Hotjar ہیٹ میپ اور سیشن ریکارڈنگ کوکی رضامندی انضمام گائیڈ: ناشرین کے لیے 2026 پلے بک

Hotjar ٹولنگ اسٹیک میں ایک منفرد مقام رکھتا ہے۔ یہ Google Analytics جیسا ویب اینالیٹکس پلیٹ فارم نہیں ہے، نہ Amplitude یا Mixpanel جیسا پروڈکٹ اینالیٹکس پلیٹ فارم ہے، اور نہ ہی ٹیگ مینیجر ہے۔ یہ ایک یوزر ایکسپیریینس ریسرچ ٹول ہے جو خاص طور پر یہ ریکارڈ کرنے کے لیے موجود ہے کہ انفرادی صارفین کسی صفحے پر کیا کرتے ہیں — وہ اپنا ماؤس کہاں حرکت دیتے ہیں، کیا کلک کرتے ہیں، کہاں اسکرول کرتے ہیں، کہاں رکتے ہیں، اور سیشن ریکارڈنگ کی صورت میں، انہوں نے بالکل کیا ٹائپ کیا اور اسکرین پر کیا رینڈر ہوا۔ وہ باریک بینی ہی پروڈکٹ ہے۔ یہی وجہ ہے کہ ریگولیٹرز نے سیشن ری پلے کو رویاتی پروسیسنگ کے اعلی خطرے والے زمروں میں سے ایک کے طور پر نشان زد کیا ہے، اور کیوں لاپرواہ Hotjar تعیناتی ایک بصورت دیگر موافق ویب سائٹ کے غیر موافق ہونے کا سب سے آسان طریقہ ہے۔ CNIL، Garante اور EDPB سبھی نے سیشن ری پلے رویے کو خاص طور پر نشانہ بناتی ہوئی گائڈنس شائع کی ہے، اور 2026 EDPB کوکی بینر ٹاسک فورس اسے ایک ترجیحی زمرے کے طور پر دیکھ رہی ہے۔ اچھی خبر یہ ہے کہ Hotjar رضامندی پہلے تعیناتی کے لیے اس زمرے میں بہتر انجینیرڈ ٹولز میں سے ایک ہے — بشرطیکہ ناشر دراصل موجود کنٹرولز استعمال کرے۔

Hotjar کو واضح رضامندی کی ضرورت کیوں ہے

Hotjar کا جمع کرنے کا پروفائل ہی وہ چیز ہے جو ہر اہم فریم ورک میں رضامندی کی ذمہ داریاں پیدا کرتی ہے۔ ڈیفالٹ ابتداء پر Hotjar ٹریکنگ اسکرپٹ صفحہ لوڈ ہونے کے چند ملی سیکنڈوں کے اندر براؤزر میں کم سے کم تین فرسٹ پارٹی کوکیز لکھتی ہے — _hjSessionUser_{siteId}، _hjSession_{siteId}، اور سپریشن اور آنے والے ذریعے کی کوکیز کا ایک سلسلہ۔ پھر اسکرپٹ کرسر کوآرڈینیٹس، کلک کوآرڈینیٹس، اسکرول پوزیشن، ویو پورٹ سائز، اور جب سیشن ریکارڈنگ فعال ہو، بیس لائن کے مقابلے میں مکمل رینڈرڈ DOM کا مسلسل ریکارڈ اسٹریم کرنا شروع کر دیتی ہے۔

ePrivacy ڈائریکٹو کے آرٹیکل 5(3) کے تحت ان کوکیز میں سے ہر ایک ایک اسٹوریج اور ایکسیس آپریشن ہے جس کے لیے EEA، UK، سوئٹزرلینڈ اور کسی بھی دائرہ اختیار جہاں یہی معیار اپنایا گیا ہو میں پیشگی، آزادانہ طور پر دی گئی، مخصوص، مطلع اور غیر مبہم رضامندی درکار ہے۔ GDPR کے تحت رویاتی بہاؤ ذاتی ڈیٹا کی پروسیسنگ تشکیل دیتا ہے کیونکہ کرسر ٹریس، IP ایڈریس، ڈیوائس فنگر پرنٹ، اور سیشن شناخت کنندہ کا مجموعہ کسی فرد کو الگ کرنے کے لیے کافی ہے۔ CCPA اور CPRA کے تحت وہی جمع کاری فروخت یا اشتراک کے طور پر شمار ہوتی ہے جب تک ناشر کے پاس Hotjar کے ساتھ متعلقہ سروس پرووائیڈر کنٹریکٹ نہ ہو — جو Hotjar اپنے CCPA موافق DPA کے ذریعے پیش کرتا ہے، لیکن صرف اسی وقت نافذ ہوتا ہے جب انضمام درست طریقے سے ترتیب دیا گیا ہو۔ EDPB کی سیشن ری پلے گائڈنس کے تحت معیار اور بھی اونچا ہے: ری پلے کو ایک مخصوص، جائز UX ریسرچ مقصد سے جوڑا جانا چاہیے، برقراری کی مدت کم سے کم ضروری ہونی چاہیے، اور ڈیٹا سبجیکٹ کو نہ صرف یہ بتانا ضروری ہے کہ ریکارڈنگز موجود ہیں بلکہ یہ بھی کہ ان کا اپنا سیشن کسی تجزیہ کار کے ذریعے ری پلے کیا جا سکتا ہے۔

