Průvodce integrací souhlasu s cookies HubSpot: Sledování v souladu s GDPR pro marketéry v roce 2026
HubSpot je jednou z nejhlouběji zakotvených marketingových platforem na moderním webu. Jeho sledovací skript běží na milionech B2B stránek, zachycuje zobrazení stránek, vyplnění formulářů, chatové relace a chování na úrovni identifikátorů, které přímo proudí do HubSpot CRM. Problém je, že standardně tento skript začíná shromažďovat osobní údaje v okamžiku načtení stránky — dlouho předtím, než má návštěvník možnost učinit jakékoli rozhodnutí. Pro jakoukoli organizaci, která pracuje s provozem z EU, UK, Brazílie nebo Kalifornie, toto výchozí chování již není v souladu s předpisy a stále více jde o typ problému, na který regulátoři upozorňují v reálných stížnostech. Tento průvodce vysvětluje, co HubSpot skutečně sleduje, kde leží hranice souhlasu a jak propojit HubSpot s CMP třetí strany tak, aby marketingová analytika fungovala bez rizika pokuty.
Proč sledování HubSpot potřebuje skutečný signál souhlasu
HubSpot ukládá do zařízení návštěvníka řadu souborů cookies první strany, jakmile se spustí sledovací skript (snippet JavaScript HubSpot, obvykle hs-scripts.com/{hub_id}.js). Nejvýznamnější jsou __hstc, hubspotutk a __hssc, které společně identifikují návštěvníka napříč relacemi, propojují odeslání formulářů s anonymní historií prohlížení a napájejí modely hodnocení potenciálních zákazníků v CRM. Podle GDPR a směrnice ePrivacy jsou všechny tři nezbytné cookies, které vyžadují svobodně udělený, konkrétní, informovaný a jednoznačný předchozí souhlas. Načtení snippetu v záhlaví dokumentu — což je výchozí vzor integrace HubSpot — umístí tyto cookies dříve, než byl návštěvník na cokoli dotázán.
Důsledky nejsou teoretické. Úřady pro ochranu údajů ve Francii, Itálii a Španělsku v posledních dvou letech vydaly vymáhací opatření proti organizacím, jejichž marketingové stacky nastavovaly sledovací cookies před udělením souhlasu. Pokuty se pohybovaly od pětimístných penalizací pro malé vydavatele po multimilionové eurové pokuty pro velké podniky. Nativní cookie banner HubSpot existuje, ale je záměrně odlehčený a sám o sobě nebrání spuštění snippetu. Většina recenzentů souladu ho považuje za informační vrstvu, nikoli za kontrolní vrstvu.
Co HubSpot skutečně sleduje
Než se rozhodnete, jak HubSpot řídit, je užitečné přesně vědět, které kategorie zpracování jsou v hře. Sledovací plocha HubSpot se dělí do čtyř překrývajících se kategorií, každá s vlastními důsledky pro souhlas.
Behaviorální analytika
Události zobrazení stránek, kliknutí, posouvání a délky relace jsou shromažďovány automaticky po načtení sledovacího kódu. Tyto události budují časovou osu návštěvníka, kterou vidíte v záznamech kontaktů HubSpot, a jsou základem každého pravidla hodnocení potenciálních zákazníků nebo pracovního postupu. Z pohledu regulátora se jedná o přímočaré sledování analytiky a vyžaduje souhlas typu opt-in v EU a EEA. V UK pokyny ICO z roku 2023 s tím zacházejí totožně.
Formuláře a chat
Formuláře HubSpot a widget chatu HubSpot (dříve integrace Drift) lze nakonfigurovat tak, aby se načítaly nezávisle na hlavním sledovacím skriptu. Odeslání formulářů je ve většině právních analýz považováno za samostatnou zpracovatelskou činnost s vlastním právním základem — obvykle plnění smlouvy nebo oprávněný zájem. Chat, který zaznamenává přepisy na serveru třetí strany, však obecně vyžaduje souhlas se samotným zaznamenáváním.
