Panduan Integrasi Persetujuan Cookie Klaviyo: Email dan SMS yang Patuh GDPR untuk E-commerce di 2026
Klaviyo adalah platform pemasaran email dan SMS yang dominan untuk e-commerce langsung ke konsumen. Platform ini terpasang pada sebagian besar toko Shopify, BigCommerce, dan Magento di seluruh dunia, dan lapisan pelacakan di situsnya — skrip yang memantau perilaku penelusuran, mengaitkan tampilan halaman ke profil yang dikenal, dan memicu alur keranjang terbengkalai dan penelusuran terbengkalai — adalah yang membuat platform ini bernilai secara komersial. Ini juga merupakan salah satu bagian yang paling sering salah dikonfigurasi dalam tumpukan e-commerce dari perspektif privasi. Skrip pelacakan Klaviyo Onsite, pustaka Klaviyo Forms, dan alur opt-in SMS semuanya mengumpulkan data pribadi saat mereka dimuat, sebelum spanduk persetujuan apa pun ditampilkan. Untuk toko mana pun yang menyentuh lalu lintas EU, UK, Brasil, atau California, perilaku default tersebut tidak lagi patuh, dan regulator yang paling aktif dalam penegakan e-commerce — CNIL di Prancis, AEPD di Spanyol, Garante Italia, dan Badan Perlindungan Privasi California — telah memperjelas bahwa mereka memperlakukan skrip pemasaran secara identik terlepas dari apakah vendor tersebut besar atau kecil. Panduan ini menjelaskan apa yang dikumpulkan Klaviyo, cara mengintegrasikannya dengan CMP pihak ketiga, dan di mana primitif privasi platform itu sendiri cocok.
Apa yang Dikumpulkan oleh Pelacakan Klaviyo Onsite
Cuplikan Klaviyo Onsite (dimuat dari static.klaviyo.com/onsite/js/klaviyo.js) menginisialisasi antrian global _learnq dan mengidentifikasi pengunjung dengan cookie milik Klaviyo yang disebut __kla_id. Setelah dipasang, secara otomatis melaporkan peristiwa tampilan halaman, menangkap interaksi formulir, menjalankan peristiwa Active On Site yang mendorong alur Browse Abandonment Klaviyo, dan mengikat perilaku penelusuran anonim ke profil pelanggan yang dikenal saat pengunjung masuk atau mengirimkan formulir dengan alamat email. Peristiwa berikutnya — Viewed Product, Added to Cart, Started Checkout, Placed Order — dijalankan melalui infrastruktur identitas yang sama dan mewarisi atribusi berbasis cookie yang sama.
Untuk analisis GDPR, cookie tersebut tidak penting, data yang meninggalkan halaman adalah data pribadi karena terikat pada pengenal persisten, dan Klaviyo didirikan di Amerika Serikat, yang membuat transfer tunduk pada Kerangka Privasi Data EU-AS. Ketiga kondisi tersebut mendorong pelacakan Klaviyo Onsite dengan tegas ke dalam wilayah "memerlukan persetujuan sebelumnya" di EU, UK, EEA, dan Brasil di bawah LGPD. Di California, pemrosesan yang sama termasuk dalam hak opt-out-of-sharing-for-cross-context-behavioral-advertising CPRA, yang dipicu oleh berbagi Klaviyo dengan tujuan media berbayar hilir.
Tiga Permukaan Pelacakan yang Harus Anda Kontrol
Instalasi Klaviyo bukan satu permukaan pelacakan, melainkan tiga, dan mereka perlu diperlakukan secara terpisah dalam integrasi CMP.
Skrip pelacakan Onsite
Ini adalah pelacak perilaku utama — skrip yang menetapkan __kla_id dan mendorong aliran peristiwa active-on-site. Ini adalah permukaan yang paling diingat tim untuk dikontrol dan yang paling terlihat oleh regulator dalam audit. Blokir secara default dan muat hanya ketika pengunjung menerima kategori pemasaran.
Klaviyo Forms dan popup pendaftaran
Klaviyo Forms adalah pustaka terpisah yang mendukung popup pendaftaran email dan SMS, formulir tertanam, dan pembukaan kunci konten yang dikunci. Ini di-hosting di domain yang sama tetapi dimuat sebagai skrip terpisah. Forms dapat menjalankan peristiwa tayangan dan pengiriman independen dari pelacak Onsite utama, jadi mengontrol hanya Onsite sambil membiarkan Forms dimuat adalah pola kepatuhan parsial umum yang masih membocorkan data pengenal.
