HubSpot Slapukų Sutikimo Integravimo Vadovas: GDPR Atitinkantis Stebėjimas Rinkodarininkams 2026 m.
HubSpot yra viena iš labiausiai įdiegtų rinkodaros platformų šiuolaikiniame internete. Jos stebėjimo scenarijus veikia milijonuose B2B svetainių, fiksuodamas puslapių peržiūras, formų pildymus, pokalbių sesijas ir identifikatoriaus lygio elgseną, kuri tiesiogiai patenka į HubSpot CRM. Problema ta, kad pagal numatytuosius nustatymus tas scenarijus pradeda rinkti asmens duomenis tą akimirką, kai puslapis įkeliamas — gerokai anksčiau, nei lankytojas turėjo galimybę pasirinkti. Bet kuriai organizacijai, tvarkančiai ES, JK, Brazilijos ar Kalifornijos srautą, tas numatytasis elgesys nebeatitinka reikalavimų ir vis dažniau taip pat kelia problemą, kurią reguliuotojai nurodo realiuose skunduose. Šis vadovas aptaria, ką HubSpot iš tikrųjų stebi, kur yra sutikimo riba ir kaip prijungti HubSpot prie trečiosios šalies sutikimų valdymo platformos, kad rinkodaros analizė ir toliau veiktų nerizikuojant bauda.
Kodėl HubSpot stebėjimui reikia tikro sutikimo signalo
HubSpot įdeda nemažai pirmosios šalies slapukų į lankytojo įrenginį, kai tik įvykdomas stebėjimo scenarijus (HubSpot JavaScript fragmentas, paprastai hs-scripts.com/{hub_id}.js). Svarbiausi yra __hstc, hubspotutk ir __hssc, kurie kartu identifikuoja lankytoją per sesijas, susieja formų pateikimus su anoniminio naršymo istorija ir maitina CRM vertinimo modelius. Pagal GDPR ir ePrivacy direktyvą visi trys yra nebūtini slapukai, kuriems reikia laisvanoriškai duoto, specifinio, informuoto ir nedviprasmiško išankstinio sutikimo. Fragmento įkėlimas dokumento antraštėje — tai yra numatytasis HubSpot integracijos modelis — tuos slapukus įdeda prieš bet ko paklausiant lankytojo.
Pasekmės nėra teorinės. Duomenų apsaugos institucijos Prancūzijoje, Italijoje ir Ispanijoje per pastaruosius dvejus metus visos ėmėsi vykdymo priemonių prieš organizacijas, kurių rinkodaros rietuvės prieš sutikimą nustatė stebėjimo slapukus. Baudos svyravo nuo penkiaženklio dydžio sankcijų mažiems leidėjams iki kelių milijonų eurų baudų didelėms įmonėms. HubSpot natyvus slapukų reklamjuostis egzistuoja, tačiau yra sąmoningai paprastas ir savaime neblokuoja fragmento paleidimo. Dauguma atitikties peržiūrėtojų jį laiko pranešimų sluoksniu, o ne valdymo sluoksniu.
Ką HubSpot iš tikrųjų stebi
Prieš nusprendžiant, kaip riboti HubSpot, naudinga tiksliai žinoti, kurios apdorojimo kategorijos yra aktyvios. HubSpot stebėjimo paviršius skirstomas į keturias persidengančias kategorijas, kiekviena su savomis sutikimo pasekmėmis.
Elgesio analizė
Puslapio peržiūros, paspaudimų, slinkties ir sesijos trukmės įvykiai renkami automatiškai, kai tik įkeliamas stebėjimo kodas. Šie įvykiai formuoja lankytojo laiko juostą, kurią matote HubSpot kontaktų įrašuose, ir yra kiekvienos vertinimo ar darbo eigos taisyklės pagrindas. Reguliatoriaus požiūriu tai yra paprastas analitinis stebėjimas ir ES bei EEE reikalaujantis sutikimo davimo. JK ICO 2023 m. gairės tai traktuoja vienodai.
Formos ir pokalbiai
HubSpot formos ir HubSpot pokalbių valdiklis (anksčiau Drift integracija) gali būti sukonfigūruoti įkelti nepriklausomai nuo pagrindinio stebėjimo scenarijaus. Formų pateikimai daugelyje teisinių analizių laikomi atskira apdorojimo veikla su savo teisiniu pagrindu — paprastai sutarties vykdymu ar teisėtu interesu. Tačiau pokalbiai, fiksuojantys transkriptus trečiosios šalies serveryje, paprastai reikalauja sutikimo dėl paties įrašymo.
