Miért van szüksége a HubSpot nyomkövetésnek valódi hozzájárulási jelre

A HubSpot számos első féltől származó cookie-t helyez el a látogató eszközén, amint a nyomkövető szkript (a HubSpot JavaScript-kódrészlet, általában hs-scripts.com/{hub_id}.js) lefut. A legjelentősebbek a __hstc, a hubspotutk és a __hssc, amelyek együttesen azonosítják a látogatót munkamenetek között, visszakötik az űrlapbeküldéseket a névtelen böngészési előzményekhez, és táplálják a CRM lead-pontozó modelljeit. A GDPR és az ePrivacy irányelv értelmében mindhárom nem nélkülözhetetlen cookie, amelyek önkéntesen adott, konkrét, tájékozott és egyértelmű előzetes hozzájárulást igényelnek. A kódrészlet dokumentum-fejlécbe való betöltése – ami a HubSpot alapértelmezett integrációs mintája – ezeket a cookie-kat a látogató megkérdezése előtt helyezi el.

A következmények nem elméleti jellegűek. Franciaország, Olaszország és Spanyolország adatvédelmi hatóságai az elmúlt két évben egyaránt hoztak végrehajtási intézkedéseket olyan szervezetekkel szemben, amelyek marketing rendszerei hozzájárulás előtt állítottak be nyomkövető cookie-kat. A bírságok ötjegyű összegektől kisebb kiadók esetén több millió eurós büntetésekig terjedtek nagy vállalatok esetén. A HubSpot natív cookie-szalagcíme létezik, de szándékosan könnyű súlyú, és önmagában nem akadályozza meg a kódrészlet lefutását. A legtöbb megfelelőségi szakértő értesítési rétegként kezeli, nem pedig vezérlési rétegként.

Mit követ valójában a HubSpot

Mielőtt eldöntenéd, hogyan korlátozd a HubSpot-ot, hasznos pontosan meghatározni, mely feldolgozási kategóriák vannak jelen. A HubSpot nyomkövetési felülete négy átfedő csoportra osztható, mindegyik saját hozzájárulási következményekkel.

Viselkedési analitika

Az oldalmegtekintési, kattintási, görgetési és munkamenet-időtartam eseményeket automatikusan gyűjtjük, amint a nyomkövető kód betölt. Ezek az események alkotják a látogató idővonalát, amelyet a HubSpot kapcsolati rekordjaiban láthatsz, és ezek az alapjai minden lead-pontozási vagy munkafolyamat-szabálynak. A szabályozó szempontjából ez egyértelmű analitikai nyomkövetés, és az EU-ban és az EEA-ban opt-in hozzájárulást igényel. Az UK-ban az ICO 2023-as iránymutatása azonosan kezeli.

Űrlapok és csevegés

A HubSpot-űrlapok és a HubSpot csevegési widget (korábban Drift integráció) konfigurálhatók úgy, hogy a fő nyomkövető szkripttől függetlenül töltsenek be. Az űrlapbeküldések a legtöbb jogi elemzésben önálló feldolgozási tevékenységnek minősülnek saját jogalappal – általában szerteljesítés vagy jogos érdek. Az átiratokat harmadik feles szerveren rögzítő csevegés azonban általában magához a rögzítéshez igényel hozzájárulást.

Tartományközi azonosság-összekapcsolás

Ha ugyanazt a HubSpot portált több tartomány között használod, a kódrészlet megkísérli cookie-kat beállítani és olvasni olyan módon, amely összeköti a látogatókat ezeken a tulajdonságokon. Ez belép abba, amit az EDPB szoros értelemben "nyomkövetésnek" nevez, és ez a legmagasabb kockázatú kategória. Ez az, amelyet a legvalószínűbb egy DPIA során megjelölni.

Marketing integrációk

A HubSpot eseményeket küldhet a Google Ads-nek, Meta-nak, LinkedIn-nek és más hirdetési hálózatoknak integrációin keresztül. Minden ilyen továbbítás saját hozzájárulási követelményt hordoz, és az EU-ban saját adattovábbítási értékelést.