Pengumpulan opt-in SMS
Pendaftaran SMS memiliki persyaratan persetujuan sendiri di bawah TCPA di AS dan di bawah aturan khusus sektor di EU, dan formulir SMS Klaviyo mengumpulkan nomor telepon bersama dengan persetujuan yang dikonfirmasi kotak centang. Persetujuan yang dikumpulkan di sini adalah untuk pesan SMS itu sendiri, terpisah dari persetujuan cookie. Tumpukan yang dikonfigurasi dengan benar mencatat keduanya: persetujuan cookie di CMP, persetujuan SMS di profil pelanggan Klaviyo.
Kontrol Privasi Asli Klaviyo
Klaviyo mengekspos beberapa primitif privasi asli. Seperti kebanyakan platform pemasaran, mereka mengasumsikan bahwa keputusan persetujuan ada dan sedang diteruskan. Mereka tidak mengumpulkan persetujuan sendiri.
Properti persetujuan pada panggilan identify
Ketika Anda memanggil klaviyo.identify() atau klaviyo.track(), Anda dapat melampirkan payload persetujuan yang mencatat dasar hukum untuk komunikasi pemasaran. Ini adalah primitif yang tepat untuk meneruskan keputusan CMP ke profil pelanggan Klaviyo.
Bidang persetujuan tingkat profil
Profil pelanggan memiliki bidang khusus untuk persetujuan email, persetujuan SMS, dan sumber persetujuan. Pembaruan pada bidang ini disebarkan ke mesin segmentasi Klaviyo sehingga alur menghormati keadaan yang dicatat.
Panel pengaturan Privacy & Consent
UI admin Klaviyo memiliki bagian Privacy & Consent yang mengontrol beberapa perilaku default — misalnya, apakah peristiwa Active On Site dijalankan untuk pengunjung tanpa persetujuan yang dicatat. Defaultnya permisif; memperketat pengaturan ini adalah lapisan sabuk-dan-suspender yang berguna di atas kontrol tingkat CMP.
Integrasi CMP Langkah-demi-Langkah
Arsitektur yang andal adalah mengontrol ketiga permukaan pelacakan Klaviyo di balik CMP dan menggunakan properti persetujuan pada panggilan identify dan track Klaviyo untuk menjaga catatan pelanggan platform tetap sinkron dengan keadaan persetujuan yang dicatat.
1. Hapus cuplikan Onsite default dari head
Klaviyo menyediakan cuplikan satu baris yang biasanya ditempelkan penginstal ke dalam head dokumen. Hapus itu. Ganti dengan elemen skrip placeholder yang atribut type-nya adalah text/plain dan atribut data-category-nya mengidentifikasi sebagai pemasaran. CMP Anda akan menulis ulang tipe kembali ke text/javascript ketika pengunjung menerima kategori pemasaran.
2. Tunda pemuatan Klaviyo Forms
Pustaka Forms dimuat secara independen dari Onsite. Terapkan pola placeholder yang sama ke elemen skripnya sehingga tidak menginisialisasi sebelum persetujuan. Setelah persetujuan diberikan, baik Onsite maupun Forms dapat menginisialisasi bersama-sama; peristiwa yang diantrekan secara otomatis dibersihkan.
3. Pisahkan persetujuan SMS dari persetujuan cookie
Pengumpulan opt-in SMS berjalan melalui Klaviyo Forms tetapi persetujuan yang dikumpulkan (kotak centang eksplisit untuk pemasaran SMS) adalah artefak hukum terpisah dari persetujuan cookie. Spanduk CMP mencatat keputusan cookie; kotak centang formulir mencatat keputusan SMS. Jangan gabungkan — persetujuan yang digabungkan tidak valid di bawah GDPR maupun TCPA.
4. Sebarkan persetujuan ke profil Klaviyo
Ketika pelanggan yang dikenal menerima atau mencabut persetujuan di situs Anda, CMP harus memanggil API Klaviyo untuk memperbarui bidang persetujuan profil. API Profiles Klaviyo mendukung panggilan pembaruan parsial yang menulis persetujuan email, persetujuan SMS, dan stempel waktu persetujuan tanpa menimpa sisa profil. Sebagian besar CMP modern memiliki konektor Klaviyo yang menangani ini dari ujung ke ujung.
5. Hubungkan Consent Mode v2 jika Anda menjalankan tag Google bersamaan
Sebagian besar toko yang menggunakan Klaviyo juga menjalankan Google Ads dan GA4. CMP Anda harus menerbitkan sinyal persetujuan v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — ke dalam dataLayer sebelum tag Google apa pun dijalankan. Klaviyo tidak mengonsumsi sinyal ini secara asli, tetapi Google melakukannya, dan inkonsistensi antara Klaviyo dan Google akan muncul sebagai kesenjangan pendapatan yang terukur dalam pelaporan atribusi.
