mediamarket S.p.A. (Верано-Брианца). Политика по cookie называет Google Analytics и в общих словах описывает сторонние cookie для рекламы, персонализации и статистики, отсылая к сайтам третьих сторон. Однако сервис SpeedCurve, который реально отрабатывает на сайте, в ней не упомянут — то есть один из фактически работающих сторонних получателей в документе отсутствует.

Контекст

www.mediaworld.it — итальянский сайт сети MediaWorld, крупнейшей в стране розничной сети бытовой электроники и техники, входящей в европейскую группу MediaMarktSaturn. Контролёр данных — компания Mediamarket S.p.A. с единственным участником, юридический адрес — Верано-Брианца. Это интернет-магазин с каталогом, корзиной и оформлением заказа.

Замер: 178 обращений всего к 6 доменам, снят на чистом браузере Edge без VPN и блокировщика. Половина этих доменов — собственные ресурсы самой группы. Сторонних сервисов по сути два: система тегов Google и сервис измерения скорости SpeedCurve. Механизм сбора согласия у сайта собственный, встроенный, а не сторонняя платформа. На общем фоне серии это самый аккуратный сайт.

Кто получает данные

Тут были замечены: SpeedCurve, Google.

Важная оговорка: тяжёлых рекламно-аналитических получателей — отправки данных в Google Analytics, рекламные сети, пиксели соцсетей — в этом сеансе не зафиксировано вовсе. Google присутствует лишь как загрузка систем тегов с его домена, а SpeedCurve — как сторонний инструмент измерения скорости. Единственное, что внешне похоже на «соцсеть», — иконка Facebook, но это просто изображение с собственного хранилища сайта, а не пиксель отслеживания.

Был ли баннер согласия

Да, и механизм здесь собственный — модуль сбора согласия загружается на 555-й миллисекунде, сторонней платформы согласия нет. Само согласие в этом сеансе не давалось: замер снят в чистом визите, до выбора пользователя, и именно это позволяет увидеть, что отрабатывает «по умолчанию».

Контролёр данных — Mediamarket S.p.A. (Верано-Брианца). Политика по cookie называет Google Analytics и в общих словах описывает сторонние cookie для рекламы, персонализации и статистики; сервис SpeedCurve в ней не упомянут.

Что срабатывает до согласия

Картина мягкая, и в этом её ценность для серии — как противоположный пример. До согласия отрабатывает немногое:

сторонний сервис измерения скорости SpeedCurve — раньше даже собственного механизма согласия сайта, а позже отправляет на свои серверы служебное сообщение;
загрузка четырёх систем тегов Google с его домена;
присвоение посетителю собственного постоянного идентификатора сайта;
собственная служебная телеметрия сайта (её содержимое в выгрузке скрыто).

Ключевой и честный момент: дальше этого дело не идёт. Ни одной отправки данных в Google Analytics, рекламные сети, DoubleClick или соцсети в сеансе не зафиксировано. То есть до согласия загрузилась лишь инфраструктура — измерение скорости и системы тегов, — но сам сбор рекламными и аналитическими тегами не происходил. Это поведение заметно ближе к должному, чем у остальных сайтов серии.

Вывод

MediaWorld выделяется на фоне серии тем, что тяжёлый рекламно-аналитический слой до согласия здесь не запускается: нет ни отправок в Google Analytics, ни рекламных пикселей, ни сторонних бирж — системы тегов Google загрузились, но данные ими не собирались. То, что всё же срабатывает до согласия, — это сторонний сервис измерения скорости SpeedCurve (США, на 155-й миллисекунде, раньше собственного механизма согласия) и присвоение собственного идентификатора посетителю. Главное, что должен вынести читатель: это пример относительно сдержанного поведения, где претензии точечные — сторонний сервис, отрабатывающий до согласия и не названный в политике, и загрузка систем тегов с домена Google до выбора пользователя, — а не массовый сбор данных без основания. Именно такие сайты показывают, что сдержанная настройка технически возможна..

Доказательство

Оригинал (разбор)

HAR-файл: it/mediaworld-it-2026-06-15.har

SHA-256: 727c9863f2a8aa83ea8fff4ea943370ffb57cf15b2de67d950d1d1cdc0d042a3

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом mediaworld.it.

2. Обстоятельства
Я посетил сайт mediaworld.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) В чистом сеансе самым первым из всего стороннего загружается SpeedCurve — внешний инструмент, измеряющий скорость загрузки страниц и фиксирующий ошибки. Он запускается на 155-й миллисекунде, ещё до того как успевает загрузиться собственный механизм согласия сайта, а позже, примерно на шестой секунде, отправляет на свои серверы служебное сообщение. SpeedCurve — сторонняя компания с серверами в США, и его запуск и обращения происходят раньше любого решения пользователя о cookie. Сбор таких данных о производительности нередко оправдывают технической необходимостью, но фактически это сторонний получатель, отрабатывающий до согласия.

2) В первые секунды визита, ещё до выбора пользователя, сайт обращается к домену Google и загружает четыре контейнера Google Tag Manager — это система, через которую обычно подключают аналитику и рекламные теги. Само такое обращение передаёт Google адрес посетителя и сведения о странице. Важная оговорка в пользу сайта: дальше этого дело не пошло — ни одной отправки данных в Google Analytics, рекламные сети или пиксели соцсетей в этом сеансе не зафиксировано. То есть до согласия загрузилась лишь инфраструктура для тегов, но сами теги данные не собирали.

3) Контролёр данных — Mediamarket S.p.A. (Верано-Брианца). Политика по cookie называет Google Analytics и в общих словах описывает сторонние cookie для рекламы, персонализации и статистики, отсылая к сайтам третьих сторон. Однако сервис SpeedCurve, который реально отрабатывает на сайте, в ней не упомянут — то есть один из фактически работающих сторонних получателей в документе отсутствует.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/mediaworld-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — сторонний сервис измерения скорости работает до согласия; Art. 6(1)(a) GDPR — загрузка систем тегов Google до согласия; Art. 13(1)(e) GDPR — сторонний сервис SpeedCurve не назван в политике

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]