Prečo sledovanie HubSpot vyžaduje skutočný signál súhlasu

HubSpot ukladá niekoľko vlastných súborov cookie na zariadenie návštevníka hneď po spustení sledovacieho skriptu (fragment JavaScriptu HubSpot, zvyčajne hs-scripts.com/{hub_id}.js). Najvýznamnejšie sú __hstc, hubspotutk a __hssc, ktoré spoločne identifikujú návštevníka naprieč reláciami, spájajú odoslania formulárov s anonymnou históriou prehliadania a zásobujú modely hodnotenia potenciálnych zákazníkov v CRM. Podľa GDPR a smernice ePrivacy sú všetky tri nepodstatné súbory cookie, ktoré vyžadujú slobodne udelený, konkrétny, informovaný a jednoznačný predchádzajúci súhlas. Načítanie fragmentu v hlavičke dokumentu — čo je predvolený integračný vzor HubSpot — umiestňuje tieto súbory cookie skôr, ako sa návštevník na čokoľvek opýtal.

Dôsledky nie sú teoretické. Orgány na ochranu údajov vo Francúzsku, Taliansku a Španielsku v posledných dvoch rokoch prijali vymáhacie opatrenia voči organizáciám, ktorých marketingové systémy nastavovali sledovacie súbory cookie pred udelením súhlasu. Pokuty sa pohybovali od päťciferných súm pre malých vydavateľov až po viacmiliónové pokuty v eurách pre veľké podniky. Natívny banner súborov cookie HubSpot existuje, ale je zámerne ľahký a sám osebe neblokuje spustenie fragmentu. Väčšina recenzentov súladu ho považuje za oznamovaciu vrstvu, nie za kontrolnú vrstvu.

Čo HubSpot skutočne sleduje

Pred rozhodnutím o tom, ako obmedziť HubSpot, je užitočné byť presný v tom, ktoré kategórie spracovania sú zapojené. Sledovacia plocha HubSpot sa delí do štyroch prekrývajúcich sa kategórií, z ktorých každá má vlastné dôsledky pre súhlas.

Behaviorálna analytika

Udalosti zobrazenia stránky, kliknutia, posúvania a trvania relácie sa zbierajú automaticky po načítaní sledovacieho kódu. Tieto udalosti vytvárajú časovú os návštevníka, ktorú vidíte v kontaktných záznamoch HubSpot, a sú základom každého pravidla hodnotenia potenciálnych zákazníkov alebo pracovného postupu. Z pohľadu regulátora ide o jednoduché sledovanie analytiky, ktoré vyžaduje súhlas opt-in v EÚ a EHP. V Spojenom kráľovstve usmernenie ICO z roku 2023 to rieši rovnako.

Formuláre a chat

Formuláre HubSpot a widget chatu HubSpot (predtým integrácia Drift) možno nakonfigurovať tak, aby sa načítavali nezávisle od hlavného sledovacieho skriptu. Odoslania formulárov sa vo väčšine právnych analýz považujú za samostatnú aktivitu spracovania s vlastným právnym základom — zvyčajne plnenie zmluvy alebo oprávnený záujem. Chat, ktorý zaznamenáva prepisy na serveri tretej strany, si však vo všeobecnosti vyžaduje súhlas so samotným záznamom.

Prepojenie identity naprieč doménami

Ak používate rovnaký portál HubSpot naprieč viacerými doménami, fragment sa pokúsi nastaviť a čítať súbory cookie spôsobom, ktorý prepája návštevníkov medzi týmito vlastnosťami. To presahuje do toho, čo EDPB nazýva „sledovaním" v úzkom zmysle, a ide o kategóriu s najvyšším rizikom. Je to tiež tá, ktorá bude s najväčšou pravdepodobnosťou označená počas DPIA.

Marketingové integrácie

HubSpot môže prostredníctvom svojich integrácií odosielať udalosti do Google Ads, Meta, LinkedIn a ďalších reklamných sietí. Každý z týchto ďalších prenosov nesie vlastnú požiadavku na súhlas a v EÚ vlastné posúdenie prenosu údajov.

