Zašto praćenje HubSpota treba pravi signal privole

HubSpot pohranjuje niz kolačića prve strane na uređaj posjetitelja čim se izvrši skripta za praćenje (HubSpot JavaScript isječak, obično hs-scripts.com/{hub_id}.js). Najvažniji su __hstc, hubspotutk i __hssc, koji zajedno identificiraju posjetitelja kroz sesije, povezuju slanje obrazaca s anonimnom poviješću pregledavanja i hrane modele bodovanja potencijalnih kupaca u CRM-u. Prema GDPR-u i Direktivi o e-privatnosti, sva tri su nebitni kolačići koji zahtijevaju slobodno danu, specifičnu, informiranu i nedvosmislenu prethodnu privolu. Učitavanje isječka u zaglavlje dokumenta — što je zadani obrazac integracije HubSpota — postavlja te kolačiće prije nego što je posjetitelju ikad postavljeno ikakvo pitanje.

Posljedice nisu teorijske. Tijela za zaštitu podataka u Francuskoj, Italiji i Španjolskoj sva su u protekle dvije godine poduzela mjere izvršenja protiv organizacija čiji su marketinški stackovi postavljali kolačiće za praćenje prije privole. Kazne su se kretale od petocifrennih sankcija za male izdavače do višemilijunskih kazni u eurima za velika poduzeća. Nativni HubSpotov banner za kolačiće postoji, ali je namjerno lagan i sam po sebi ne blokira pokretanje isječka. Većina preglednika usklađenosti tretira ga kao sloj obavijesti, a ne kao sloj kontrole.

Što HubSpot zapravo prati

Prije odlučivanja kako ograničiti HubSpot, korisno je biti precizan o tome koje kategorije obrade su u igri. Površina praćenja HubSpota dijeli se na četiri preklapajuća segmenta, svaki sa svojim implikacijama za privolu.

Analitika ponašanja

Događaji prikaza stranice, klikova, pomicanja i trajanja sesije automatski se prikupljaju čim se učita kod za praćenje. Ti događaji grade vremensku crtu posjetitelja koju vidite unutar zapisa kontakata HubSpota i temelj su svakoga pravila bodovanja potencijalnih kupaca ili tijeka rada. S gledišta regulatora, ovo je izravno analitičko praćenje i zahtijeva privolu na opt-in u EU-u i EGP-u. U Ujedinjenom Kraljevstvu smjernice ICO-a iz 2023. tretiraju ga identično.

Obrasci i chat

HubSpot obrasci i HubSpot chat widget (nekadašnja Drift integracija) mogu se konfigurirati za neovisno učitavanje od glavne skripte za praćenje. Slanje obrazaca u većini pravnih analiza smatra se zasebnom aktivnošću obrade s vlastitom pravnom osnovom — obično izvršenjem ugovora ili legitimnim interesom. Međutim, chat koji snima transkripte na poslužitelju treće strane općenito zahtijeva privolu za samo snimanje.

Spajanje identiteta između domena

Ako koristite isti HubSpotov portal na više domena, isječak će pokušati postaviti i čitati kolačiće na način koji povezuje posjetitelje kroz ta svojstva. To prelazi u ono što EDPB naziva "praćenjem" u strogom smislu i najrizičnija je kategorija. To je i ona koja će najvjerojatnije biti označena tijekom DPIA-e.

Marketinške integracije

HubSpot može slati događaje u Google Ads, Meta, LinkedIn i druge oglasne mreže putem svojih integracija. Svaki od tih daljnjih prijenosa nosi vlastiti zahtjev za privolu i, u EU-u, vlastitu procjenu prijenosa podataka.

Nativni HubSpotov banner vs. CMP treće strane

HubSpot dolazi s ugrađenim bannerom za privolu na kolačiće koji možete omogućiti iz Postavki > Privatnost & Privola. Prikazat će konfigurabilnu obavijest, zabilježiti zapis o privoli uz kontakt i poštovati jednu odjavu za analitiku. Za vrlo male organizacije koje posluju u jurisdikcijama niskog rizika, to može biti dovoljno. Za svakoga tko ozbiljno shvaća usklađenost — ili za svakoga tko vodi oglašavanje svjesno načina privole — nije.

Razlozi za prelazak na CMP treće strane su praktični:

• Granularne kategorije. Nativni banner ne razdvaja strogo neophodne, funkcionalne, analitičke i marketinške kolačiće u zasebne preklopke, što je struktura koju regulatori očekuju.
• Podrška za IAB TCF i GPP. Ako sudjelujete u programatičnom oglašavanju, trebate Google-certificirani CMP koji emitira valjani TC niz. Nativni HubSpotov banner to ne radi.
• Consent Mode v2. Google sada zahtijeva signale privole isporučene u v2 formatu za promet EGP-a. Namjenski CMP žičano spaja to od kraja do kraja, uključujući konfiguraciju zadanog odbijanja.
• Višejezičnost i pristupačnost. Većina CMP-a dolazi s 30+ jezičnih paketa i zadanim postavkama u skladu s WCAG-om. Ugrađeni HubSpotov banner ograničeniji je.
• Zapisivanje na razini revizije. Namjenski CMP bilježi svaku odluku o privoli s vremenskom oznakom, verzijom bannera i odabirom — dokaze koje regulatori traže u istragama.

