प्रौद्योगिकी27 जून, 2026 | FlexyConsent

Klaviyo कुकी सहमति एकीकरण गाइड: 2026 में ई-कॉमर्स के लिए GDPR-अनुपालक ईमेल और SMS

Klaviyo direct-to-consumer e-commerce के लिए प्रमुख email और SMS marketing platform है। इसे दुनिया भर के Shopify, BigCommerce, और Magento stores के एक महत्वपूर्ण अंश पर installed किया जाता है, और इसकी onsite tracking layer — वह script जो browse behavior को देखती है, pageviews को known profiles के लिए attribute करती है, और abandoned-cart और browse-abandonment flows को trigger करती है — वह है जो platform को commercially valuable बनाता है। यह भी e-commerce stack के सबसे commonly misconfigured pieces में से एक है privacy perspective से। Klaviyo Onsite tracking script, Klaviyo Forms library, और SMS opt-in flows सभी personal data collect करते हैं जब वे load होते हैं, किसी भी consent banner दिखाए जाने से पहले। किसी भी store के लिए जो EU, UK, Brazilian, या California traffic को touch करता है, वह default behavior अब compliant नहीं है, और regulators जो e-commerce enforcement में सबसे active हैं — CNIL in France, AEPD in Spain, Italian Garante, और California Privacy Protection Agency — ने यह स्पष्ट किया है कि वे marketing scripts को identically treat करते हैं चाहे vendor बड़ा हो या छोटा। यह guide बताता है कि Klaviyo क्या collect करता है, इसे एक third-party CMP के साथ कैसे integrate करें, और platform के अपने privacy primitives कहाँ fit होते हैं।

Klaviyo Onsite Tracking क्या Collect करता है

Klaviyo Onsite snippet (जो static.klaviyo.com/onsite/js/klaviyo.js से loaded होता है) एक global _learnq queue को initialize करता है और visitors को एक Klaviyo-owned cookie के साथ identify करता है जिसे __kla_id कहा जाता है। एक बार installed होने के बाद यह automatically pageview events को report करता है, form interactions को capture करता है, Active On Site event को fire करता है जो Klaviyo के Browse Abandonment flow को drive करता है, और anonymous browsing behavior को एक known subscriber profile के साथ tie करता है जब visitor login करता है या एक email address के साथ एक form submit करता है। Subsequent events — Viewed Product, Added to Cart, Started Checkout, Placed Order — same identity infrastructure के माध्यम से fire होते हैं और same cookie-based attribution को inherit करते हैं।

GDPR analysis के लिए cookie non-essential है, page से जाने वाला data personal data है क्योंकि यह एक persistent identifier से tied है, और Klaviyo United States में established है, जो transfer को EU-US Data Privacy Framework के subject में बनाता है। तीनों conditions Klaviyo Onsite tracking को EU, UK, EEA, और Brazil में LGPD के तहत "requires prior consent" territory में firmly push करते हैं। California में same processing CPRA के opt-out-of-sharing-for-cross-context-behavioral-advertising right के तहत आता है, जिसे Klaviyo downstream paid-media destinations के साथ अपने sharing से trigger करता है।

तीन Tracking Surfaces जिन्हें आपको Gate करना है

एक Klaviyo install एक tracking surface नहीं है, यह तीन है, और उन्हें एक CMP integration में separately treat किया जाना चाहिए।

Onsite tracking script

यह main behavioral tracker है — वह script जो __kla_id set करती है और active-on-site event stream को drive करती है। यह वह surface है जिसे most teams gate करना याद रखते हैं और यह वह है जो most regulator-visible है audit में। इसे by default block करें और इसे केवल तब load करें जब visitor marketing category को accept करता है।

Klaviyo Forms और signup popups

Klaviyo Forms एक separate library है जो email और SMS signup popups, embedded forms, और gated content unlocks को power करती है। यह same domain पर hosted है लेकिन एक separate script के रूप में loaded होती है। Forms main Onsite tracker के independent रूप से impression और submission events fire कर सकते हैं, इसलिए केवल Onsite को gate करना जबकि Forms को loading दें एक common partial-compliance pattern है जो अभी भी identifying data leak करता है।