Natívny banner HubSpot vs. CMP tretej strany

HubSpot je dodávaný so vstavaným bannerom súhlasu so súbormi cookie, ktorý môžete povoliť cez Nastavenia > Ochrana osobných údajov & Súhlas. Zobrazí konfigurovateľné upozornenie, zaregistruje záznam súhlasu k kontaktu a rešpektuje jednoduchý opt-out pre analytiku. Pre veľmi malé organizácie pôsobiace v jurisdikciách s nízkym rizikom to môže stačiť. Pre kohokoľvek, kto berie súlad vážne — alebo kto prevádzkuje reklamu zohľadňujúcu režim súhlasu — to nestačí.

Dôvody na prechod na CMP tretej strany sú praktické:

• Granulárne kategórie. Natívny banner neoddeľuje striktne nevyhnutné, funkčné, analytické a marketingové súbory cookie do odlišných prepínačov, čo je štruktúra, ktorú regulátori očakávajú.
• Podpora IAB TCF a GPP. Ak sa zúčastňujete na programatickej reklame, potrebujete CMP certifikovanú spoločnosťou Google, ktorá vydáva platný reťazec TC. Natívny banner HubSpot to nerobí.
• Consent Mode v2. Google teraz vyžaduje signály súhlasu dodávané vo formáte v2 pre návštevnosť z EHP. Dedikovaná CMP to zapojí od konca ku koncu vrátane konfigurácie predvoleného odmietnutia.
• Viacjazyčnosť a dostupnosť. Väčšina CMP sa dodáva s 30+ jazykovými balíkmi a predvolenými nastaveniami v súlade s WCAG. Vstavaný banner HubSpot je obmedzenejší.
• Protokolovanie na úrovni auditu. Dedikovaná CMP zaznamenáva každé rozhodnutie o súhlase s časovou pečiatkou, verziou bannera a voľbou — dôkazy, ktoré regulátori požadujú pri vyšetrovaniach.

Postup integrácie s CMP tretej strany krok za krokom

Integračný vzor, ktorý funguje spoľahlivo, spočíva v ponechaní fragmentu HubSpot na stránke, ale v zabránení jeho spusteniu, kým nie je zaznamenané rozhodnutie o súhlase. Nižšie je kanonický prístup, napísaný všeobecne tak, aby sa vzťahoval na akúkoľvek modernú CMP vrátane FlexyConsent.

1. Odstráňte predvolený fragment z hlavičky dokumentu

In your site template, delete the inline <script> tag that loads hs-scripts.com/{hub_id}.js. Replace it with a placeholder that your CMP can activate later, typically by setting the type attribute to text/plain and adding a category data attribute such as data-category="marketing".

2. Priraďte HubSpot k správnej kategórii súhlasu

Väčšina CMP používa IAB TCF alebo model štyroch kategórií: nevyhnutné, funkčné, analytické, marketingové. Sledovací skript HubSpot sa dotýka kategórií analytiky aj marketingu kvôli integrácii CRM. Konzervatívne priradenie spočíva v umiestnení celého fragmentu za marketingovú kategóriu, ktorá je najobmedzenejšia. Ak vaša CMP umožňuje podrobné mapovanie, môžete rozdeliť: načítavajte formuláre pod funkčnú, analytické udalosti pod analytickú a prepojenie identity CRM pod marketingovú kategóriu.

3. Nakonfigurujte aktivačný callback

Vaša CMP sprístupňuje udalosť alebo callback, ktorý sa spustí, keď používateľ udelí súhlas pre kategóriu. V tomto callbacku prepíšte atribút type zástupného skriptového tagu späť na text/javascript a pripojte ho k dokumentu. Skript sa potom načíta a spustí normálne. V prípade SPA zaregistrujte callback pri každej zmene trasy, aby novovytvorené stránky tiež dostali aktiváciu.

