Hotjar Isı Haritası ve Oturum Kaydı Çerez Onayı Entegrasyon Kılavuzu: Yayıncılar için 2026 Oyun Kitabı
Hotjar, araç yığınında benzersiz bir yer tutar. Google Analytics gibi bir web analitik platformu değil, Amplitude veya Mixpanel gibi bir ürün analitik platformu değil ve bir etiket yöneticisi de değil. Tek tek kullanıcıların bir sayfada ne yaptığını kaydetmek için özel olarak var olan bir kullanıcı deneyimi araştırma aracıdır — farelerinizi nerede hareket ettirdikleri, neye tıkladıkları, nereyi kaydırdıkları, nerede tereddüt ettikleri ve oturum kaydı durumunda tam olarak ne yazdıkları ve ekranda ne gördükleri. Bu ayrıntı düzeyi ürünün kendisidir. Bu aynı zamanda düzenleyicilerin oturum tekrarını davranışsal işlemenin en yüksek risk kategorilerinden biri olarak öne çıkardığı ve dikkatsiz bir Hotjar dağıtımının uyumlu bir web sitesinin uyum dışına çıkması için en kolay yollarından biri olmasının nedenidir. CNIL, Garante ve EDPB'nin tümü özellikle oturum tekrarı davranışını hedefleyen rehberler yayımladı ve 2026 EDPB çerez banner görev grubu bunu öncelikli bir kategori olarak ele alıyor. İyi haber, Hotjar'ın onay odaklı dağıtım için kategorideki daha iyi tasarlanmış araçlardan biri olmasıdır — yayıncı mevcut kontrolleri gerçekten kullandığı sürece.
Hotjar neden açık onay gerektirir
Hotjar'ın toplama profili, önemli olan her çerçevede onay yükümlülüklerini tetikleyen şeydir. Varsayılan başlatmada Hotjar izleme betiği, sayfa yüklenmesinin ardından milisaniyeler içinde tarayıcıya en az üç birinci taraf çerezi — _hjSessionUser_{siteId}, _hjSession_{siteId} ve bir dizi bastırma ve gelen kaynak çerezi — yazar. Betik daha sonra imleç koordinatları, tıklama koordinatları, kaydırma konumu, görüntü alanı boyutu ve oturum kaydı etkinleştirildiğinde bir taban çizgisine karşı fark alınan tam işlenmiş DOM'un sürekli bir kaydını yayınlamaya başlar.
ePrivacy Direktifi'nin 5(3). Maddesi kapsamında, bu çerezlerin her biri EEA, Birleşik Krallık, İsviçre ve aynı standardı benimsemiş herhangi bir yargı alanında önceden, serbestçe verilmiş, belirli, bilgilendirilmiş ve açık bir onay gerektiren bir depolama ve erişim işlemidir. GDPR kapsamında davranışsal akış, imleç izi, IP adresi, cihaz parmak izi ve oturum tanımlayıcısının kombinasyonu bir bireyi tekil olarak tanımlamaya yeterli olduğundan kişisel veri işleme teşkil eder. CCPA ve CPRA kapsamında, yayıncının Hotjar ile ilgili hizmet sağlayıcı sözleşmesi yoksa aynı toplama, satış veya paylaşım sayılır — Hotjar bunu CCPA uyumlu DPA'sı aracılığıyla sunar, ancak yalnızca entegrasyon doğru şekilde yapılandırıldığında geçerlidir. EDPB'nin oturum tekrarı rehberi kapsamında standart daha da yüksektir: tekrar, belirli bir meşru UX araştırma amacına bağlı olmalı, saklama süresi gerekli minimumda olmalı ve veri sahibine yalnızca kayıtların var olduğu değil, kendi oturumunun bir analist tarafından tekrar oynatılabileceği de bildirilmelidir.
Hotjar onaydan önce ne toplar — ve ne bastırılmalıdır
En yaygın uygulama hatası, Hotjar'ın kendi hızlı başlangıcıyla gelen hatadır: izleme betiğini doğrudan sayfanın <head>'ine yapıştırmak. Bu çalışır, ancak çerez banner'ı işlenmeden önce Hotjar'ı yükler; bu da çerezlerin ayarlandığı ve davranışsal kaydın kullanıcının daha sonra ne karar verdiğinden bağımsız olarak ilk sayfa görüntülemesinde başladığı anlamına gelir. Bu kalıba kural koyan her AB düzenleyicisi aynı şekilde karar verdi: onaydan önce ayarlanan çerezler yasadışıdır ve yayıncı sorumludur.
