EUGDPR Audit
RU EN
Технический аудит · 2026-06-06

zalando.ee

Крупнейший европейский онлайн-ритейлер одежды и обуви
EE

Крупнейший европейский онлайн-ритейлер. Usercentrics присутствует — но GTM с GA4 загружается на 1,2 секунды раньше баннера. К моменту появления согласия аналитика уже инициализирована.

Хронология утечки

+373 мс · до согласия
Sentry (js-de.sentry-cdn.com) — EU-инстанс (Германия), мониторинг ошибок. Данные остаются в ЕС.
+1234 мс · до согласия
GTM (gtag/js?id=G-MDW1S9PQPW) — GA4 инициализируется за 1475 мс до Usercentrics.
+2709 мс · баннер
Usercentrics загружается (app.usercentrics.eu). Конфигурация на эстонском языке (et.json).
+3400 мс · после баннера
GTM-T3W9FX — основной контейнер Tag Manager загружается.
+3757 мс
Google Ads (AW-1006368194) — конверсионный тег через GTM.
+3963 мс
Google Ads collect (pagead2.googlesyndication.com) — page_view событие уходит в США.

Тайминги передачи

+373 мс js-de.sentry-cdn.com до согласия Sentry EU (Германия). Данные в ЕС
+1234 мс www.googletagmanager.com до согласия GA4 G-MDW1S9PQPW инициализирован
+2709 мс app.usercentrics.eu баннер Usercentrics загружается
+3400 мс www.googletagmanager.com после баннера GTM-T3W9FX основной контейнер
+3963 мс pagead2.googlesyndication.com после баннера Google Ads page_view collect

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

Zalando SE — крупнейший европейский онлайн-ритейлер одежды и обуви, штаб-квартира в Берлине. zalando.ee — эстонская версия платформы. Для целей GDPR контролёр данных пользователей из ЕС — Zalando SE, регулятор — немецкий Berliner Beauftragte für Datenschutz und Informationsfreiheit. HAR: 254 запроса, 11 доменов.

Что сделано правильно

Zalando использует Usercentrics — серьёзную европейскую CMP с конфигурацией на эстонском языке (translations-et.json). Sentry развёрнут на EU-инстансе (js-de.sentry-cdn.com, Германия) — данные об ошибках остаются в ЕС. Собственная инфраструктура изображений (ztat.net) — без Google CDN или Cloudflare для медиа. Ноль Set-Cookie ответов — cookies устанавливаются только после согласия.

Главная проблема — порядок загрузки

GTM с GA4 (G-MDW1S9PQPW) загружается на +1234 мс. Usercentrics появляется на +2709 мс. Разрыв — 1475 миллисекунд.

Это означает что GA4 инициализируется до того как пользователь видит баннер согласия. Технически GA4 может не отправлять данные до получения сигнала согласия от Usercentrics — это зависит от конфигурации Consent Mode v2. Но сам факт загрузки скрипта аналитики до баннера является нарушением принципа privacy by default: аналитика не должна даже инициализироваться до согласия.

После загрузки Usercentrics через GTM активируются основной контейнер (GTM-T3W9FX) и Google Ads (AW-1006368194). Google Ads collect (+3963 мс) уходит в США — это может означать что реклама активируется по умолчанию без явного согласия, либо Consent Mode засчитывает загрузку Usercentrics как implicit consent.

Sentry EU — правильный выбор

Это второй сайт в серии после IIZI, где Sentry использует EU-инстанс. Zalando пошёл дальше — js-de.sentry-cdn.com означает CDN с немецкими узлами. Осознанный выбор, который решает проблему передачи данных за пределы ЕЭЗ для мониторинга ошибок.

Вывод

Zalando вложил серьёзные усилия в compliance: Usercentrics с эстонской локализацией, Sentry EU, собственная медиа-инфраструктура. Но GTM загружается на 1,5 секунды раньше баннера — и этого достаточно чтобы нарушить принцип согласия до обработки. Разница между хорошей архитектурой и правильной архитектурой здесь — в порядке загрузки скриптов.

Доказательство
Оригинал (разбор)
HAR-файл: ee/zalando-ee-2026-06-06.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AKI — Эстонский надзорный орган по защите данных — напишите на info@aki.ee

Важно: AKI рассматривает обращения только на эстонском языке. Переведите письмо перед отправкой.

Кому: AKI — Эстонский надзорный орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом zalando.ee.

2. Обстоятельства
Я посетил сайт zalando.ee и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 06.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) GTM с GA4 (G-MDW1S9PQPW) загружается на +1234 мс — за 1475 мс до появления Usercentrics (+2709 мс). Google Ads (AW-1006368194) активируется на +3757 мс через GTM после загрузки баннера, но до взаимодействия пользователя.

2) Usercentrics загружается через 2,7 секунды после старта сессии. К этому моменту GTM уже активирован и GA4 уже инициализирован. Согласие запрашивается после фактической передачи данных.

3) GTM, GA4 и Google Ads передают данные в США. Механизм передачи — EU-US Data Privacy Framework — должен быть явно указан для каждого получателя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/zalando-ee/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7; GDPR Art. 13(1)(f), Chapter V

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]