מדריך שילוב הסכמת עוגיות למפות חום והקלטת סשן של Hotjar: ספר המשחקים לשנת 2026 למפרסמים
ל-Hotjar יש מקום ייחודי בערימת הכלים. הוא אינו פלטפורמת ניתוח אינטרנט כמו Google Analytics, אינו פלטפורמת ניתוח מוצר כמו Amplitude או Mixpanel, ואינו מנהל תגיות. זהו כלי מחקר חוויית משתמש שקיים באופן ספציפי כדי להקליט מה משתמשים בודדים עושים בדף — היכן הם מזיזים את העכבר, על מה הם לוחצים, לאן הם גוללים, היכן הם מהססים, ובמקרה של הקלטת סשן, בדיוק מה הם הקלידו וראו מוצג על המסך. הגרנולריות הזו היא המוצר. זה גם הסיבה שרגולטורים ייחדו שחזור סשן כאחת מקטגוריות הסיכון הגבוה ביותר של עיבוד התנהגותי, ומדוע פריסה רשלנית של Hotjar היא אחת הדרכים הקלות ביותר לאתר שאחרת עומד בדרישות לצאת מהתאימות. ה-CNIL, ה-Garante וה-EDPB פרסמו כולם הנחיות המתמקדות באופן ספציפי בהתנהגות שחזור הסשן, וכוח המשימה לבאנרים של עוגיות של EDPB לשנת 2026 מתייחס אליו כקטגוריית עדיפות. החדשות הטובות הן ש-Hotjar הוא אחד הכלים המהונדסים טוב יותר בקטגוריה זו לפריסה מבוססת הסכמה — בתנאי שהמפרסם אכן משתמש בפקדים הקיימים.
מדוע Hotjar דורש הסכמה מפורשת
פרופיל האיסוף של Hotjar הוא מה שמפעיל את חובות ההסכמה בכל מסגרת שחשובה. באתחול ברירת המחדל, סקריפט המעקב של Hotjar כותב לפחות שלוש עוגיות של צד ראשון — _hjSessionUser_{siteId}, _hjSession_{siteId}, וסדרה של עוגיות דיכוי ומקורות נכנסים — לדפדפן תוך אלפיות שנייה מטעינת הדף. הסקריפט מתחיל אז לזרים רשומה רצופה של קואורדינטות הסמן, קואורדינטות לחיצה, מיקום גלילה, גודל חלון תצוגה, ואשר כאשר הקלטת הסשן מופעלת, ה-DOM המלא שעובד בהשוואה לבסיס.
בסעיף 5(3) של הוראת ePrivacy, כל אחת מאותן עוגיות היא פעולת אחסון וגישה הדורשת הסכמה מוקדמת, ניתנת בחופשיות, ספציפית, מדעת ובלתי דו-משמעית ב-EEA, בבריטניה, בשווייץ ובכל שיפוט שייבא את אותו התקן. תחת GDPR, הזרם ההתנהגותי מהווה עיבוד של נתונים אישיים מכיוון שהשילוב של עקבות הסמן, כתובת IP, טביעת האצבע של המכשיר ומזהה הסשן מספיקים לזיהוי יחיד. תחת CCPA ו-CPRA, אותו איסוף נחשב למכירה או שיתוף אלא אם כן למפרסם יש חוזה ספק השירותים הרלוונטי עם Hotjar — שאותו Hotjar מציע דרך DPA התואמת ל-CCPA שלו, אך היא נכנסת לתוקף רק כאשר האינטגרציה מוגדרת כהלכה. תחת הנחיות EDPB לשחזור סשן, הרף גבוה אף יותר: שחזור חייב להיות קשור למטרת מחקר UX ספציפית ולגיטימית, תקופת השמירה חייבת להיות המינימום הנדרש, ועל נושא הנתונים להיות מוודע לא רק שהקלטות קיימות אלא שהסשן שלו עצמו עלול להיות מושמע מחדש על ידי אנליסט.
מה Hotjar אוסף לפני ההסכמה — ומה חייב להיות מדוכא
טעות ההטמעה הנפוצה ביותר היא זו שמגיעה עם תחילת ההפעלה המהירה של Hotjar עצמו: הדבקת סקריפט המעקב ישירות אל <head> הדף. זה עובד, אבל טוען את Hotjar לפני שבאנר העוגיות אפילו עובד, כלומר עוגיות נקבעות והקלטה התנהגותית מתחילה בתצוגת העמוד הראשונה — ללא קשר למה שהמשתמש יחליט מאוחר יותר. כל רגולטור של האיחוד האירופי שפסק על תבנית זו פסק באותו אופן: עוגיות שנקבעו לפני ההסכמה אינן חוקיות, והמפרסם אחראי.