Kelių domenų tapatybės susiejimas
Jei naudojate tą patį HubSpot portalą keliuose domenuose, fragmentas bandys nustatyti ir skaityti slapukus taip, kad susietų lankytojus tose nuosavybėse. Tai patenka į tai, ką EDPB griežta prasme vadina „sekimu”, ir yra aukščiausios rizikos kategorija. Ji taip pat labiausiai linkusi būti pažymėta DPIA metu.
Rinkodaros integracijos
HubSpot gali siųsti įvykius į Google Ads, Meta, LinkedIn ir kitus reklamų tinklus per savo integracijas. Kiekvienas toks perdavimas turi savo sutikimo reikalavimą, o ES — savo duomenų perdavimo vertinimą.
Natyvus HubSpot reklamjuostis vs. trečiosios šalies CMP
HubSpot pateikiamas su integruotu slapukų sutikimo reklamjuostiu, kurį galite įjungti iš Nustatymai > Privatumas & Sutikimas. Jis rodys konfigūruojamą pranešimą, užregistruos sutikimo įrašą kontaktui ir gerbs vieną atsisakymą analizei. Labai mažoms organizacijoms, veikiančioms mažos rizikos jurisdikcijose, to gali pakakti. Visiems, kuriems rimtai rūpi atitiktis — arba kas vykdo sutikimo režimą žinančią reklamą — to nepakanka.
Pereiti prie trečiosios šalies CMP yra praktiška:
- Detalios kategorijos. Natyvus reklamjuostis neskiria griežtai būtinų, funkcinių, analitinių ir rinkodaros slapukų į atskirus jungiklius, kas yra struktūra, kurios tikisi reguliuotojai.
- IAB TCF ir GPP palaikymas. Jei dalyvaujate programinėje reklamoje, jums reikia Google sertifikuoto CMP, kuris išduoda galiojantį TC eilutę. Natyvus HubSpot reklamjuostis to nedaro.
- Consent Mode v2. Google dabar reikalauja EEE srauto sutikimo signalų, pateiktų v2 formatu. Specialusis CMP tai sujungia nuo galo iki galo, įskaitant numatytąjį atmetimo konfigūravimą.
- Daugiakalbis ir prieinamumas. Dauguma CMP yra pristatomi su 30+ kalbų paketais ir WCAG atitinkančiomis numatytosiomis nuostatomis. HubSpot integruotas reklamjuostis yra ribotesnis.
- Audito lygio žurnalas. Specialusis CMP fiksuoja kiekvieną sutikimo sprendimą su laiko žyma, reklamjuosčio versija ir pasirinkimu — įrodymus, kurių reguliuotojai prašo tyrimuose.
Žingsnis po žingsnio integracija su trečiosios šalies CMP
Patikimai veikiantis integracijos modelis yra palikti HubSpot fragmentą puslapyje, bet neleisti jam vykdytis, kol nebus užregistruotas sutikimo sprendimas. Žemiau pateiktas kanoninis metodas, parašytas bendrais bruožais, kad tiktų bet kuriam moderniam CMP, įskaitant FlexyConsent.
1. Pašalinti numatytąjį fragmentą iš dokumento antraštės
Savo svetainės šablone ištrinkite įterptąją <script> žymą, kuri įkelia hs-scripts.com/{hub_id}.js. Pakeiskite ją vietos rezervatu, kurį jūsų CMP gali vėliau aktyvuoti, paprastai nustatant type atributą į text/plain ir pridedant kategorijos duomenų atributą, pvz., data-category="marketing".
2. Priskirti HubSpot teisingai sutikimo kategorijai
Dauguma CMP naudoja IAB TCF arba keturių kategorijų modelį: būtinas, funkcinis, analitinis, rinkodaros. HubSpot stebėjimo scenarijus paliečia tiek analitines, tiek rinkodaros kategorijas dėl CRM integracijos. Konservatyvus priskyrimas yra prie viso fragmento prie rinkodaros kategorijos, kuri yra labiausiai ribojanti kategorija. Jei jūsų CMP leidžia tikslų priskyrimą, galite padalyti: formas įkelkite pagal funkcines, analitikos įvykius pagal analitines, o CRM tapatybės susiejimą pagal rinkodaros.
