Технический аудит · 2026-06-20

ovs.it

Магазин одежды

Ovs.it — сеть магазинов одежды. Замер главной страницы: 278 обращений, 24 домена. Стоит платформа сбора согласия OneTrust, но её чек согласия в этом сеансе фиксируется очень поздно — примерно на 25-й секунде. А до него уже отрабатывают профилирование и реклама: профилирующие сервисы Salesforce (персонализация и движок рекомендаций) запускаются на первой секунде, ремаркетинговый пиксель Blueknow — на пятой, а Google Analytics и собственная аналитическая прослойка сайта работают с аналитикой, разрешённой по умолчанию. При этом ремаркетинг Blueknow и сервис персонализации iGoDigital в политике даже не названы. То есть профилирование и догоняющая реклама включены задолго до согласия и частично не раскрыты.

Хронология утечки

705–719 мс · профилирование Salesforce

На первой секунде запускаются профилирующие сервисы Salesforce — сервис персонализации (iGoDigital) и движок рекомендаций Einstein (CQuotient). Это сбор поведения для персональных подборок, до согласия.

706 мс · платформа согласия OneTrust

Загружается платформа сбора согласия OneTrust. Механизм согласия предусмотрен — значит то, что отрабатывает раньше выбора, происходит до согласия.

3019–3024 мс · опросы и антифрод

Подключаются сервис опросов Usabilla и защита от мошенничества Opticks. Антифрод можно отнести к защитным функциям, опросный сервис — нет.

4708–4935 мс · аналитика по умолчанию

Google Analytics и собственная аналитическая прослойка сайта отправляют события с аналитикой, разрешённой по умолчанию. То есть аналитика включена без выбора пользователя.

5335 мс · ремаркетинговый пиксель Blueknow

Срабатывает ремаркетинговый пиксель Blueknow — инструмент догоняющей рекламы. Это рекламный ретаргетинг, и он отрабатывает за двадцать секунд до согласия.

Декларация против факта

✓ Salesforce Einstein (CQuotient) — заявлен

+ Blueknow (ремаркетинг) — не заявлен

+ Salesforce iGoDigital — не заявлен

Зафиксированные трекеры

Salesforce iGoDigital (профилирование)
Salesforce Einstein (CQuotient)
Blueknow (ремаркетинг)
Google Analytics 4
Usabilla (опросы)
Opticks (антифрод)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — профилирование и ремаркетинг срабатывают до согласия

На сайте стоит платформа сбора согласия OneTrust, но её чек согласия в этом сеансе фиксируется очень поздно — примерно на 25-й секунде. А до него отрабатывает профилирование и реклама. Уже на первой секунде запускаются профилирующие сервисы Salesforce — сервис персонализации и движок рекомендаций Einstein. К пятой секунде срабатывает ремаркетинговый пиксель Blueknow — то есть рекламный ретаргетинг, инструмент догоняющей рекламы. Google Analytics и собственная аналитическая прослойка сайта при этом запускаются с аналитикой, разрешённой по умолчанию. Сама политика сайта относит профилирующие cookie, которые отслеживают поведение для персонализации и таргетированной рекламы, к категории, требующей согласия. То есть профилирование и ремаркетинг, по собственному документу сайта требующие согласия, отрабатывают за два десятка секунд до того, как согласие зафиксировано.
Art. 13 GDPR — ремаркетинг Blueknow и персонализация iGoDigital в политике не названы

Из фактически работающих профилирующих и рекламных сервисов политика называет только движок рекомендаций Salesforce. Ремаркетинговый пиксель Blueknow и сервис персонализации iGoDigital в политике не упомянуты. То есть рекламный ретаргетинг и часть профилирования работают, но в перечне получателей не раскрыты — пользователь не может узнать из документа, что его данные уходят этим сервисам.

Контекст

www.ovs.it — сеть магазинов одежды, один из крупных итальянских ретейлеров одежды. Контролёр данных — оператор OVS. Сайт коммерческий: каталог, поиск, корзина, личный кабинет, обслуживание клиентов через чат.

Замер: 278 обращений к 24 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust. Технический стек включает профилирование Salesforce, рекламный ретаргетинг и аналитику.

Кто получает данные

Тут были замечены: Salesforce, Blueknow, Google.