לכן אינטגרציה תואמת חייבת למנוע את טעינת סקריפט Hotjar בכלל עד שניתנה קטגוריית ההסכמה הרלוונטית. הדרך הנקייה ביותר לעשות זאת היא לעטוף את הקטע של Hotjar בתוך תג <script> מגודר הסכמה ש-CMP מזריק רק לאחר שהמשתמש הצטרף לקטגוריית ניתוח או מחקר מוצר. אם הסקריפט נטען דרך מנהל תגיות, המקביל הוא להגדיר את הטריגר לאירוע הענקת הסכמה ולא ל-כל הדפים. התיעוד של Hotjar עצמו ממליץ כעת במפורש על תבנית זו, והפלטפורמה חושפת API של hj('consent', 'grant') למקרים שבהם הסקריפט חייב להיות נוכח אך צריך להישאר רדום עד שההסכמה מוקלטת.
עוגיות ואחסון שכותב Hotjar
קוד המעקב 6.x של Hotjar כותב את המזהים הבאים, כולם אינם חיוניים ודורשים הסכמה: _hjSessionUser_{siteId} עם תפוגה של 365 ימים המכיל את מזהה המשתמש; _hjSession_{siteId} עם תפוגה של 30 דקות המכיל את מזהה הסשן; _hjFirstSeen; _hjIncludedInSessionSample_{siteId}; _hjAbsoluteSessionInProgress; ומספר עוגיות ייחוס קמפיין כאשר סקרים או וידג'טים של משוב פעילים. הקלטות הסשן עצמן מאוחסנות בשרתי Hotjar ומוכלות למזהה הסשן — לכן משיכת ההסכמה חייבת גם לאותת על בקשת מחיקה דרך API של Hotjar או דרך זרימת מחיקת המשתמש בתוך המוצר.
מיפוי Hotjar למסגרות ההסכמה
Hotjar אינו משתלב באופן ילידי עם IAB TCF או עם IAB Global Privacy Platform. הוא אינו ספק טכנולוגיית פרסום ומעולם לא נועד להיות כזה. עם זאת, הוא משתלב עם Google Consent Mode v2 דרך האות analytics_storage, וחושף את ה-API הייחודי שלו להסכמה שאליו כל CMP יכול להתחבר. התבנית שעומדת בביקורת של רגולטור מתייחסת לכל יכולת של Hotjar כשער הסכמה נפרד.
- מפות חום ומפות לחיצות מתחברות למטרת הניתוח או מחקר המוצר. במונחי TCF זו לרוב מטרה 8 (מדידת ביצועי תוכן) בשילוב עם מטרה 1 (אחסון ו/או גישה למידע). עבור Consent Mode זהו analytics_storage.
- הקלטת סשן צריכה לשבת מאחורי אות מחמיר ונפרד יותר. ההקלטה לוכדת את ה-DOM המעובד וכל שדה לא מוסווה, ובחירה מפורשת ברמת העדפות — לא הסכמת ניתוח כוללת — היא העמדה הניתנת להגנה תחת הנחיות EDPB לשחזור סשן.
- סקרים ווידג'טים של משוב יכולים לפעול תחת אותו שער הסכמה כמו הקלטת סשן כאשר הם אוספים קלט טקסט חופשי, או תחת שער הניתוח כאשר הם אוספים רק נתוני דירוג.
- משפכים ומעקב המרות מתחברים לשער הניתוח; אם מזהה משתמש כלשהו מועבר ל-CRM או פלטפורמת פרסום, שער השיווק חל גם כן.
תבנית האינטגרציה שעובדת
לפריסת הייחוס יש ארבעה חלקים: CMP שחושף אירוע שינוי הסכמה בזמן אמת, טוען סקריפט דחוי שמזריק את קטע Hotjar רק לאחר שהסכמת הניתוח מופעלת, שכבת דיכוי הקלטת סשן שמגדירה את ההקלטה כמושבתת כברירת מחדל עד שנפתח שער נפרד, ותצורת מיסוך קלט שמדכאה בצורה חזקה כל שדה שרגולטור היה מחשיב כרגיש גם כאשר ניתנה הסכמה. הנקודה הרביעית מתעלמים ממנה לעתים קרובות: מיסוך קלט אינו תחליף להסכמה, אך הוא תחליף לאסון כאשר הסכמה ניתנת למחקר לגיטימי ומשתמש מדביק בטעות נתונים רגישים לשדה טקסט חופשי.
