Защо проследяването на HubSpot се нуждае от реален сигнал за съгласие

HubSpot поставя редица собствени бисквитки на устройството на посетителя веднага щом се изпълни скриптът за проследяване (JavaScript фрагментът на HubSpot, обикновено hs-scripts.com/{hub_id}.js). Най-важните са __hstc, hubspotutk и __hssc, които заедно идентифицират посетителя между сесиите, свързват изпратени формуляри с анонимна история на сърфиране и захранват моделите за оценка на потенциални клиенти в CRM. Съгласно GDPR и Директивата за поверителност и електронни комуникации (ePrivacy), и трите бисквитки са несъществени и изискват свободно дадено, конкретно, информирано и недвусмислено предварително съгласие. Зареждането на фрагмента в заглавната секция на документа — което е стандартният начин за интеграция на HubSpot — поставя тези бисквитки, преди посетителят да е бил запитан за каквото и да е.

Последствията не са хипотетични. Органите за защита на данни във Франция, Италия и Испания са издавали принудителни мерки през последните две години срещу организации, чиито маркетингови инструменти са задавали бисквитки за проследяване преди съгласие. Глобите варират от петцифрени санкции за малки издатели до многомилионни глоби в евро за големи предприятия. Вграденият банер за съгласие на HubSpot съществува, но е умишлено опростен и сам по себе си не блокира изпълнението на фрагмента. Повечето специалисти по съответствие го разглеждат като слой за уведомяване, а не като слой за контрол.

Какво действително проследява HubSpot

Преди да решите как да ограничите HubSpot, полезно е да сте точни относно категориите обработка, които са в игра. Повърхността за проследяване на HubSpot се разделя на четири припокриващи се групи, всяка с различни последствия за съгласието.

Поведенческа аналитика

Събития за преглед на страница, кликване, скролиране и продължителност на сесията се събират автоматично след зареждане на кода за проследяване. Тези събития изграждат хронологията на посетителя, видима в записите за контакти на HubSpot, и са в основата на всяко правило за оценка на потенциални клиенти или работен поток. От гледна точка на регулаторите това е ясно аналитично проследяване, изискващо изрично съгласие в EU и EEA. В UK насоките на ICO от 2023 г. третират това по идентичен начин.

Формуляри и чат

Формулярите на HubSpot и приспособлението за чат (преди известно като интеграция с Drift) могат да бъдат конфигурирани да се зареждат независимо от основния скрипт за проследяване. Изпращанията на формуляри в повечето правни анализи се считат за отделна дейност по обработка със собствено правно основание — обикновено изпълнение на договор или легитимен интерес. Чатът, който записва стенограми на сървър на трета страна, обаче обикновено изисква съгласие за самото записване.

Свързване на самоличността между домейни

Ако използвате един и същ портал на HubSpot в множество домейни, фрагментът ще се опита да задава и чете бисквитки по начин, свързващ посетителите в тези имоти. Това навлиза в това, което EDPB нарича „проследяване" в строгия смисъл и е категорията с най-висок риск. Освен това е и тази, която е най-вероятно да бъде маркирана по време на DPIA.

Маркетингови интеграции

HubSpot може да изпраща събития към Google Ads, Meta, LinkedIn и други рекламни мрежи чрез своите интеграции. Всяко от тези последващи предавания носи собствено изискване за съгласие и в EU — собствена оценка за прехвърляне на данни.

Вграден банер на HubSpot срещу CMP на трета страна

HubSpot предлага вграден банер за съгласие с бисквитки, който можете да активирате от Настройки > Поверителност и съгласие. Той ще покаже конфигурируемо известие, ще регистрира запис за съгласие спрямо контакта и ще спазва единичен отказ за аналитика. За много малки организации в юрисдикции с нисък риск това може да е достатъчно. За всеки, отнасящ се сериозно към съответствието — или за всеки, управляващ реклами, изискващи режим на съгласие — не е.

Практическите причини за преминаване към CMP на трета страна са:

• Детайлни категории. Вграденият банер не разделя строго необходимите, функционалните, аналитичните и маркетинговите бисквитки в отделни превключватели — структурата, която регулаторите очакват.
• Поддръжка на IAB TCF и GPP. Ако участвате в програматична реклама, имате нужда от сертифициран от Google CMP, който излъчва валиден TC низ. Вграденият банер на HubSpot не прави това.
• Режим на съгласие v2. Google вече изисква сигнали за съгласие в новия формат за трафик от EEA. Специализиран CMP свързва това от край до край, включително конфигурацията за отказ по подразбиране.
• Многоезичност и достъпност. Повечето CMP идват с езикови пакети за 30+ езика и стандарти, съвместими с WCAG. Вграденият банер на HubSpot е по-ограничен.
• Регистрация на ниво одит. Специализиран CMP записва всяко решение за съгласие с времеви печат, версия на банера и избор — доказателствата, които регулаторите изискват при разследвания.

