Vad Klaviyo Onsite-spårning samlar in

Klaviyo Onsite-kodavsnittet (laddat från static.klaviyo.com/onsite/js/klaviyo.js) initierar en global _learnq-kö och identifierar besökare med en Klaviyo-ägd cookie kallad __kla_id. När det är installerat rapporterar det automatiskt sidvisningshändelser, fångar formulärinteraktioner, utlöser Active On Site-händelsen som driver Klaviyos Browse Abandonment-flöde, och kopplar anonymt surfbeteende till en känd prenumerantprofil i det ögonblick besökaren loggar in eller skickar in ett formulär med en e-postadress. Efterföljande händelser — Viewed Product, Added to Cart, Started Checkout, Placed Order — utlöses genom samma identitetsinfrastruktur och ärver samma cookie-baserade tillskrivning.

För GDPR-analysen är cookien icke-nödvändig, datan som lämnar sidan är personuppgifter eftersom den är kopplad till en beständig identifierare, och Klaviyo är etablerat i USA, vilket gör överföringen föremål för EU-US Data Privacy Framework. Alla tre villkoren placerar Klaviyo Onsite-spårning tydligt i kategorin "kräver förhandssamtycke" i EU, UK, EEA och Brasilien under LGPD. I Kalifornien faller samma behandling under CPRA:s rätt att välja bort delning för kontextuell beteendebaserad annonsering, vilket Klaviyos delning med nedströms betalda mediedestinationer utlöser.

De tre spårningsytorna du måste reglera

En Klaviyo-installation är inte en spårningsyta, det är tre, och de behöver behandlas separat i en CMP-integration.

Onsite-spårningsskriptet

Detta är den huvudsakliga beteendespåraren — skriptet som sätter __kla_id och driver händelseströmmen för active-on-site. Det är den yta som de flesta team kommer ihåg att reglera och den som är mest synlig för tillsynsmyndigheter vid granskning. Blockera det som standard och ladda det först när besökaren accepterar marknadsföringskategorin.

Klaviyo Forms och registreringspopupar

Klaviyo Forms är ett separat bibliotek som driver e-post- och SMS-registreringspopupar, inbäddade formulär och låst innehåll som kräver upplåsning. Det hostas på samma domän men laddas som ett separat skript. Forms kan utlösa visnings- och inskickningshändelser oberoende av den huvudsakliga Onsite-spåraren, så att enbart reglera Onsite medan Forms laddas fritt är ett vanligt mönster för delvis regelefterlevnad som fortfarande läcker identifierande data.

SMS-opt-in-insamling

SMS-registreringar har sitt eget samtyckeskrav under TCPA i USA och under sektorsspecifika regler i EU, och Klaviyos SMS-formulär samlar in telefonnummer tillsammans med kryssrutebekräftat samtycke. Samtycket som samlas in här gäller själva SMS-meddelandena, separat från cookie-samtycke. En korrekt konfigurerad lösning registrerar båda: cookie-samtycke i CMP:n, SMS-samtycke i Klaviyo-prenumerantprofilen.

Klaviyos inbyggda integritetskontroller

Klaviyo exponerar flera inbyggda integritetsprimitiver. Som med de flesta marknadsföringsplattformar antar de att ett samtyckebeslut redan finns och vidarebefordras. De samlar inte in samtycke själva.

Samtyckesegenskapen vid identify-anrop

När du anropar klaviyo.identify() eller klaviyo.track() kan du bifoga en samtyckes-payload som registrerar den rättsliga grunden för marknadsföringskommunikation. Detta är rätt primitiv för att överföra CMP:ns beslut till Klaviyos prenumerantprofil.

Samtyckesfält på profilnivå

Prenumerantprofilen har dedikerade fält för e-postsamtycke, SMS-samtycke och samtyckeskälla. Uppdateringar av dessa fält propageras till Klaviyos segmenteringsmotor så att flöden respekterar det registrerade tillståndet.

Panelen Sekretess och samtycke

Klaviyos administrativa gränssnitt har en sektion för Sekretess och samtycke som styr vissa standardbeteenden — till exempel om Active On Site-händelsen utlöses för besökare utan registrerat samtycke. Standardinställningen är tillåtande; att strama åt dessa inställningar är ett användbart extra skyddslager ovanpå CMP-nivåns reglering.

Steg-för-steg CMP-integration

Den tillförlitliga arkitekturen är att reglera alla tre Klaviyo-spårningsytor bakom CMP:n och använda samtyckesegenskaperna på Klaviyos identify- och track-anrop för att hålla plattformens prenumerantposter synkroniserade med det registrerade samtyckestillståndet.

1. Ta bort standard-Onsite-kodavsnittet från head

Klaviyo tillhandahåller ett enradskodavsnitt som installatörer vanligtvis klistrar in i dokumentets head. Ta bort det. Ersätt det med ett platshållarskriptelement vars type-attribut är text/plain och vars data-category-attribut identifierar det som marknadsföring. Din CMP kommer att skriva om typen tillbaka till text/javascript när besökaren accepterar marknadsföringskategorin.

2. Fördröj laddningen av Klaviyo Forms

Forms-biblioteket laddas oberoende av Onsite. Tillämpa samma platshållarmönster på dess skriptelement så att det inte initieras före samtycke. Efter att samtycke har beviljats kan både Onsite och Forms initieras tillsammans; köade händelser töms automatiskt.