Bu nedenle uyumlu bir entegrasyon, ilgili onay kategorisi verilene kadar Hotjar betiğinin hiç yüklenmesini önlemelidir. Bunu yapmanın en temiz yolu, Hotjar snippet'ini yalnızca kullanıcı analitik veya ürün araştırması kategorisine katıldıktan sonra CMP'nin enjekte ettiği onay korumalı bir <script> etiketi içine sarmaktır. Betik bir etiket yöneticisi aracılığıyla yükleniyorsa, bunun eşdeğeri tetikleyiciyi All Pages yerine onay verildi olayına ayarlamaktır. Hotjar'ın kendi belgeleri artık bu kalıbı açıkça öneriyor ve platform, betiğin mevcut olması ancak onay kaydedilinceye kadar uyumsuz kalması gereken durumlar için bir hj('consent', 'grant') API'si sunuyor.
Hotjar'ın yazdığı çerezler ve depolama
Hotjar İzleme Kodu 6.x, tümü zorunlu olmayan ve onay gerektiren şu tanımlayıcıları yazar: _hjSessionUser_{siteId} kullanıcı tanımlayıcısını içeren 365 günlük süre sonuyla, _hjSession_{siteId} oturum tanımlayıcısını içeren 30 dakikalık süre sonuyla, _hjFirstSeen, _hjIncludedInSessionSample_{siteId}, _hjAbsoluteSessionInProgress ve anketler veya geri bildirim widget'ları etkin olduğunda bir dizi kampanya ilişkilendirme çerezi. Oturum kayıtları Hotjar'ın sunucularında depolanır ve oturum tanımlayıcısına bağlanır — onayı geri çekmek bu nedenle Hotjar'ın API'si veya ürün içi kullanıcı silme akışı aracılığıyla bir silme isteği de sinyali vermelidir.
Hotjar'ı onay çerçevelerine haritalama
Hotjar, IAB TCF veya IAB Global Privacy Platform ile yerel olarak entegre olmaz. Bir reklam teknolojisi satıcısı değildir ve hiçbir zaman olması amaçlanmamıştır. Bununla birlikte, analytics_storage sinyali aracılığıyla Google Consent Mode v2 ile entegre olur ve herhangi bir CMP'nin bağlanabileceği kendi yerel onay API'sini sunar. Bir düzenleyicinin incelemesinden geçen kalıp, her Hotjar özelliğini ayrı bir onay kapısı olarak ele alır.
- Isı haritaları ve tıklama haritaları, analitik veya ürün araştırması amacına bağlanır. TCF açısından bu en yaygın olarak amaç 1 (bilgileri depola ve/veya eriş) ile birleştirilen amaç 8'dir (içerik performansını ölç). Consent Mode için bu analytics_storage'dır.
- Oturum kaydı daha katı, ayrı bir sinyalin arkasında olmalıdır. Kayıt, işlenmiş DOM'u ve maskelenmemiş alanları yakalar ve açık tercih düzeyinde bir katılım — kapsamlı analitik onayı değil — EDPB'nin oturum tekrarı rehberi kapsamında savunulabilir tutumdur.
- Anketler ve geri bildirim widget'ları, serbest metin girişi topladıklarında oturum kaydıyla aynı onay kapısı altında veya yalnızca derecelendirme verisi topladıklarında analitik kapısı altında çalışabilir.
- Huniler ve dönüşüm takibi, analitik kapısına bağlanır; herhangi bir kullanıcı tanımlayıcısı bir CRM veya reklam platformuna yayılırsa pazarlama kapısı da geçerlidir.
İşe yarayan entegrasyon kalıbı
Referans dağıtımın dört parçası vardır: gerçek zamanlı bir onay değişikliği olayı sunan bir CMP, yalnızca analitik onayı tetiklendikten sonra Hotjar snippet'ini enjekte eden ertelenmiş bir betik yükleyici, ayrı bir kapı açılana kadar kaydı varsayılan olarak kapalıya ayarlayan bir oturum kaydı bastırma katmanı ve onay verildiğinde bile bir düzenleyicinin hassas sayacağı herhangi bir alanı zorla bastıran bir giriş maskeleme yapılandırması. Dördüncü nokta genellikle gözden kaçırılır: giriş maskeleme, onayın yerini tutmaz, ancak onay meşru araştırma için verildiğinde ve bir kullanıcı serbest metin alanına hassas verileri yapıştırdığında felaketin yerini tutar.