Стъпка по стъпка интеграция с CMP на трета страна

Моделът на интеграция, който работи надеждно, е да оставите фрагмента на HubSpot на страницата, но да предотвратите изпълнението му до регистриране на решение за съгласие. По-долу е каноничният подход, написан общо, за да се приложи към всеки модерен CMP, включително FlexyConsent.

1. Премахнете фрагмента по подразбиране от заглавната секция на документа

В шаблона на сайта изтрийте вградения таг <script>, зареждащ hs-scripts.com/{hub_id}.js. Заменете го с контейнер, който CMP може да активира по-късно, обикновено като зададете атрибута type на text/plain и добавите атрибут за категория данни като data-category="marketing".

2. Съпоставете HubSpot с правилната категория съгласие

Повечето CMP използват IAB TCF или модел с четири групи: необходими, функционални, аналитични, маркетингови. Скриптът за проследяване на HubSpot засяга и аналитичните, и маркетинговите категории поради интеграцията с CRM. Консервативното съпоставяне е да ограничите целия фрагмент зад маркетинговата категория, тъй като тя е най-рестриктивната. Ако вашият CMP позволява прецизно съпоставяне, можете да разделите: заредете формуляри под функционални, заредете аналитични събития под аналитични и заредете свързването на идентичности в CRM под маркетингови.

3. Конфигурирайте обратното извикване за активиране

Вашият CMP предоставя събитие или обратно извикване, което се задейства, когато потребителят даде съгласие за категория. В това обратно извикване презапишете атрибута type на контейнерния скрипт таг обратно на text/javascript и го добавете към документа. Скриптът след това ще се зареди и изпълни нормално. За SPA регистрирайте обратното извикване при всяка промяна на маршрута, така че и новомонтираните страници да получат активирането.

4. Свържете Режим на съгласие v2

Ако използвате Google Ads или GA4 заедно с HubSpot, вашият CMP трябва да избута сигналите за съгласие v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — в dataLayer преди изстрелване на какъвто и да е Google таг. HubSpot сам не консумира тези сигнали, но останалата част от вашия стек го прави, а несъответствието между HubSpot и Google ще се появи в отчетите ви като измеримо приходно несъответствие.

5. Синхронизирайте състоянието на съгласие с HubSpot CRM

Когато известен контакт актуализира съгласието си (например като посети отново банера и оттегли маркетинговото съгласие), трябва да отразите това в записа на HubSpot, за да спрат работните потоци от изпращане на маркетингови имейли. HubSpot API предоставя крайна точка communication-preferences, която приема актуализации на ниво абонамент. Повечето CMP могат да бъдат конфигурирани да извикват тази крайна точка от сървърна кука.

Чести грешки и как да ги избегнете

Три грешки при интеграцията обясняват повечето констатации при одита, които виждаме в стекове с интензивно използване на HubSpot.

Зареждане на фрагмента твърде рано

Някои екипи поставят тага HubSpot в мениджър на тагове и приемат, че мениджърът на тагове се грижи за съгласието. Google Tag Manager спазва режима на съгласие, но само за тагове, изрично изискващи предоставено състояние. Ако тагът HubSpot е конфигуриран без това изискване, GTM ще го изстреля независимо от всичко. Винаги задавайте полето Допълнително съгласие на тага, за да изисква маркетингово съгласие преди изстрелване.

Забравяне на скриптовете за формуляри

Формулярите на HubSpot се обслужват от отделен домейн (forms.hsforms.com) и могат да бъдат вградени със собствен скрипт. Ако ограничите основния фрагмент за проследяване, но оставите скрипта за формуляр да се зарежда при първоначалното рендиране, всъщност не сте решили проблема — библиотеката за формуляри поставя собствени идентифициращи бисквитки. Ограничете и двата и нека CMP ги зарежда заедно.

Третиране на отказ като съгласие

Вградените настройки на HubSpot включват опция „Не проследявай" и едно кликване за отказ. Някои екипи тълкуват тези механизми като достатъчни за съответствие с GDPR. Не са — GDPR изисква утвърдително съгласие за несъществени бисквитки, а квадратче за отказ, заровено в страница за поверителност, не отговаря на това изискване. Направете CMP авторитетния източник на состояние на съгласие и конфигурирайте HubSpot да се подчинява на него.

Документация, готова за одит

След поставяне на техническата интеграция на място последната стъпка е да се уверите, че следата от доказателства може да издържи на запитване от регулатор. Като минимум пазете запис на: категориите, към които вашият CMP съпоставя HubSpot, версията на банера за съгласие, активна на всяка дата, примерни TC низове, показващи валидно съгласие, и API журналите, доказващи, че HubSpot не е изпращал никакво проследяващо повикване преди съгласие. Повечето принудителни действия се спъват не на технологията, а на документацията — организациите, способни да представят ясна документна следа, обикновено разрешават разследванията много по-бързо от тези, които не могат. Платформа за управление на съгласието, която експортира тези артефакти при поискване, превръща одита от многоседмично главоболие в отговор за едно следобед.