Průvodce integrací souhlasu s cookies Klaviyo: E-mail a SMS v souladu s GDPR pro e-commerce v roce 2026
Klaviyo je dominantní platforma pro e-mailový a SMS marketing pro přímý prodej spotřebitelům v e-commerce. Je nainstalována ve významné části všech obchodů Shopify, BigCommerce a Magento po celém světě a její vrstva sledování na místě — skript, který sleduje chování při procházení, přiřazuje zobrazení stránek ke známým profilům a spouští toky opuštěného košíku a opuštěného procházení — je to, co dělá platformu komerčně hodnotnou. Je to také jedna z nejčastěji špatně nakonfigurovaných částí e-commerce stacku z hlediska ochrany soukromí. Sledovací skript Klaviyo Onsite, knihovna Klaviyo Forms a toky přihlášení k SMS všechny sbírají osobní údaje v okamžiku načtení, ještě před zobrazením jakéhokoli banneru souhlasu. Pro jakýkoli obchod obsluhující provoz z EU, UK, Brazílie nebo Kalifornie toto výchozí chování již není v souladu s předpisy a regulátoři nejaktivnější v prosazování e-commerce — CNIL ve Francii, AEPD ve Španělsku, italský Garante a Kalifornská agentura pro ochranu soukromí — jasně deklarovali, že se k marketingovým skriptům chovají identicky bez ohledu na to, zda je dodavatel velký nebo malý. Tato příručka popisuje, co Klaviyo sbírá, jak ji integrovat s CMP třetí strany a kde se hodí vlastní primitivy soukromí platformy.
Co sbírá Klaviyo Onsite Tracking
Fragment Klaviyo Onsite (načtený z static.klaviyo.com/onsite/js/klaviyo.js) inicializuje globální frontu _learnq a identifikuje návštěvníky pomocí cookie ve vlastnictví Klaviyo s názvem __kla_id. Po instalaci automaticky hlásí události zobrazení stránek, zachycuje interakce s formuláři, spouští událost Active On Site, která pohání tok Browse Abandonment Klaviyo, a váže anonymní chování při procházení k profilu známého odběratele v okamžiku, kdy se návštěvník přihlásí nebo odešle formulář s e-mailovou adresou. Následné události — Viewed Product, Added to Cart, Started Checkout, Placed Order — se spouštějí prostřednictvím téže infrastruktury identity a dědí stejnou atribuci založenou na cookies.
Pro analýzu GDPR je cookie nepodstatná, data opouštějící stránku jsou osobními údaji, protože jsou vázána na trvalý identifikátor, a Klaviyo je usazena ve Spojených státech, což přenos podřizuje Rámci ochrany soukromí dat EU-USA. Všechny tři podmínky tlačí Klaviyo Onsite tracking pevně do území „vyžaduje předchozí souhlas" v EU, UK, EEA a Brazílii podle LGPD. V Kalifornii stejné zpracování spadá pod právo na odhlášení ze sdílení pro behaviorální reklamu napříč kontexty podle CPRA, které sdílení Klaviyo s následnými destinacemi placených médií spouští.
Tři sledovací povrchy, které musíte zabezpečit
Instalace Klaviyo není jedním sledovacím povrchem, jsou to tři, a je třeba s nimi zacházet samostatně v integraci CMP.
Sledovací skript Onsite
Toto je hlavní behaviorální sledovač — skript, který nastavuje __kla_id a pohání tok událostí aktivního na místě. Je to povrch, na který si většina týmů vzpomene zabezpečit a který je nejviditelnější pro regulátory při auditu. Standardně jej blokujte a načítejte jej pouze tehdy, když návštěvník přijme kategorii marketingu.
Klaviyo Forms a přihlašovací vyskakovací okna
Klaviyo Forms je samostatná knihovna, která pohání vyskakovací okna přihlášení k e-mailu a SMS, vložené formuláře a odemykání chráněného obsahu. Je hostována na stejné doméně, ale načítána jako samostatný skript. Formuláře mohou spouštět události zobrazení a odeslání nezávisle na hlavním sledovači Onsite, takže zabezpečení pouze Onsite při ponechání načítání Forms je běžný vzor částečného souladu, který stále prozrazuje identifikační data.