Natív HubSpot banner vs. harmadik feles CMP

A HubSpot beépített cookie-hozzájárulási bannert szállít, amelyet a Beállítások > Adatvédelem & Hozzájárulás menüpontból engedélyezhetsz. Megjelenít egy konfigurálható értesítést, rögzít egy hozzájárulási rekordot a kapcsolattal szemben, és figyelembe veszi az analitika egyszeri leiratkozását. Nagyon kis szervezetek számára, amelyek alacsony kockázatú joghatóságokban működnek, ez elegendő lehet. De aki komolyan veszi a megfelelőséget – vagy bárki, aki hozzájárulási mód-tudatos hirdetést futtat – ez nem elégséges.

A harmadik feles CMP-re való áttérés okai gyakorlatiak:

• Részletes kategóriák. A natív banner nem választja szét a feltétlenül szükséges, funkcionális, analitikai és marketing cookie-kat különálló kapcsolókra, amit a szabályozók elvárnak.
• IAB TCF és GPP támogatás. Ha részt veszel programmatikus hirdetésben, szükséged van egy Google-hitelesített CMP-re, amely érvényes TC-karakterláncot bocsát ki. A natív HubSpot banner ezt nem teszi.
• Hozzájárulási mód v2. A Google most az EEA-forgalom esetén v2 formátumban szállított hozzájárulási jeleket igényel. Egy dedikált CMP ezt teljes egészében összeköti, beleértve az alapértelmezett tiltás konfigurációját.
• Többnyelvűség és akadálymentesség. A legtöbb CMP 30+ nyelvcsomaddal és WCAG-megfelelő alapbeállításokkal érkezik. A HubSpot beépített bannere korlátozottabb.
• Auditminőségű naplózás. Egy dedikált CMP minden hozzájárulási döntést rögzít időbélyeggel, banner-verzióval és választással – ez az a bizonyíték, amelyet a szabályozók vizsgálatokban kérnek.

Lépésről lépésre integrálás harmadik feles CMP-vel

Az a megbízhatóan működő integrációs minta, amely megtartja a HubSpot kódrészletet az oldalon, de megakadályozza a végrehajtást, amíg hozzájárulási döntés nem születik. Az alábbiakban a kanonikus megközelítés látható, általánosan megírva, így bármely modern CMP-re alkalmazható, beleértve a FlexyConsent-et is.

1. Távolítsd el az alapértelmezett kódrészletet a dokumentum fejlécéből

A webhelysablonban töröld az inline <script> taget, amely betölti a hs-scripts.com/{hub_id}.js-t. Cseréld le egy helyőrzőre, amelyet a CMP később aktiválhat, általában a type attribútum text/plain-re állításával és egy kategória-adatattribútum hozzáadásával, például data-category="marketing".

2. Rendeld hozzá a HubSpot-ot a megfelelő hozzájárulási kategóriához

A legtöbb CMP az IAB TCF-et vagy egy négy csoportos modellt használ: szükséges, funkcionális, analitikai, marketing. A HubSpot nyomkövető szkriptje érint mind analitikai, mind marketing kategóriákat a CRM-integráció miatt. A konzervatív leképezés az egész kódrészletet a marketing kategória mögé zárja, ami a legszigorúbb csoport. Ha a CMP lehetővé teszi a részletes leképezést, feloszthatod: töltsd az űrlapokat funkcionális alatt, az analitikai eseményeket analitika alatt, és a CRM-azonosság-összekapcsolást marketing alatt.

3. Konfiguráld az aktiválási visszahívást

A CMP elérhetővé tesz egy eseményt vagy visszahívást, amely akkor aktiválódik, amikor a felhasználó hozzájárulást ad egy kategóriához. Ebben a visszahívásban írjuk felül a helyőrző szkripttag type attribútumát text/javascript-re, és fűzzük hozzá a dokumentumhoz. A szkript ekkor normálisan tölt be és fut le. SPA esetén regisztráld a visszahívást minden útvonalváltáskor, hogy az újonnan betöltött oldalak is megkapják az aktiválást.