SMS opt-in collection

SMS signups के अपने consent requirement हैं US में TCPA के तहत और EU में sector-specific rules के तहत, और Klaviyo के SMS forms phone numbers को checkbox-confirmed consent के साथ collect करते हैं। यहाँ collected consent SMS messaging itself के लिए है, cookie consent से separate। एक correctly configured stack दोनों को record करता है: CMP में cookie consent, Klaviyo subscriber profile में SMS consent।

Native Klaviyo Privacy Controls

Klaviyo कई native privacy primitives को expose करता है। जैसा कि most marketing platforms के साथ होता है वे assume करते हैं कि एक consent decision exist करता है और pass किया जा रहा है। वे स्वयं consent collect नहीं करते हैं।

Identify calls पर consent property

जब आप klaviyo.identify() या klaviyo.track() को call करते हैं, आप एक consent payload attach कर सकते हैं जो marketing communications के लिए lawful basis को record करता है। यह वह right primitive है CMP के decision को Klaviyo के subscriber profile में pass करने के लिए।

Profile-level consent fields

Subscriber profile में email consent, SMS consent, और consent source के लिए dedicated fields हैं। इन fields में updates Klaviyo के segmentation engine में propagate होते हैं ताकि flows recorded state को respect करें।

Privacy & Consent settings panel

Klaviyo के admin UI में एक Privacy & Consent section है जो कुछ default behaviors को control करता है — उदाहरण के लिए, क्या Active On Site event visitors के लिए fire होता है बिना recorded consent के। Default permissive है; इन settings को tighten करना CMP-level gating के top पर एक useful belt-and-suspenders layer है।

Step-by-Step CMP Integration

Reliable architecture सभी तीन Klaviyo tracking surfaces को CMP के पीछे gate करना है और Klaviyo identify और track calls पर consent properties का उपयोग करना है platform के subscriber records को recorded consent state के साथ sync में रखने के लिए।

1. Head से default Onsite snippet को remove करें

Klaviyo एक one-line snippet provide करता है जिसे installers typically document head में paste करते हैं। इसे remove करें। इसे एक placeholder script element से replace करें जिसका type attribute text/plain है और जिसका data-category attribute इसे marketing के रूप में identify करता है। आपका CMP type को वापस text/javascript में rewrite करेगा जब visitor marketing category को accept करता है।

2. Klaviyo Forms loading को defer करें

Forms library Onsite के independently को load करता है। इसके script element पर same placeholder pattern apply करें ताकि यह consent से पहले initialize न हो। Consent grant किए जाने के बाद, Onsite और Forms दोनों एक साथ initialize कर सकते हैं; queued events automatically flush होते हैं।

3. SMS consent को cookie consent से separate करें

SMS opt-in collection Klaviyo Forms के माध्यम से चलता है लेकिन collected consent (SMS marketing के लिए explicit checkbox) एक separate legal artifact है cookie consent से। CMP banner cookie decision को record करता है; form checkbox SMS decision को record करता है। उन्हें bundle न करें — bundled consent GDPR और TCPA दोनों के तहत invalid है।

4. Consent को Klaviyo profile में propagate करें

जब एक known subscriber आपके site पर consent को accept या revoke करता है, CMP को Klaviyo API को call करना चाहिए profile के consent fields को update करने के लिए। Klaviyo Profiles API एक partial-update call को support करता है जो email consent, SMS consent, और consent timestamp को write करता है बिना rest of the profile को overwrite किए। Most modern CMPs के पास एक Klaviyo connector है जो इसे end-to-end handle करता है।

5. Consent Mode v2 को wire करें अगर आप Google tags को alongside चलाते हैं

Most Klaviyo-using stores भी Google Ads और GA4 को run करते हैं। आपके CMP को v2 consent signals — ad_storage, analytics_storage, ad_user_data, ad_personalization — को dataLayer में publish करना चाहिए किसी भी Google tag fire होने से पहले। Klaviyo इन signals को natively consume नहीं करता, लेकिन Google करता है, और Klaviyo और Google के बीच एक inconsistency attribution reporting में एक measurable revenue gap के रूप में show up होगा।