3. Sukonfigūruoti aktyvavimo grįžtamąjį skambutį
Jūsų CMP atskleidžia įvykį ar grįžtamąjį skambutį, kuris paleidžiamas, kai vartotojas suteikia sutikimą kategorijai. Tame grįžtamajame skambutyje perrašykite vietos rezervato scenarijaus žymos tipo atributą atgal į text/javascript ir pridėkite jį prie dokumento. Scenarijus tada bus įkeltas ir vykdomas įprastai. SPA atveju registruokite grįžtamąjį skambutį kiekvienam maršruto keitimui, kad naujai sumontuoti puslapiai taip pat gautų aktyvavimą.
4. Prijungti Consent Mode v2
Jei kartu su HubSpot naudojate Google Ads ar GA4, jūsų CMP turi perkelti v2 sutikimo signalus — ad_storage, analytics_storage, ad_user_data, ad_personalization — į dataLayer prieš bet kuriai Google žymai paleidžiantis. Pats HubSpot nevartoja šių signalų, tačiau jūsų rietuvės likučiai tai daro, o nenuoseklumas tarp HubSpot ir Google jūsų ataskaitose pasirodys kaip išmatuojamas pajamų atotrūkis.
5. Sinchronizuoti sutikimo būseną su HubSpot CRM
Kai žinomas kontaktas atnaujina savo sutikimą (pvz., grįžta prie reklamjuosčio ir atšaukia rinkodaros sutikimą), tai turėtumėte atspindėti HubSpot įraše, kad darbo eigos logika nustotų siųsti rinkodaros el. laiškus. HubSpot API atskleidžia communication-preferences galutinį tašką, kuris priima prenumeratos lygio atnaujinimus. Dauguma CMP gali būti sukonfigūruoti iškviesti šį galutinį tašką iš serverio pusės kabliuko.
Dažnos klaidos ir kaip jų išvengti
Trys integracijos klaidos sudaro daugumą audito išvadų, kurias matome daug HubSpot naudojančiose rietuvėse.
Fragmento įkėlimas per anksti
Kai kurios komandos HubSpot žymą deda į žymų tvarkytuvą ir mano, kad žymų tvarkytuvas valdo sutikimą. Google Tag Manager gerbia sutikimo režimą, bet tik žymoms, kurios aiškiai reikalauja suteiktos būsenos. Jei HubSpot žyma sukonfigūruota be to reikalavimo, GTM ją paleido vis tiek. Visada nustatykite žymos lauką Additional consent, kad reikalautų rinkodaros sutikimo prieš paleidžiant.
Pamiršti formų scenarijus
HubSpot formos teikiamos iš atskiro domeno (forms.hsforms.com) ir gali būti įterpiamos su savo scenarijumi. Jei blokuojate pagrindinį stebėjimo fragmentą, bet paliekate formų scenarijų įkelti per pradinį atvaizdavimą, problema iš tikrųjų neišspręsta — formų biblioteka nustato savus identifikuojančius slapukus. Blokuokite abu ir leiskite CMP juos įkelti kartu.
Atsisakymo traktavimas kaip sutikimo
HubSpot natyvūs nustatymai apima parinktį Do Not Track ir vieno paspaudimo atsisakymą. Kai kurios komandos tai interpretuoja kaip pakankamą mechanizmą GDPR laikytis. Taip nėra — GDPR reikalauja teigiamo sutikimo nebūtiniems slapukams, o atsisakymo žymėjimo langelis, paslėptas privatumo puslapyje, to kriterijaus neatitinka. Padarykite CMP autoritatyviu sutikimo būsenos šaltiniu ir sukonfigūruokite HubSpot, kad juo vadovautųsi.
Auditui parengta dokumentacija
Techniškai integracijai įsigaliojus, paskutinis žingsnis yra užtikrinti, kad jūsų įrodymų seka atlaikytų reguliatoriaus prašymą. Bent jau saugokite įrašus: kategorijų, kurioms jūsų CMP priskiria HubSpot, sutikimo reklamjuosčio versijos, galiojusios bet kurią datą, TC eilučių pavyzdžių, rodančių galiojantį sutikimą, ir API žurnalų, įrodančių, kad HubSpot nepaleido jokio stebėjimo skambučio prieš suteikiant sutikimą. Dauguma vykdymo priemonių sustoja ne ties technologijomis, bet ties dokumentacija — organizacijos, galinčios pateikti aiškią popierinę seką, paprastai tyrimus išsprendžia daug greičiau nei tos, kurios to negali. Sutikimų valdymo platforma, eksportuojanti šiuos artefaktus pagal pareikalavimą, auditą paverčia iš kelių savaičių skubėjimo vienos popietės atsakymu.