Przewodnik integracji zgody na pliki cookie Klaviyo: zgodna z GDPR poczta e-mail i SMS dla e-commerce w 2026 roku
Klaviyo to dominująca platforma e-mail i SMS marketingowa dla e-commerce bezpośrednio do konsumentów. Jest zainstalowana w znacznej części wszystkich sklepów Shopify, BigCommerce i Magento na całym świecie, a warstwa śledzenia na stronie — skrypt monitorujący zachowanie podczas przeglądania, przypisujący odsłony strony do znanych profili i wyzwalający przepływy dla porzuconych koszyków i porzuconego przeglądania — to właśnie ona sprawia, że platforma jest wartościowa komercyjnie. Jest też jednym z najczęściej błędnie konfigurowanych elementów stosu e-commerce z perspektywy prywatności. Skrypt śledzenia Klaviyo Onsite, biblioteka Klaviyo Forms i przepływy opt-in SMS zbierają wszystkie dane osobowe w chwili załadowania, zanim wyświetlony zostanie baner zgody. W przypadku każdego sklepu obsługującego ruch z UE, Wielkiej Brytanii, Brazylii lub Kalifornii takie domyślne zachowanie nie jest już zgodne z przepisami, a organy regulacyjne najaktywniejsze w egzekwowaniu przepisów e-commerce — CNIL we Francji, AEPD w Hiszpanii, włoski Garante i Kalifornijska Agencja Ochrony Prywatności — wyraźnie stwierdziły, że traktują skrypty marketingowe identycznie niezależnie od tego, czy dostawca jest duży czy mały. Ten przewodnik omawia to, co zbiera Klaviyo, jak zintegrować go z zewnętrznym CMP i gdzie pasują własne prymitywy prywatności platformy.
Co zbiera śledzenie Klaviyo Onsite
Fragment Klaviyo Onsite (ładowany z static.klaviyo.com/onsite/js/klaviyo.js) inicjalizuje globalną kolejkę _learnq i identyfikuje odwiedzających za pomocą pliku cookie należącego do Klaviyo o nazwie __kla_id. Po zainstalowaniu automatycznie raportuje zdarzenia odsłon strony, przechwytuje interakcje z formularzami, wyzwala zdarzenie Active On Site napędzające przepływ porzuconego przeglądania Klaviyo i łączy anonimowe zachowanie podczas przeglądania z profilem znanego subskrybenta w chwili, gdy odwiedzający zaloguje się lub prześle formularz z adresem e-mail. Kolejne zdarzenia — Viewed Product, Added to Cart, Started Checkout, Placed Order — są wyzwalane za pośrednictwem tej samej infrastruktury tożsamości i dziedziczą tę samą atrybucję opartą na plikach cookie.
W analizie GDPR plik cookie nie jest niezbędny, dane opuszczające stronę są danymi osobowymi, ponieważ są powiązane z trwałym identyfikatorem, a Klaviyo ma siedzibę w Stanach Zjednoczonych, co sprawia, że transfer podlega Ramom Ochrony Danych UE-USA. Wszystkie trzy warunki zdecydowanie lokują śledzenie Klaviyo Onsite w kategorii wymagającej uprzedniej zgody w UE, Wielkiej Brytanii, EOG i Brazylii na mocy LGPD. W Kalifornii to samo przetwarzanie podlega prawu do rezygnacji z udostępniania do reklamy behawioralnej w różnych kontekstach na mocy CPRA, które jest wyzwalane przez udostępnianie przez Klaviyo do celów płatnych mediów niższego szczebla.
Trzy powierzchnie śledzenia, które musisz zabezpieczyć
Instalacja Klaviyo to nie jedna powierzchnia śledzenia, są to trzy, i muszą być traktowane oddzielnie w integracji CMP.
Skrypt śledzenia Onsite
To główny tracker zachowania — skrypt ustawiający __kla_id i napędzający strumień zdarzeń aktywnych na stronie. To ta powierzchnia, o której blokowaniu pamięta większość zespołów i która jest najbardziej widoczna dla organów regulacyjnych podczas audytów. Blokuj ją domyślnie i ładuj tylko wtedy, gdy odwiedzający zaakceptuje kategorię marketingową.
Klaviyo Forms i wyskakujące okienka rejestracji
Klaviyo Forms to oddzielna biblioteka obsługująca wyskakujące okienka rejestracji e-mail i SMS, osadzone formularze i odblokowania treści bramkowanych. Jest hostowana w tej samej domenie, ale ładowana jako oddzielny skrypt. Formularze mogą wyzwalać zdarzenia wyświetleń i przesyłania niezależnie od głównego trackera Onsite, więc blokowanie tylko Onsite przy jednoczesnym ładowaniu Forms to powszechny wzorzec częściowej zgodności, który nadal wycieka dane identyfikacyjne.