Salesforce представлен профилирующими сервисами — персонализацией и движком рекомендаций, а также инфраструктурой личного кабинета и чата поддержки. Blueknow — сервис рекламного ретаргетинга (догоняющей рекламы). Google — аналитикой. Дополнительно работают визуальная витрина LiveStory, сервис опросов Usabilla, защита от мошенничества Opticks и собственная аналитическая прослойка сайта.

Отдельно поясню про обращения к домену Microsoft Edge: они относятся к встроенной функции перевода страницы в самом браузере и трекингом сайта не являются — сайт за них не отвечает.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия OneTrust, но её чек согласия в этом сеансе фиксируется очень поздно — примерно на 25-й секунде. К этому моменту профилирование, ремаркетинг и аналитика уже отработали.

При этом сама политика сайта относит профилирующие cookie — те, что отслеживают поведение для персонализации и таргетированной рекламы, — к категории, требующей согласия. То есть площадка сама объявляет согласие обязательным для профилирования, а оно стартует на первой секунде.

Что срабатывает до согласия

До фиксации согласия отрабатывает:

профилирование Salesforce — персонализация и движок рекомендаций;
ремаркетинговый пиксель Blueknow — рекламный ретаргетинг;
Google Analytics и собственная аналитическая прослойка — с аналитикой, разрешённой по умолчанию;
сервис опросов Usabilla.

Профилирование и рекламный ретаргетинг — нетехнические цели, требующие согласия, что подтверждает и сама политика. Здесь они разворачиваются за двадцать с лишним секунд до согласия.

Расхождение с политикой и нераскрытые получатели

Два пункта. Во-первых, профилирование и ремаркетинг отрабатывают до согласия, тогда как политика относит профилирование к обработке по согласию. Во-вторых, из фактически работающих сервисов политика называет только движок рекомендаций Salesforce, а ремаркетинговый пиксель Blueknow и сервис персонализации iGoDigital не упомянуты. То есть рекламный ретаргетинг работает, но в перечне получателей не раскрыт.

Вывод

Ovs.it — типичный для крупного ретейла случай с двойным расхождением. Профилирование Salesforce и рекламный ретаргетинг Blueknow отрабатывают на первых секундах, аналитика включена по умолчанию, а чек согласия фиксируется лишь к 25-й секунде — то есть все эти сборы происходят задолго до согласия. При этом ремаркетинг и часть профилирования в политике даже не названы. Главное, что должен вынести читатель: когда сайт сам относит профилирование к обработке по согласию, запуск его и рекламного ретаргетинга на первой секунде противоречит собственному документу, а нераскрытый ремаркетинговый пиксель означает, что пользователь не может узнать о нём из политики. Достаточно перевести профилирование и ремаркетинг в режим ожидания согласия и дополнить перечень получателей фактически работающими сервисами."

Доказательство

Оригинал (разбор)

HAR-файл: it/ovs-it-2026-06-20.har

SHA-256: 869f74ed182f034e1e057a334a45068c64e8d13d91f5b23e3b55fb9deaacb00f

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом ovs.it.

2. Обстоятельства
Я посетил сайт ovs.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия OneTrust, но её чек согласия в этом сеансе фиксируется очень поздно — примерно на 25-й секунде. А до него отрабатывает профилирование и реклама. Уже на первой секунде запускаются профилирующие сервисы Salesforce — сервис персонализации и движок рекомендаций Einstein. К пятой секунде срабатывает ремаркетинговый пиксель Blueknow — то есть рекламный ретаргетинг, инструмент догоняющей рекламы. Google Analytics и собственная аналитическая прослойка сайта при этом запускаются с аналитикой, разрешённой по умолчанию. Сама политика сайта относит профилирующие cookie, которые отслеживают поведение для персонализации и таргетированной рекламы, к категории, требующей согласия. То есть профилирование и ремаркетинг, по собственному документу сайта требующие согласия, отрабатывают за два десятка секунд до того, как согласие зафиксировано.

2) Из фактически работающих профилирующих и рекламных сервисов политика называет только движок рекомендаций Salesforce. Ремаркетинговый пиксель Blueknow и сервис персонализации iGoDigital в политике не упомянуты. То есть рекламный ретаргетинг и часть профилирования работают, но в перечне получателей не раскрыты — пользователь не может узнать из документа, что его данные уходят этим сервисам.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/ovs-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — профилирование и ремаркетинг срабатывают до согласия; Art. 13 GDPR — ремаркетинг Blueknow и персонализация iGoDigital в политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]