Kesalahan Umum
Empat kesalahan integrasi muncul berulang kali dalam audit deployment Klaviyo.
Memperlakukan Forms sebagai "hanya popup"
Beberapa tim mengontrol Onsite di bawah pemasaran tetapi membiarkan Forms dimuat pada render awal, dengan alasan bahwa "popup hanyalah elemen UI". Pustaka Forms menjalankan peristiwa tayangan ke Klaviyo untuk setiap popup yang ditampilkan, yang merupakan data perilaku pengenal yang diteruskan ke vendor ad-tech AS — pola persis yang seharusnya dicegah oleh CMP.
Menggabungkan persetujuan cookie dan SMS
Satu kotak centang yang mengatakan "Saya setuju dengan cookie dan untuk menerima SMS pemasaran" tidak valid untuk keduanya. Persetujuan cookie harus spesifik untuk cookie; persetujuan SMS harus spesifik untuk SMS. Gunakan kontrol terpisah.
Membiarkan konektor media berbayar pihak ketiga dijalankan pada profil yang dicabut
Klaviyo dapat mendorong audiens ke Google Ads, Meta, TikTok, dan jaringan iklan lainnya melalui integrasinya. Jika pelanggan mencabut persetujuan, dorongan audiens perlu menjatuhkan mereka — bukan hanya berhenti menambahkan mereka. Konfigurasikan pengaturan sinkronisasi audiens Klaviyo untuk menghormati perubahan keadaan persetujuan secara real time, bukan hanya pada sinkronisasi awal.
Melupakan pertanyaan data historis
Ketika pengunjung menerima persetujuan untuk pertama kalinya, tumpukan Anda tidak boleh secara retroaktif mengaitkan perilaku anonim pra-persetujuan mereka dengan profil baru mereka. CMP dan Klaviyo harus setuju bahwa data penelusuran pra-persetujuan bukan data pribadi yang terikat pada profil yang sekarang diidentifikasi. Beberapa alur Klaviyo mengasumsikan asosiasi ini secara default — tinjau pemicu alur yang relevan.
Daftar Periksa Audit
Enam pertanyaan konkret untuk dijawab untuk setiap deployment Klaviyo yang menyentuh lalu lintas EU, UK, Brasil, atau California.
- Apakah Onsite menunggu persetujuan? Buka etalase di jendela pribadi dengan perlindungan pelacakan ketat dan konfirmasi tidak ada permintaan static.klaviyo.com yang dijalankan sebelum penerimaan spanduk.
- Apakah Forms menunggu persetujuan? Konfirmasi bahwa peristiwa tayangan popup tidak dijalankan sebelum kategori pemasaran diterima.
- Apakah persetujuan cookie dan SMS terpisah? Konfirmasi spanduk cookie tidak juga mengumpulkan persetujuan SMS, dan bahwa formulir opt-in SMS mencatat kotak centang eksplisit mereka sendiri.
- Apakah profil Klaviyo mencerminkan keadaan CMP? Konfirmasi CMP menulis keputusan persetujuan ke bidang persetujuan profil melalui API Klaviyo.
- Apakah sinkronisasi audiens menghormati pencabutan? Konfirmasi bahwa mencabut persetujuan menghapus pelanggan dari audiens media berbayar hilir, bukan hanya dari sinkronisasi mendatang.
- Apakah penelusuran pra-persetujuan tetap anonim? Konfirmasi pemicu alur tidak secara retroaktif mengaitkan perilaku pra-persetujuan dengan profil yang baru diidentifikasi.
Di Mana Klaviyo Cocok dalam Tumpukan yang Mengutamakan Persetujuan
Klaviyo berada di persimpangan atribusi e-commerce dan komunikasi pemasaran langsung, yang berarti menyentuh rezim persetujuan cookie (GDPR/ePrivacy, CCPA/CPRA) dan rezim komunikasi pemasaran (CAN-SPAM, TCPA, GDPR Pasal 6/7 untuk pesan). Arsitektur yang tepat memperlakukan ini sebagai dua permukaan persetujuan yang berbeda — keduanya dialihkan melalui CMP tunggal yang memiliki sumber kebenaran, dengan bidang persetujuan asli Klaviyo dijaga tetap sinkron melalui API. Toko yang melakukan ini dengan benar mempertahankan perilaku keranjang terbengkalai, penelusuran terbengkalai, dan segmentasi yang membuat Klaviyo bernilai secara komersial sambil mengurangi eksposur audit menjadi sebagian kecil dari apa yang dibawa instalasi default. Pekerjaan rekayasanya langsung; disiplinnya adalah tidak membiarkan tim pemasaran memperlakukan Forms sebagai pengecualian dari aturan yang sama dengan pelacak Onsite.