Zbieranie opt-in SMS
Rejestracje SMS mają własne wymagania dotyczące zgody na mocy TCPA w USA i przepisów sektorowych w UE, a formularze SMS Klaviyo zbierają numery telefonów wraz z potwierdzonym zgody przez pole wyboru. Zgoda zebrana tutaj dotyczy samych wiadomości SMS, oddzielnie od zgody na pliki cookie. Poprawnie skonfigurowany stos rejestruje oba: zgodę na pliki cookie w CMP, zgodę na SMS w profilu subskrybenta Klaviyo.
Natywne kontrole prywatności Klaviyo
Klaviyo udostępnia kilka natywnych prymitywów prywatności. Podobnie jak większość platform marketingowych, zakładają one, że decyzja o zgodzie istnieje i jest przekazywana. Sami nie zbierają zgody.
Właściwość zgody w wywołaniach identify
Wywołując klaviyo.identify() lub klaviyo.track(), możesz dołączyć ładunek zgody rejestrujący podstawę prawną komunikacji marketingowej. To właściwy prymityw do przekazywania decyzji CMP do profilu subskrybenta Klaviyo.
Pola zgody na poziomie profilu
Profil subskrybenta ma dedykowane pola dla zgody e-mail, zgody SMS i źródła zgody. Aktualizacje tych pól są propagowane do silnika segmentacji Klaviyo, aby przepływy respektowały zarejestrowany stan.
Panel ustawień Prywatność i zgoda
Interfejs administratora Klaviyo ma sekcję Prywatność i zgoda kontrolującą niektóre domyślne zachowania — na przykład czy zdarzenie Active On Site jest wyzwalane dla odwiedzających bez zarejestrowanej zgody. Domyślne ustawienie jest permisywne; zaostrzenie tych ustawień to przydatna dodatkowa warstwa ponad blokowaniem na poziomie CMP.
Krok po kroku integracja CMP
Niezawodna architektura polega na blokowaniu wszystkich trzech powierzchni śledzenia Klaviyo za CMP i używaniu właściwości zgody w wywołaniach identify i track Klaviyo, aby utrzymać rekordy subskrybentów platformy zsynchronizowane z zarejestrowanym stanem zgody.
1. Usuń domyślny fragment Onsite z nagłówka
Klaviyo zapewnia jednolinijkowy fragment, który instalatorzy zazwyczaj wklejają do nagłówka dokumentu. Usuń go. Zastąp go elementem skryptu zastępczego, którego atrybut type to text/plain, a atrybut data-category identyfikuje go jako marketing. Twój CMP przepisze typ z powrotem na text/javascript, gdy odwiedzający zaakceptuje kategorię marketingową.
2. Odłóż ładowanie Klaviyo Forms
Biblioteka Forms ładuje się niezależnie od Onsite. Zastosuj ten sam wzorzec zastępczy do jej elementu skryptu, aby nie inicjalizowała się przed udzieleniem zgody. Po udzieleniu zgody zarówno Onsite, jak i Forms mogą inicjalizować się razem; zdarzenia w kolejce są automatycznie opróżniane.
3. Oddziel zgodę SMS od zgody na pliki cookie
Zbieranie opt-in SMS odbywa się przez Klaviyo Forms, ale zebrana zgoda — wyraźne pole wyboru dla marketingu SMS — jest oddzielnym artefaktem prawnym od zgody na pliki cookie. Baner CMP rejestruje decyzję dotyczącą pliku cookie; pole wyboru formularza rejestruje decyzję SMS. Nie łącz ich — złączona zgoda jest nieważna zarówno na mocy GDPR, jak i TCPA.
4. Propaguj zgodę do profilu Klaviyo
Gdy znany subskrybent akceptuje lub cofa zgodę na Twojej stronie, CMP powinien wywołać API Klaviyo w celu aktualizacji pól zgody profilu. API Profili Klaviyo obsługuje wywołanie częściowej aktualizacji, które zapisuje zgodę e-mail, zgodę SMS i znacznik czasu zgody bez nadpisywania reszty profilu. Większość nowoczesnych CMP ma konektor Klaviyo obsługujący to od końca do końca.
5. Podłącz Consent Mode v2 jeśli równolegle uruchamiasz tagi Google
Większość sklepów korzystających z Klaviyo uruchamia również Google Ads i GA4. Twój CMP musi opublikować sygnały zgody v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — do dataLayer przed uruchomieniem jakiegokolwiek tagu Google. Klaviyo nie konsumuje tych sygnałów natywnie, ale Google tak, a niespójność między Klaviyo a Google pojawi się jako mierzalna luka przychodów w raportowaniu atrybucji.
Typowe pułapki
Cztery błędy integracji pojawiają się wielokrotnie w audytach wdrożeń Klaviyo.