Integracija korak po korak s CMP-om treće strane

Obrazac integracije koji pouzdano radi je zadržati HubSpotov isječak na stranici, ali spriječiti njegovo izvršavanje dok se ne zabilježi odluka o privoli. U nastavku je kanonski pristup, napisan generički kako bi se primijenio na svaki moderni CMP uključujući FlexyConsent.

1. Uklonite zadani isječak iz zaglavlja dokumenta

U predlošku web-mjesta izbrišite inline oznaku <script> koja učitava hs-scripts.com/{hub_id}.js. Zamijenite je rezerviranim mjestom koje vaš CMP može aktivirati kasnije, obično postavljanjem atributa type na text/plain i dodavanjem atributa podataka kategorije poput data-category="marketing".

2. Preslikajte HubSpot na ispravnu kategoriju privole

Većina CMP-a koristi IAB TCF ili model s četiri segmenta: nužno, funkcionalno, analitičko, marketinško. Skripta za praćenje HubSpota dotiče i analitičke i marketinške kategorije zbog integracije CRM-a. Konzervativno preslikavanje je zaštititi cijeli isječak iza marketinške kategorije, koja je najrestriktivniji segment. Ako vaš CMP dopušta precizno preslikavanje, možete podijeliti: učitajte obrasce pod funkcionalno, učitajte analitičke događaje pod analitičko i učitajte spajanje identiteta CRM-a pod marketinško.

3. Konfigurirajte callback za aktivaciju

Vaš CMP izlaže događaj ili callback koji se aktivira kada korisnik dodijeli privolu za kategoriju. U tom callbacku prepišite atribut tipa oznake zamjenskog skripte natrag na text/javascript i dodajte je dokumentu. Skripta će se tada normalno učitati i izvršiti. Za SPA, registrirajte callback pri svakoj promjeni rute kako bi i novopostavljene stranice primile aktivaciju.

4. Povežite Consent Mode v2

Ako koristite Google Ads ili GA4 zajedno s HubSpotom, vaš CMP mora ugurati v2 signale privole — ad_storage, analytics_storage, ad_user_data, ad_personalization — u dataLayer prije nego što se aktivira bilo koja Google oznaka. Sam HubSpot ne konzumira te signale, ali ostatak vašeg stacka da, a nekonzistentnost između HubSpota i Googlea pojavit će se u vašem izvješćivanju kao mjerljivi jaz u prihodima.

5. Sinkronizirajte stanje privole s HubSpot CRM-om

Kada poznati kontakt ažurira svoju privolu (primjerice, ponovnim pregledom bannera i opozvanjem marketinške privole), trebali biste to odraziti u HubSpotovom zapisu kako bi logika tijeka rada prestala slati marketinšku e-poštu. HubSpot API izlaže endpoint communication-preferences koji prihvaća ažuriranja na razini pretplate. Većina CMP-a može se konfigurirati za pozivanje tog endpointa iz serverske kuke.

Uobičajene zamke i kako ih izbjeći

Tri greške integracije čine većinu nalaza revizije koje vidimo na stackovima s intenzivnom upotrebom HubSpota.

Prerano učitavanje isječka

Neki timovi stavljaju HubSpotovu oznaku unutar menadžera oznaka i pretpostavljaju da menadžer oznaka upravlja privolom. Google Tag Manager poštuje način privole, ali samo za oznake koje eksplicitno zahtijevaju dodjeljeno stanje. Ako je HubSpotova oznaka konfigurirana bez tog zahtjeva, GTM će je aktivirati bez obzira na sve. Uvijek postavite polje Dodatna privola na oznaci da zahtijeva marketinšku privolu prije aktivacije.

Zaboravljanje skripti obrazaca

HubSpot obrasci isporučuju se s zasebne domene (forms.hsforms.com) i mogu se ugraditi s vlastitom skriptom. Ako zaštitite glavni isječak za praćenje, ali ostavite skriptu obrasca da se učita pri inicijalnom prikazu, zapravo niste riješili problem — biblioteka obrazaca postavlja vlastite kolačiće za identifikaciju. Zaštitite oba i pustite CMP da ih zajedno učita.

Tretiranje odjave kao privole

Nativne postavke HubSpota uključuju opciju Do Not Track i jednokliknu odjavu. Neki timovi interpretiraju to kao dovoljan mehanizam za usklađenost s GDPR-om. Nije — GDPR zahtijeva afirmativnu opt-in privolu za nebitne kolačiće, a potvrdni okvir za odjavu zakopan na stranici s pravilima privatnosti ne zadovoljava tu ljestvicu. Učinite CMP autoritativnim izvorom stanja privole i konfigurirajte HubSpot da se podčini njemu.

Dokumentacija spremna za reviziju

Nakon što je tehnička integracija na mjestu, posljednji korak je osigurati da vaš trag dokaza može izdržati zahtjev regulatora. Minimalno, čuvajte zapis o: kategorijama na koje vaš CMP preslikava HubSpot, verziji bannera privole aktivnoj na bilo koji dani datum, uzorcima TC nizova koji pokazuju valjanu privolu i API zapisima koji dokazuju da HubSpot nije izvršio nijedan poziv za praćenje prije nego što je privola bila dodijeljena. Većina izvršnih radnji ne staje na tehnologiji, već na dokumentaciji — organizacije koje mogu izraditi jasan papirnati trag obično rješavaju istrage daleko brže od onih koje ne mogu. Platforma za upravljanje privolom koja na zahtjev izvozi te artefakte pretvara reviziju iz višetjedne jurnjave u odgovor jednog poslijepodneva.