4. Prepojte Consent Mode v2

Ak používate Google Ads alebo GA4 spolu s HubSpot, vaša CMP musí odosielať signály súhlasu v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — do dataLayer pred spustením akéhokoľvek tagu Google. Samotný HubSpot tieto signály nespotrebúva, ale zvyšok vášho systému áno, a nezrovnalosť medzi HubSpot a Google sa prejaví vo vašom reportovaní ako merateľná medzera v príjmoch.

5. Synchronizujte stav súhlasu s HubSpot CRM

Keď známy kontakt aktualizuje svoj súhlas (napríklad opätovnou návštevou bannera a odvolaním marketingového súhlasu), mali by ste to reflektovať v zázname HubSpot, aby logika pracovného postupu prestala odosielať marketingové e-maily. API HubSpot sprístupňuje endpoint communication-preferences, ktorý prijíma aktualizácie na úrovni predplatného. Väčšina CMP môže byť nakonfigurovaná tak, aby volala tento endpoint zo serverového háčika.

Bežné chyby a ako sa im vyhnúť

Tri integračné chyby zodpovedajú za väčšinu auditných zistení, ktoré vidíme v systémoch s intenzívnym využitím HubSpot.

Príliš skoré načítanie fragmentu

Niektoré tímy umiestnia tag HubSpot do správcu tagov a predpokladajú, že správca tagov spracúva súhlas. Google Tag Manager rešpektuje režim súhlasu, ale iba pre tagy, ktoré výslovne vyžadujú udelený stav. Ak je tag HubSpot nakonfigurovaný bez tejto požiadavky, GTM ho spustí bez ohľadu na to. Vždy nastavte pole Ďalší súhlas na tagu tak, aby pred spustením vyžadovalo marketingový súhlas.

Zabudnutie na skripty formulárov

Formuláre HubSpot sú obsluhované zo samostatnej domény (forms.hsforms.com) a môžu byť vložené s vlastným skriptom. Ak zablokujete hlavný sledovací fragment, ale ponecháte skript formulára načítavať sa pri počiatočnom vykreslení, problém ste vlastne nevyriešili — knižnica formulárov nastavuje vlastné identifikačné súbory cookie. Zablokujte oboje a nechajte CMP načítať ich spoločne.

Považovanie opt-out za opt-in

Natívne nastavenia HubSpot zahŕňajú možnosť Do Not Track a opt-out jedným kliknutím. Niektoré tímy ich interpretujú ako dostatočný mechanizmus na splnenie požiadaviek GDPR. Nie sú — GDPR vyžaduje kladný opt-in pre nepodstatné súbory cookie a zaškrtávacie políčko opt-out zabudované na stránke ochrany súkromia túto podmienku nespĺňa. Urobte z CMP autoritatívny zdroj stavu súhlasu a nakonfigurujte HubSpot tak, aby sa jej podriadil.

Dokumentácia pripravená na audit

Po zavedení technickej integrácie je posledným krokom zabezpečenie toho, aby vaša stopa dôkazov obstála v prípade žiadosti regulátora. Minimálne uchovávajte záznamy o: kategóriách, ku ktorým vaša CMP mapuje HubSpot, verzii bannera súhlasu aktívnej k danému dátumu, vzorových reťazcoch TC preukazujúcich platný súhlas a protokoloch API, ktoré dokazujú, že HubSpot nevykonal žiadne sledovacie volanie pred udelením súhlasu. Väčšina vymáhacích opatrení stroskotá nie na technológii, ale na dokumentácii — organizácie, ktoré vedia poskytnúť prehľadnú papierovú stopu, zvyčajne uzatvárajú vyšetrovania oveľa rýchlejšie ako tie, ktoré to nevedia. Platforma na správu súhlasu, ktorá na požiadanie exportuje tieto artefakty, premení audit z viacnásobného chaosu na odpoveď za jedno popoludnie.