יישום אינטרנט
באינטרנט, התבנית הנקייה ביותר היא להירשם לאירוע שינוי ההסכמה של ה-CMP, ואז להזריק באופן מותנה את קטע Hotjar כאשר מטרת הניתוח עוברת מ-false ל-true. השתמש ב-document.createElement('script') כדי להזריק את קוד המעקב עם מאפיין async מוגדר, וצרף מטפל onload שקורא ל-hj('identify', userId, properties) רק אם קיים מזהה משתמש מאומת שרת. כאשר ההסכמה נמשכת, קרא ל-hj('consent', 'revoke'), תפוג את כל עוגיות _hj דרך document.cookie, ושגר בקשת מחיקה דרך Hotjar Data API עבור הקלטות הסשן הקודמות של המשתמש. אל תאתחל Hotjar באופן עצלני באותה מעבר עיבוד של הבאנר — הסקריפט חייב להמתין להענקה מפורשת, וההענקה חייבת להיות מוקלטת עם חותמת זמן ומחרוזת הסכמה לפני שהסקריפט יופעל.
מיסוך קלט ודיכוי נתונים רגישים
מקליט הסשן של Hotjar מגיע עם שלושה מצבי מיסוך: Suppress mode, שהוא ברירת המחדל לשדות סיסמה וכל אלמנט המסומן עם מאפיין data-hj-suppress; Whitelist mode, שבו רק קלטות שנבחרו במפורש מוקלטות; ו-Mask mode, שבו לחיצות מקלדת מוקלטות ככוכביות. תחת כללי קטגוריה מיוחדת של GDPR והגדרת מידע אישי רגיש של CCPA, כל שדה שעשוי ללכוד מידע בריאותי, פרטים פיננסיים, מזהים ממשלתיים, נתונים ביומטריים, מיקום גיאוגרפי מדויק או תוכן תקשורת פרטית חייב להשתמש ב-Suppress mode ללא קשר למצב ההסכמה של המשתמש. הגדרת data-hj-suppress ברמת הטופס במקום ברמת השדה היא התבנית הבטוחה ביותר — היא מדכאת את הטופס כולו גם אם מפתח מוסיף מאוחר יותר שדה חדש שהוא שוכח לסמן בנפרד.
יישומי עמוד יחיד ושינויי נתיב
עבור SPAs (React, Vue, Angular, Svelte) קטע Hotjar מחובר לטעינת הדף הראשונית בלבד כברירת מחדל. כדי לעקוב אחר מעברי עמוד וירטואליים, ה-bootstrap חייב לקרוא ל-hj('stateChange', newPath) בכל שינוי נתיב. קריאה זו מכבדת את מצב ההסכמה שבו Hotjar מחזיק באותו זמן, כך שאין צורך לשכפל את לוגיקת שערי CMP — אך שינוי הנתיב עצמו לא צריך להפעיל טעינת סקריפט חדשה אם ההסכמה נמשכה בין צפיות בעמוד.
אימות האינטגרציה
שלב האימות הוא מה שרגולטורים בודקים ומה שמפרסמים מדלגים עליו לרוב. פריסת Hotjar שמשולבת כהלכה חייבת לעבור ארבעה בדיקות לפי הסדר. ראשית, סשן דפדפן חדש עם הבאנר מוצג אך ללא בחירה שנעשתה צריך לייצר אפס בקשות ל-static.hotjar.com, script.hotjar.com או vars.hotjar.com, ואפס עוגיות _hj ב-document.cookie. שנית, דחיית הניתוח צריכה לשמור על המצב הזה — ללא טעינת סקריפט, ללא הקלטה, ללא עוגיות. שלישית, קבלת הניתוח צריכה לייצר טעינת סקריפט ועוגיות _hjSessionUser ו-_hjSession הצפויות עם מאפייני SameSite נכונים, והקלטת מפת חום צריכה להופיע בלוח המחוונים של Hotjar תוך חמש דקות. רביעית, משיכת ההסכמה לאחר מכן צריכה להפסיק מיידית הקלטה נוספת, לתפוג את העוגיות ולהפעיל בקשת מחיקה — ניקוי מתעכב הוא ממצא.
מסלול הביקורת חשוב בנפרד. רגולטורים מצפים שהמפרסם יוכל להוכיח, עבור כל הקלטה בחשבון Hotjar, שהמשתמש שיצר אותה נתן הסכמה תקפה בזמן הלכידה. התבנית הסטנדרטית היא להטביע את גרסת ההסכמה וחותמת הזמן כמאפיין מותאם אישית על רשומת משתמש Hotjar דרך hj('identify', userId, { consent_version: 'v3', consent_ts: ts }). זה הופך כל הקלטה ספציפית לניתנת למעקב עד לרשומת יומן הסכמה ספציפית, שהוא התקן שה-EDPB קבע והתקן שמפרסמים צריכים לאמץ ללא קשר לאיפה שהם פועלים. פריסה מגודרת כהלכה, בשילוב עם מיסוך קלט שמדכא כברירת מחדל ונתיב מחיקה שמופעל במשיכה, הוא מה שהופך את Hotjar לחלק ניתן להגנה של ערימת מחקר ולא להתחייבות תאימות.