4. Kapcsold össze a hozzájárulási mód v2-t

Ha a Google Ads-t vagy a GA4-et használod a HubSpot mellett, a CMP-nek be kell tolnia a v2 hozzájárulási jeleket – ad_storage, analytics_storage, ad_user_data, ad_personalization – a dataLayer-be, mielőtt bármely Google-tag lefut. Maga a HubSpot nem fogyasztja ezeket a jeleket, de a többi eszközöd igen, és a HubSpot és a Google közötti inkonzisztencia mérhető bevételi hiányként fog megjelenni a jelentéseidben.

5. Szinkronizáld a hozzájárulási állapotot a HubSpot CRM-be

Amikor egy ismert kapcsolat frissíti a hozzájárulását (például visszalátogatva a bannerre és visszavonva a marketing hozzájárulást), ezt tükrözd a HubSpot rekordban, hogy a munkafolyamat logikája ne küldjön tovább marketing e-maileket. A HubSpot API elérhetővé tesz egy communication-preferences végpontot, amely előfizetési szintű frissítéseket fogad el. A legtöbb CMP konfigurálható, hogy ezt a végpontot egy szerver oldali hook-ból hívja meg.

Általános buktatók és hogyan kerüld el őket

Három integrációs hiba okozza az audittól kezdve a legtöbb megállapítást a HubSpot-nehéz rendszereknél.

A kódrészlet túl korai betöltése

Egyes csapatok a HubSpot taget egy tag managerbe helyezik, és feltételezik, hogy a tag manager kezeli a hozzájárulást. A Google Tag Manager valóban tiszteletben tartja a hozzájárulási módot, de csak azokhoz a tagekhez, amelyek kifejezetten megadott állapotot igényelnek. Ha a HubSpot taget enélkül a követelmény nélkül konfiguráltad, a GTM ettől függetlenül le fogja futtatni. Mindig állítsd be az Additional consent mezőt a tagnél, hogy marketing hozzájárulást igényeljen a futtatás előtt.

Az űrlap szkriptek elfelejtése

A HubSpot-űrlapokat egy külön tartományból (forms.hsforms.com) szolgálják ki, és saját szkriptjükkel ágyazhatók be. Ha zárolod a fő nyomkövető kódrészletet, de az űrlap szkriptet hagyod betölteni a kezdeti rendereléskor, valójában nem oldottad meg a problémát – az űrlap könyvtár saját azonosító cookie-kat állít be. Zárold mindkettőt, és engedd a CMP-nek együtt betölteni őket.

Az opt-out kezelése opt-in-ként

A HubSpot natív beállításai tartalmazzák a Do Not Track lehetőséget és egy egykattintásos leiratkozást. Egyes csapatok ezt elegendő mechanizmusnak tekintik a GDPR-megfelelőséghez. Nem az – a GDPR megerősítő opt-int igényel a nem nélkülözhetetlen cookie-khoz, és egy adatvédelmi oldalba temetett opt-out jelölőnégyzet nem felel meg ennek a mércének. Tedd a CMP-t a hozzájárulási állapot hiteles forrásává, és konfiguráld a HubSpot-ot, hogy alkalmazkodjon hozzá.

Auditálásra kész dokumentáció

Miután a technikai integráció a helyén van, az utolsó lépés annak biztosítása, hogy a bizonyítékláncolat kiálljon egy szabályozói kérést. Minimálisan vezess nyilvántartást: azokról a kategóriákról, amelyekhez a CMP a HubSpot-ot rendeli, az adott időpontban élő hozzájárulási banner verziójáról, érvényes hozzájárulást mutató mintavételezett TC-karakterláncokról és az API-naplókról, amelyek bizonyítják, hogy a HubSpot nem indított nyomkövetési hívást a hozzájárulás előtt. A legtöbb végrehajtási intézkedés nem a technológián, hanem a dokumentáción akad el – azok a szervezetek, amelyek egyértelmű papírnyomot tudnak felmutatni, általában sokkal gyorsabban rendezik a vizsgálatokat, mint azok, amelyek nem tudnak. Egy hozzájáruláskezelő platform, amely ezeket az artefaktumokat igény szerint exportálja, az auditot többhetes küzdelemből egynapos válaszadássá alakítja.