Traktowanie Forms jako zwykłego wyskakującego okienka
Niektóre zespoły blokują Onsite pod marketingiem, ale pozwalają na ładowanie Forms przy pierwszym renderowaniu, uzasadniając, że wyskakujące okienko to tylko element UI. Biblioteka Forms wyzwala zdarzenia wyświetleń do Klaviyo dla każdego wyświetlanego wyskakującego okienka, co są identyfikującymi danymi behawioralnymi przesyłanymi do dostawcy technologii reklamowej z USA — dokładnie wzorzec, który CMP ma uniemożliwić.
Łączenie zgody na pliki cookie i SMS
Jedno pole wyboru informujące o akceptacji plików cookie i otrzymywaniu marketingowych SMS jest nieważne dla obu celów. Zgoda na pliki cookie musi być specyficzna dla plików cookie; zgoda SMS musi być specyficzna dla SMS. Używaj oddzielnych kontrolek.
Pozwalanie na wyzwalanie konektorów mediów płatnych stron trzecich dla cofniętych profili
Klaviyo może przesyłać grupy odbiorców do Google Ads, Meta, TikTok i innych sieci reklamowych za pośrednictwem swoich integracji. Jeśli subskrybent cofnie zgodę, wysyłanie odbiorców musi go usunąć — nie tylko przestać dodawać. Skonfiguruj ustawienia synchronizacji odbiorców Klaviyo, aby w czasie rzeczywistym respektować zmiany stanu zgody, nie tylko przy początkowej synchronizacji.
Zapominanie o kwestii danych historycznych
Gdy odwiedzający akceptuje zgodę po raz pierwszy, Twój stos nie powinien retroaktywnie kojarzyć jego anonimowego zachowania sprzed zgody z nowym profilem. CMP i Klaviyo powinny uzgodnić, że dane przeglądania sprzed zgody nie są danymi osobowymi powiązanymi z teraz zidentyfikowanym profilem. Niektóre przepływy Klaviyo domyślnie zakładają to skojarzenie — przejrzyj odpowiednie wyzwalacze przepływu.
Lista kontrolna audytu
Sześć konkretnych pytań do odpowiedzi dla każdego wdrożenia Klaviyo obsługującego ruch z UE, Wielkiej Brytanii, Brazylii lub Kalifornii.
- Czy Onsite czeka na zgodę? Otwórz sklep w prywatnym oknie z rygorystyczną ochroną śledzenia i potwierdź, że żadne żądania static.klaviyo.com nie są wyzwalane przed akceptacją banera.
- Czy Forms czeka na zgodę? Potwierdź, że zdarzenia wyświetleń wyskakujących okienek nie są wyzwalane przed zaakceptowaniem kategorii marketingowej.
- Czy zgoda na pliki cookie i zgoda SMS są oddzielne? Potwierdź, że baner pliku cookie nie zbiera też zgody SMS i że formularze opt-in SMS rejestrują własne wyraźne pole wyboru.
- Czy profil Klaviyo odzwierciedla stan CMP? Potwierdź, że CMP zapisuje decyzje o zgodzie do pól zgody profilu za pośrednictwem API Klaviyo.
- Czy synchronizacje odbiorców respektują cofnięcia? Potwierdź, że cofnięcie zgody usuwa subskrybenta z grup odbiorców płatnych mediów niższego szczebla, nie tylko z przyszłych synchronizacji.
- Czy przeglądanie przed zgodą pozostaje anonimowe? Potwierdź, że wyzwalacze przepływu nie kojarią retroaktywnie zachowania sprzed zgody z nowo zidentyfikowanymi profilami.
Gdzie Klaviyo pasuje w stosie ze zgodą na pierwszym miejscu
Klaviyo siedzi na przecięciu atrybucji e-commerce i bezpośredniej komunikacji marketingowej, co oznacza, że dotyka zarówno reżimu zgody na pliki cookie (GDPR/ePrivacy, CCPA/CPRA), jak i reżimu komunikacji marketingowej (CAN-SPAM, TCPA, GDPR art. 6/7 dla wiadomości). Właściwa architektura traktuje je jako dwie odrębne powierzchnie zgody — obie kierowane przez jeden CMP będący źródłem prawdy, z natywnych pól zgody Klaviyo utrzymywanych w synchronizacji przez API. Sklepy, które robią to dobrze, zachowują zachowanie porzuconego koszyka, porzuconego przeglądania i segmentacji, które sprawia, że Klaviyo jest wartościowe komercyjnie, jednocześnie ograniczając narażenie na audyt do ułamka tego, co niesie ze sobą domyślna instalacja. Praca inżynierska jest prosta; dyscyplina polega na tym, by nie pozwalać zespołowi marketingowemu traktować Forms jako zwolnionego z tych samych zasad co tracker Onsite.