Sběr přihlášení k SMS
Přihlášení k SMS mají svůj vlastní požadavek souhlasu podle TCPA v USA a podle odvětvově specifických pravidel v EU a formuláře SMS Klaviyo sbírají telefonní čísla spolu se souhlasem potvrzeným zaškrtávacím políčkem. Souhlas získaný zde je pro samotné SMS zprávy, oddělený od souhlasu s cookies. Správně nakonfigurovaný stack zaznamenává obojí: souhlas s cookies v CMP, souhlas s SMS v profilu odběratele Klaviyo.
Nativní ovládací prvky soukromí Klaviyo
Klaviyo zpřístupňuje několik nativních primitiv soukromí. Jako u většiny marketingových platforem předpokládají, že rozhodnutí o souhlasu existuje a je předáváno. Souhlas samy nesbírají.
Vlastnost souhlasu u volání identify
Když zavoláte klaviyo.identify() nebo klaviyo.track(), můžete připojit datovou část souhlasu, která zaznamenává zákonný základ pro marketingová sdělení. Toto je správný primitiv pro předání rozhodnutí CMP do profilu odběratele Klaviyo.
Pole souhlasu na úrovni profilu
Profil odběratele má vyhrazená pole pro souhlas s e-mailem, souhlas s SMS a zdroj souhlasu. Aktualizace těchto polí se šíří do segmentačního enginu Klaviyo, takže toky respektují zaznamenaný stav.
Panel nastavení soukromí a souhlasu
Administrátorské uživatelské rozhraní Klaviyo má sekci Soukromí a souhlas, která řídí některá výchozí chování — například zda se událost Active On Site spouští pro návštěvníky bez zaznamenaného souhlasu. Výchozí nastavení je benevolentní; zpřísnění těchto nastavení je užitečná doplňková vrstva nad rámec zabezpečení na úrovni CMP.
Integrace CMP krok za krokem
Spolehlivá architektura spočívá v zabezpečení všech tří sledovacích povrchů Klaviyo za CMP a v použití vlastností souhlasu u volání identify a track Klaviyo k udržení záznamů odběratelů platformy v synchronizaci se zaznamenaným stavem souhlasu.
1. Odstraňte výchozí fragment Onsite z hlavičky
Klaviyo poskytuje jednořádkový fragment, který instalátoři typicky vkládají do hlavičky dokumentu. Odstraňte jej. Nahraďte jej zástupným prvkem skriptu, jehož atribut type je text/plain a jehož atribut data-category jej identifikuje jako marketing. Váš CMP přepíše typ zpět na text/javascript, když návštěvník přijme kategorii marketingu.
2. Odložte načítání Klaviyo Forms
Knihovna Forms se načítá nezávisle na Onsite. Aplikujte stejný vzor zástupného prvku na její prvek skriptu, aby se neinicializovala před souhlasem. Po udělení souhlasu se mohou Onsite i Forms inicializovat dohromady; události ve frontě se automaticky vyprázdní.
3. Oddělte souhlas s SMS od souhlasu s cookies
Sběr přihlášení k SMS probíhá prostřednictvím Klaviyo Forms, ale získaný souhlas (explicitní zaškrtávací políčko pro SMS marketing) je samostatným právním artefaktem od souhlasu s cookies. Banner CMP zaznamenává rozhodnutí o cookies; zaškrtávací políčko formuláře zaznamenává rozhodnutí o SMS. Neslučujte je — sdružený souhlas je neplatný jak podle GDPR, tak podle TCPA.
4. Přeneste souhlas do profilu Klaviyo
Když známý odběratel přijme nebo odvolá souhlas na vašem webu, CMP by měl zavolat Klaviyo API pro aktualizaci polí souhlasu profilu. Klaviyo Profiles API podporuje volání částečné aktualizace, které zapisuje souhlas s e-mailem, souhlas s SMS a časové razítko souhlasu bez přepsání zbytku profilu. Většina moderních CMP má konektor Klaviyo, který to řeší od začátku do konce.
5. Zapojte Consent Mode v2, pokud provozujete tagy Google souběžně
Většina obchodů používajících Klaviyo také provozuje Google Ads a GA4. Váš CMP musí publikovat signály souhlasu v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — do dataLayer před spuštěním jakéhokoli tagu Google. Klaviyo tyto signály nativně nespotřebovává, ale Google ano, a nesoulad mezi Klaviyo a Google se projeví jako měřitelná mezera v příjmech ve výkazech atribuce.