Common Pitfalls

Klaviyo deployments के audits में चार integration mistakes repeatedly show up होते हैं।

Forms को "just a popup" के रूप में treating

कुछ teams Onsite को marketing के तहत gate करते हैं लेकिन Forms को initial render पर loading दें, reasoning करते हुए कि "एक popup सिर्फ एक UI element है"। Forms library हर popup के लिए impression events को Klaviyo के लिए fire करता है जो display होता है, जो identifying behavioral data है एक US ad-tech vendor को forward किया गया — exact pattern जो एक CMP को prevent करना चाहिए।

Cookie और SMS consent को bundling करना

एक single checkbox जो कहता है "मैं cookies और marketing SMS को receive करने के लिए agree करता हूँ" दोनों के लिए invalid है। Cookie consent cookies के लिए specific होना चाहिए; SMS consent SMS के लिए specific होना चाहिए। Separate controls का उपयोग करें।

Revoked profiles पर third-party paid-media connectors को fire करने देना

Klaviyo अपने integrations के via Google Ads, Meta, TikTok, और अन्य ad networks को audiences को push कर सकता है। अगर एक subscriber consent को revoke करता है, audience push को उन्हें drop करना चाहिए — बस उन्हें add करना stop नहीं करना चाहिए। Klaviyo के audience-sync settings को configure करें consent-state changes को real time में honor करने के लिए, सिर्फ initial sync पर नहीं।

Historical data question को forgetting करना

जब एक visitor पहली बार consent को accept करता है, आपके stack को retroactively अपने pre-consent anonymous behavior को उनके नए profile के साथ associate नहीं करना चाहिए। CMP और Klaviyo को agree करना चाहिए कि pre-consent browsing data personal data नहीं है अब-identified profile से tied। कुछ Klaviyo flows by default इस association को assume करते हैं — relevant flow triggers को review करें।

Audit Checklist

किसी भी Klaviyo deployment के लिए EU, UK, Brazilian, या California traffic को touching करते हुए answer करने के लिए छः concrete questions।

क्या Onsite consent के लिए wait करता है? Storefront को एक private window में strict tracking protection के साथ open करें और confirm करें कि कोई भी static.klaviyo.com requests banner acceptance से पहले fire नहीं होती।
क्या Forms consent के लिए wait करता है? Confirm करें कि popup impression events marketing category को accept होने से पहले fire नहीं होती।
क्या cookie consent और SMS consent separate हैं? Confirm करें कि cookie banner SMS consent को भी collect नहीं करता, और SMS opt-in forms अपने अपने explicit checkbox को record करते हैं।
क्या Klaviyo profile CMP state को reflect करता है? Confirm करें कि CMP Klaviyo API के via profile के consent fields में consent decisions को write करता है।
क्या audience syncs revocations को honor करते हैं? Confirm करें कि consent को revoke करने से subscriber को downstream paid-media audiences से remove किया जाता है, सिर्फ future syncs से नहीं।
क्या pre-consent browsing को anonymous रखा जाता है? Confirm करें कि flow triggers pre-consent behavior को retroactively newly identified profiles के साथ associate नहीं करते हैं।

Klaviyo Consent-First Stack में कहाँ Fit होता है

Klaviyo e-commerce attribution और direct marketing communications के intersection पर बैठता है, जिसका मतलब है कि यह cookie-consent regime (GDPR/ePrivacy, CCPA/CPRA) और marketing-communications regime (CAN-SPAM, TCPA, GDPR Article 6/7 for messaging) दोनों को touch करता है। Right architecture इन्हें दो distinct consent surfaces के रूप में treat करता है — दोनों एक single CMP के through routed होते हैं जो truth के source को own करता है, Klaviyo के native consent fields को API के via sync रखते हुए। Stores जो इसे सही करते हैं abandoned-cart, browse-abandonment, और segmentation behavior को preserve करते हैं जो Klaviyo को commercially valuable बनाता है जबकि audit exposure को एक default install के fraction तक reduce करते हैं। Engineering work straightforward है; discipline इसमें है कि marketing team को Forms को same rules के exempt से treat करने न दें जो Onsite tracker के रूप में हैं।