Propojování identity napříč doménami
Pokud používáte stejný portál HubSpot napříč více doménami, snippet se pokusí nastavit a číst cookies způsobem, který propojuje návštěvníky napříč těmito vlastnostmi. To překračuje do toho, co EDPB nazývá "sledováním" v přísném slova smyslu, a je to kategorie s nejvyšším rizikem. Je to také ta, která je s největší pravděpodobností označena během DPIA.
Marketingové integrace
HubSpot může prostřednictvím svých integrací odesílat události do Google Ads, Meta, LinkedIn a dalších reklamních sítí. Každý z těchto dalších přenosů má vlastní požadavek na souhlas a v EU i vlastní posouzení přenosu dat.
Nativní banner HubSpot vs. CMP třetí strany
HubSpot dodává vestavěný banner souhlasu s cookies, který lze aktivovat v Nastavení > Ochrana soukromí a souhlas. Zobrazí konfigurovatelné oznámení, zaznamená záznam souhlasu ke kontaktu a respektuje jednorázové odhlášení pro analytiku. Pro velmi malé organizace působící v jurisdikcích s nízkým rizikem to může stačit. Pro kohokoli, kdo bere soulad vážně — nebo kdo provozuje reklamu s vědomím consent mode — to nestačí.
Důvody přechodu na CMP třetí strany jsou praktické:
- Granulární kategorie. Nativní banner neodděluje nezbytně nutné, funkční, analytické a marketingové cookies do samostatných přepínačů, což je struktura, kterou regulátoři očekávají.
- Podpora IAB TCF a GPP. Pokud se účastníte programatické reklamy, potřebujete CMP certifikovanou Googlem, která emituje platný TC řetězec. Nativní banner HubSpot to neumožňuje.
- Consent Mode v2. Google nyní vyžaduje signály souhlasu doručované ve formátu v2 pro provoz z EEA. Vyhrazená CMP to zapojuje end-to-end, včetně konfigurace výchozího zamítnutí.
- Vícejazyčnost a přístupnost. Většina CMP dodává s 30+ jazykovými balíčky a výchozími nastaveními splňujícími WCAG. Vestavěný banner HubSpot je omezenější.
- Protokolování na úrovni auditu. Vyhrazená CMP zaznamenává každé rozhodnutí o souhlasu s časovým razítkem, verzí banneru a volbou — důkazy, které regulátoři požadují při vyšetřováních.
Krok za krokem: integrace s CMP třetí strany
Vzor integrace, který spolehlivě funguje, spočívá v ponechání snippetu HubSpot na stránce, ale v zabránění jeho spuštění, dokud není zaznamenáno rozhodnutí o souhlasu. Níže je kanonický přístup, napsaný genericky tak, aby se vztahoval na jakoukoli moderní CMP včetně FlexyConsent.
1. Odstraňte výchozí snippet ze záhlaví dokumentu
V šabloně svého webu odstraňte inline tag <script>, který načítá hs-scripts.com/{hub_id}.js. Nahraďte jej zástupným symbolem, který může vaše CMP aktivovat později, obvykle nastavením atributu type na text/plain a přidáním datového atributu kategorie, jako je data-category="marketing".
2. Namapujte HubSpot na správnou kategorii souhlasu
Většina CMP používá IAB TCF nebo čtyřkbelíkový model: nezbytné, funkční, analytické, marketingové. Sledovací skript HubSpot se dotýká kategorií analytiky i marketingu kvůli integraci CRM. Konzervativní mapování je zajistit celý snippet za marketingovou kategorii, která je nejrestriktivnějším kbelíkem. Pokud vaše CMP umožňuje jemnozrnné mapování, můžete rozdělit: načíst formuláře pod funkční, načíst analytické události pod analytiku a načíst propojení identity CRM pod marketing.