Běžné úskalí
Čtyři chyby integrace se opakovaně objevují při auditech nasazení Klaviyo.
Zacházení s Forms jako s "pouhým vyskakovacím oknem"
Některé týmy zabezpečují Onsite pod marketingem, ale nechávají Forms načítat při počátečním vykreslení s odůvodněním, že „vyskakovací okno je jen prvek uživatelského rozhraní". Knihovna Forms spouští události zobrazení do Klaviyo pro každé zobrazené vyskakovací okno, což jsou identifikační behaviorální data předávaná americkému dodavateli adtech — přesný vzor, kterému má CMP předcházet.
Slučování souhlasu s cookies a souhlasu s SMS
Jediné zaškrtávací políčko s textem „Souhlasím s cookies a se zasíláním marketingových SMS" je neplatné pro obojí. Souhlas s cookies musí být specifický pro cookies; souhlas s SMS musí být specifický pro SMS. Používejte samostatné ovládací prvky.
Povolení spuštění konektorů placených médií třetích stran u odvolaných profilů
Klaviyo může prostřednictvím svých integrací odesílat publika do Google Ads, Meta, TikTok a dalších reklamních sítí. Pokud odběratel odvolá souhlas, odesílání publika jej musí odebrat — nestačí jen přestat přidávat. Nakonfigurujte nastavení synchronizace publika Klaviyo tak, aby respektovalo změny stavu souhlasu v reálném čase, nejen při počáteční synchronizaci.
Zapomenutí otázky historických dat
Když návštěvník poprvé přijme souhlas, váš stack by neměl retrospektivně spojovat jeho anonymní chování před souhlasem s jeho novým profilem. CMP a Klaviyo by se měly shodnout, že data prohlížení před souhlasem nejsou osobními údaji spojenými s nyní identifikovaným profilem. Některé toky Klaviyo toto propojení předpokládají ve výchozím nastavení — přezkoumat příslušné spouštěče toků.
Kontrolní seznam auditu
Šest konkrétních otázek, na které je třeba odpovědět pro jakékoli nasazení Klaviyo zpracovávající provoz z EU, UK, Brazílie nebo Kalifornie.
- Čeká Onsite na souhlas? Otevřete výlohu v soukromém okně s přísnou ochranou sledování a potvrďte, že před přijetím banneru se nespouštějí žádné požadavky na static.klaviyo.com.
- Čeká Forms na souhlas? Potvrďte, že události zobrazení vyskakovacích oken se nespouštějí před přijetím kategorie marketingu.
- Jsou souhlas s cookies a souhlas s SMS odděleny? Potvrďte, že banner cookies nesbírá také souhlas s SMS a že formuláře přihlášení k SMS zaznamenávají vlastní explicitní zaškrtávací políčko.
- Odráží profil Klaviyo stav CMP? Potvrďte, že CMP zapisuje rozhodnutí o souhlasu do polí souhlasu profilu prostřednictvím Klaviyo API.
- Respektují synchronizace publika odvolání? Potvrďte, že odvolání souhlasu odebere odběratele z následných publik placených médií, nejen z budoucích synchronizací.
- Zůstává prohlížení před souhlasem anonymní? Potvrďte, že spouštěče toků retrospektivně nespojují chování před souhlasem s nově identifikovanými profily.
Kde Klaviyo zapadá do stacku orientovaného na souhlas
Klaviyo stojí na průsečíku e-commerce atribuce a přímých marketingových komunikací, což znamená, že se dotýká jak režimu souhlasu s cookies (GDPR/ePrivacy, CCPA/CPRA), tak režimu marketingových komunikací (CAN-SPAM, TCPA, GDPR Article 6/7 pro zasílání zpráv). Správná architektura s nimi zachází jako se dvěma odlišnými povrchy souhlasu — oba vedeny přes jediný CMP, který vlastní zdroj pravdy, přičemž nativní pole souhlasu Klaviyo jsou synchronizována prostřednictvím API. Obchody, které to dělají správně, zachovávají chování opuštěného košíku, opuštěného procházení a segmentace, které dělá Klaviyo komerčně hodnotnou, a zároveň snižují vystavení auditu na zlomek toho, co přináší výchozí instalace. Inženýrská práce je přímočará; disciplína spočívá v tom, aby marketingový tým nepovažoval Forms za osvobozené od stejných pravidel jako sledovač Onsite.