Web uygulaması
Web'de en temiz kalıp, CMP'nin onay değişikliği olayına abone olmak ve ardından analitik amacı false'dan true'ya geçtiğinde Hotjar snippet'ini koşullu olarak enjekte etmektir. İzleme kodunu async özelliği ayarlanmış şekilde enjekte etmek için document.createElement('script') kullanın ve sunucu doğrulamalı bir kullanıcı tanımlayıcısı varsa yalnızca hj('identify', userId, properties) çağıran bir onload işleyicisi ekleyin. Onay geri çekildiğinde hj('consent', 'revoke')'yi çağırın, document.cookie aracılığıyla tüm _hj çerezlerini sona erdirin ve kullanıcının önceki oturum kayıtları için Hotjar Data API'si aracılığıyla bir silme isteği gönderin. Hotjar'ı banner ile aynı render geçişinde tembel olarak başlatmayın — betik, açık bir onay için beklemek zorundadır ve onay, betik hiç çalışmadan önce bir zaman damgası ve onay dizesiyle kaydedilmelidir.
Giriş maskeleme ve hassas veri bastırma
Hotjar'ın oturum kaydedicisi üç maskeleme moduyla birlikte gelir: Suppress mode, şifre alanları ve data-hj-suppress özelliğiyle işaretlenmiş herhangi bir öğe için varsayılandır; Whitelist mode, yalnızca açıkça dahil edilmiş girişlerin kaydedildiği mod; ve Mask mode, tuş vuruşlarının yıldız işareti olarak kaydedildiği mod. GDPR'nin özel kategori kuralları ve CCPA'nın hassas kişisel bilgi tanımı kapsamında, sağlık bilgilerini, mali ayrıntıları, devlet tanımlayıcılarını, biyometrik verileri, hassas coğrafi konumu veya özel iletişimlerin içeriğini yakalayabilecek herhangi bir alan, kullanıcının onay durumundan bağımsız olarak Suppress modu kullanmalıdır. data-hj-suppress'i alan düzeyi yerine form düzeyinde ayarlamak en güvenli kalıptır — bir geliştirici daha sonra ayrı ayrı işaretlemeyi unuttukları yeni bir alan eklese bile tüm formu bastırır.
Tek sayfalı uygulamalar ve rota değişiklikleri
SPA'lar (React, Vue, Angular, Svelte) için Hotjar snippet'i varsayılan olarak yalnızca ilk sayfa yüklenmesine bağlanır. Sanal sayfa geçişlerini izlemek için bootstrap'in her rota değişikliğinde hj('stateChange', newPath)'i çağırması gerekir. Bu çağrı, Hotjar'ın o anda tuttuğu onay durumuna saygı gösterir, dolayısıyla CMP geçit mantığının çoğaltılması gerekmez — ancak rota değişikliği kendisi, onay sayfa görüntülemeleri arasında geri çekilmişse yeni bir betik yüklemesini tetiklememalidir.
Entegrasyonu doğrulama
Doğrulama adımı, düzenleyicilerin kontrol ettiği ve yayıncıların çoğunlukla atladığı şeydir. Doğru entegre edilmiş bir Hotjar dağıtımının sırayla dört testi geçmesi gerekir. Birincisi, banner gösterilmiş ancak henüz seçim yapılmamış olan yeni bir tarayıcı oturumu, static.hotjar.com, script.hotjar.com veya vars.hotjar.com'a sıfır istek ve document.cookie'de sıfır _hj çerezi üretmelidir. İkincisi, analitiği reddetmek bu durumu korumalıdır — betik yüklemesi, kayıt veya çerez yoktur. Üçüncüsü, analitiği kabul etmek bir betik yüklemesi ve doğru SameSite özelliklerine sahip beklenen _hjSessionUser ve _hjSession çerezleri üretmeli ve bir ısı haritası kaydı beş dakika içinde Hotjar panosunda görünmelidir. Dördüncüsü, sonradan onayı geri çekmek hemen daha fazla kaydı durdurmalı, çerezleri sona erdirmeli ve bir silme isteğini tetiklemelidir — gecikmeli temizlik bir bulgudur.
Denetim izi ayrıca önem taşır. Düzenleyiciler, yayıncının Hotjar hesabındaki belirli bir kayıt için kaydı oluşturan kullanıcının yakalama anında geçerli onay vermiş olduğunu kanıtlayabilmesini bekler. Standart kalıp, onay sürümünü ve zaman damgasını hj('identify', userId, { consent_version: 'v3', consent_ts: ts }) aracılığıyla Hotjar kullanıcı kaydında özel bir özellik olarak gömmektir. Bu, belirli bir kaydı belirli bir onay günlüğü girdisine izlenebilir kılar; bu EDPB'nin belirlediği standarttır ve yayıncıların nerede faaliyet gösterdiklerinden bağımsız olarak benimsemesi gereken standarttır. Doğru geçitlenmiş bir dağıtım, varsayılan olarak bastıran giriş maskeleme ve geri çekme sırasında etkinleşen bir silme yoluyla eşleştirildiğinde, Hotjar'ı bir uyum yükümlülüğü yerine araştırma yığınının savunulabilir bir parçası haline getiren şeydir.