3. Nakonfigurujte aktivační callback
Vaše CMP zpřístupňuje událost nebo callback, který se spustí, když uživatel udělí souhlas pro danou kategorii. V tomto callbacku přepište atribut type zástupného script tagu zpět na text/javascript a připojte ho k dokumentu. Skript se pak načte a spustí normálně. Pro SPA zaregistrujte callback při každé změně routy, aby nově namontované stránky také obdržely aktivaci.
4. Zapojte Consent Mode v2
Pokud používáte Google Ads nebo GA4 spolu s HubSpot, vaše CMP musí vložit signály souhlasu v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — do dataLayer dříve, než se spustí jakýkoli tag Google. HubSpot sám tyto signály nespotřebovává, ale zbytek vašeho stacku ano, a nekonzistentnost mezi HubSpot a Google se projeví ve vašich reportech jako měřitelná příjmová mezera.
5. Synchronizujte stav souhlasu do HubSpot CRM
Když známý kontakt aktualizuje svůj souhlas (například opětovným zobrazením banneru a odvoláním marketingového souhlasu), měli byste to promítnout do záznamu HubSpot, aby logika pracovního postupu přestala odesílat marketingové e-maily. HubSpot API zpřístupňuje endpoint communication-preferences, který přijímá aktualizace na úrovni předplatného. Většinu CMP lze nakonfigurovat tak, aby tento endpoint volala z háčku na straně serveru.
Časté chyby a jak se jim vyhnout
Tři chyby integrace jsou příčinou většiny zjištění při auditu, která vidíme u stacků s vysokým podílem HubSpot.
Příliš brzké načtení snippetu
Některé týmy umísťují tag HubSpot do správce tagů a předpokládají, že správce tagů zpracovává souhlas. Google Tag Manager respektuje consent mode, ale pouze pro tagy, které explicitně vyžadují udělený stav. Pokud je tag HubSpot nakonfigurován bez tohoto požadavku, GTM ho spustí bez ohledu na souhlas. Vždy nastavte pole Dodatečný souhlas na tagu tak, aby vyžadoval marketingový souhlas před spuštěním.
Zapomenutí skriptů formuláře
Formuláře HubSpot jsou obsluhované ze samostatné domény (forms.hsforms.com) a mohou být vloženy s vlastním skriptem. Pokud zajistíte hlavní sledovací snippet, ale necháte skript formuláře načítaný při prvním vykreslení, problém jste skutečně nevyřešili — knihovna formulářů sama nastavuje identifikační cookies. Zajistěte oba a nechte CMP načíst je společně.
Zaměňování opt-out za opt-in
Nativní nastavení HubSpot zahrnuje možnost Nesledovat a jednoklikové odhlášení. Některé týmy to interpretují jako dostatečný mechanismus pro soulad s GDPR. Nejsou jím — GDPR vyžaduje kladný opt-in pro nezbytné cookies a zaškrtávací políčko pro opt-out skryté na stránce ochrany soukromí tuto podmínku nesplňuje. Učiňte CMP autoritativním zdrojem stavu souhlasu a nakonfigurujte HubSpot tak, aby se jí přizpůsobil.
Dokumentace připravená na audit
Po dokončení technické integrace je posledním krokem zajistit, aby váš důkazní přehled mohl odolat žádosti regulátora. Minimálně uchovávejte záznamy o: kategoriích, na které vaše CMP mapuje HubSpot, verzi banneru souhlasu aktivní k danému datu, vzorových TC řetězcích prokazujících platný souhlas a protokolech API dokazujících, že HubSpot nespustil žádné sledovací volání před udělením souhlasu. Většina vymáhacích opatření se nezastaví na technologii, ale na dokumentaci — organizace, které mohou předložit jasnou dokumentaci, obvykle řeší vyšetřování mnohem rychleji než ty, které nemohou. Platforma pro správu souhlasu, která tyto artefakty exportuje na vyžádání, proměňuje audit z víceměsíčního zápasu v odpolední odpověď.