3. Separera SMS-samtycke från cookie-samtycke

SMS-opt-in-insamling körs genom Klaviyo Forms men det insamlade samtycket (den explicita kryssrutan för SMS-marknadsföring) är en separat juridisk artefakt från cookie-samtycke. CMP-bannern registrerar cookie-beslutet; formulärets kryssruta registrerar SMS-beslutet. Bunta inte ihop dem — sammanbuntat samtycke är ogiltigt under både GDPR och TCPA.

4. Överför samtycke till Klaviyo-profilen

När en känd prenumerant accepterar eller återkallar samtycke på din webbplats bör CMP:n anropa Klaviyo-API:et för att uppdatera profilens samtyckesfält. Klaviyo Profiles API stöder ett deluppdateringsanrop som skriver e-postsamtycke, SMS-samtycke och samtyckestidsstämpel utan att skriva över resten av profilen. De flesta moderna CMP:er har en Klaviyo-koppling som hanterar detta från början till slut.

5. Koppla Consent Mode v2 om du kör Google-taggar parallellt

De flesta butiker som använder Klaviyo kör även Google Ads och GA4. Din CMP måste publicera v2-samtyckessignalerna — ad_storage, analytics_storage, ad_user_data, ad_personalization — i dataLayer innan någon Google-tagg utlöses. Klaviyo konsumerar inte dessa signaler nativt, men Google gör det, och en inkonsekvens mellan Klaviyo och Google kommer att visa sig som ett mätbart intäktsgap i tillskrivningsrapporteringen.

Vanliga fallgropar

Fyra integrationsmisstag dyker upp upprepade gånger vid granskningar av Klaviyo-implementationer.

Att behandla Forms som "bara en popup"

Vissa team reglerar Onsite under marknadsföring men låter Forms laddas vid initial rendering, med resonemanget att "en popup är bara ett gränssnittselement". Forms-biblioteket utlöser visningshändelser till Klaviyo för varje popup som visas, vilket är identifierande beteendedata som vidarebefordras till en amerikansk annonstekniklevrantör — exakt det mönster en CMP är tänkt att förhindra.

Att bunta cookie- och SMS-samtycke

En enda kryssruta som säger "Jag godkänner cookies och att ta emot marknadsförings-SMS" är ogiltig för båda. Cookie-samtycke måste vara specifikt för cookies; SMS-samtycke måste vara specifikt för SMS. Använd separata kontroller.

Att låta tredjepartskopplingar för betalda medier utlösas på återkallade profiler

Klaviyo kan skicka målgrupper till Google Ads, Meta, TikTok och andra annonsnätverk via sina integrationer. Om en prenumerant återkallar samtycke behöver målgruppspushen ta bort dem — inte bara sluta lägga till dem. Konfigurera Klaviyos målgruppssynkroniseringsinställningar för att respektera samtyckestillståndsändringar i realtid, inte bara vid initial synkronisering.

Att glömma frågan om historisk data

När en besökare accepterar samtycke för första gången bör din lösning inte retroaktivt koppla deras anonyma beteende före samtycke till deras nya profil. CMP:n och Klaviyo bör vara överens om att surfdata före samtycke inte är personuppgifter kopplade till den nu identifierade profilen. Vissa Klaviyo-flöden antar denna koppling som standard — granska relevanta flödesutlösare.

Granskningschecklista

Sex konkreta frågor att besvara för varje Klaviyo-implementation som berör trafik från EU, UK, Brasilien eller Kalifornien.

• Väntar Onsite på samtycke? Öppna butikens webbplats i ett privat fönster med strikt spårningsskydd och bekräfta att inga förfrågningar till static.klaviyo.com utlöses före banneracceptans.
• Väntar Forms på samtycke? Bekräfta att popup-visningshändelser inte utlöses innan marknadsföringskategorin accepteras.
• Är cookie-samtycke och SMS-samtycke separata? Bekräfta att cookie-bannern inte också samlar in SMS-samtycke, och att SMS-opt-in-formulär registrerar sin egen explicita kryssruta.
• Speglar Klaviyo-profilen CMP-tillståndet? Bekräfta att CMP:n skriver samtyckebeslut till profilens samtyckesfält via Klaviyo-API:et.
• Respekterar målgruppssynkroniseringar återkallelser? Bekräfta att återkallat samtycke tar bort prenumeranten från nedströms betalda mediemålgrupper, inte bara från framtida synkroniseringar.
• Hålls surfning före samtycke anonym? Bekräfta att flödesutlösare inte retroaktivt kopplar beteende före samtycke till nyligen identifierade profiler.

Var Klaviyo passar in i en samtyckes-först-arkitektur

Klaviyo befinner sig i skärningspunkten mellan e-handelstillskrivning och direktmarknadsföringskommunikation, vilket innebär att det berör både cookie-samtyckesregimet (GDPR/ePrivacy, CCPA/CPRA) och regimen för marknadsföringskommunikation (CAN-SPAM, TCPA, GDPR artikel 6/7 för meddelanden). Rätt arkitektur behandlar dessa som två distinkta samtyckesytor — båda dirigerade genom en enda CMP som äger sanningskällan, med Klaviyos inbyggda samtyckesfält synkroniserade via API. Butiker som gör detta rätt bevarar beteendet för övergivna varukorgar, avbrutna surfningar och segmentering som gör Klaviyo kommersiellt värdefullt, samtidigt som granskningsexponeringen reduceras till en bråkdel av vad en standardinstallation medför. Ingenjörsarbetet är okomplicerat; disciplinen ligger i att inte låta marknadsföringsteamet behandla Forms som undantaget från samma regler som gäller för Onsite-spåraren.