Hotjar رضامندی سے پہلے کیا جمع کرتا ہے — اور کیا دبایا جانا چاہیے

سب سے عام نفاذ کی غلطی وہ ہے جو Hotjar کے اپنے کوئک اسٹارٹ کے ساتھ آتی ہے: ٹریکنگ اسکرپٹ کو صفحے کے <head> میں براہ راست پیسٹ کرنا۔ یہ کام کرتا ہے، لیکن یہ کوکی بینر کے رینڈر ہونے سے پہلے Hotjar لوڈ کر دیتا ہے، جس کا مطلب ہے کہ کوکیز سیٹ ہوتی ہیں اور رویاتی ریکارڈنگ پہلے ہی پیج ویو پر شروع ہو جاتی ہے — اس سے قطع نظر کہ صارف بعد میں کیا فیصلہ کرتا ہے۔ ہر EU ریگولیٹر جس نے اس پیٹرن پر فیصلہ سنایا ہے وہ ایک ہی نتیجے پر پہنچا ہے: رضامندی سے پہلے سیٹ کی گئی کوکیز غیر قانونی ہیں، اور ناشر ذمہ دار ہے۔

لہذا ایک موافق انضمام کو Hotjar اسکرپٹ کا بالکل لوڈ ہونا روکنا چاہیے جب تک متعلقہ رضامندی زمرہ دیا نہ گیا ہو۔ اسے کرنے کا سب سے صاف طریقہ Hotjar سنپیٹ کو ایک رضامندی گیٹڈ <script> ٹیگ کے اندر لپیٹنا ہے جسے CMP صرف صارف کے اینالیٹکس یا پروڈکٹ ریسرچ زمرے میں آپٹ ان کرنے کے بعد انجیکٹ کرتا ہے۔ اگر اسکرپٹ کو ٹیگ مینیجر کے ذریعے لوڈ کیا جاتا ہے تو اس کا مساوی ٹرگر کو All Pages کی بجائے کنسینٹ گرانٹڈ ایونٹ پر سیٹ کرنا ہے۔ Hotjar کی اپنی دستاویزات اب اس پیٹرن کی واضح طور پر سفارش کرتی ہیں، اور پلیٹ فارم ایک hj('consent', 'grant') API پیش کرتا ہے ان صورتوں کے لیے جہاں اسکرپٹ موجود ہونا ضروری ہو لیکن رضامندی ریکارڈ ہونے تک غیر فعال رہے۔

Hotjar جو کوکیز اور اسٹوریج لکھتا ہے

Hotjar Tracking Code 6.x مندرجہ ذیل شناخت کنندگان لکھتا ہے، یہ سبھی غیر ضروری ہیں اور رضامندی کی ضرورت ہے: _hjSessionUser_{siteId} 365 دن کی میعاد کے ساتھ جس میں یوزر شناخت کنندہ موجود ہے، _hjSession_{siteId} 30 منٹ کی میعاد کے ساتھ جس میں سیشن شناخت کنندہ موجود ہے، _hjFirstSeen، _hjIncludedInSessionSample_{siteId}، _hjAbsoluteSessionInProgress، اور جب سروے یا فیڈ بیک ویجٹس فعال ہوں تو کمپین اٹریبیوشن کوکیز کا ایک سلسلہ۔ سیشن ریکارڈنگز خود Hotjar کے سرورز پر محفوظ ہوتی ہیں اور سیشن شناخت کنندہ سے منسلک ہوتی ہیں — رضامندی واپس لینے کے ساتھ Hotjar کی API یا ان پروڈکٹ یوزر ڈیلیشن فلو کے ذریعے ڈیلیشن درخواست بھی بھیجنی ہوگی۔

Hotjar کو رضامندی کے فریم ورکس سے ملانا

Hotjar IAB TCF یا IAB گلوبل پرائیویسی پلیٹ فارم کے ساتھ مقامی طور پر ضم نہیں ہوتا۔ یہ کوئی ایڈ ٹیک وینڈر نہیں ہے اور کبھی ایسا بننے کا ارادہ نہیں تھا۔ تاہم یہ analytics_storage سگنل کے ذریعے Google Consent Mode v2 کے ساتھ ضم ہوتا ہے، اور اپنی مقامی رضامندی API پیش کرتا ہے جسے کوئی بھی CMP بائنڈ کر سکتا ہے۔ وہ پیٹرن جو ریگولیٹر کے جائزے سے گزرتا ہے ہر Hotjar صلاحیت کو ایک الگ رضامندی گیٹ کے طور پر دیکھتا ہے۔

وہ انضمام پیٹرن جو کام کرتا ہے

ریفرنس تعیناتی کے چار حصے ہیں: ایک CMP جو ریل ٹائم رضامندی تبدیلی ایونٹ پیش کرتا ہے، ایک تاخیری اسکرپٹ لوڈر جو صرف اینالیٹکس رضامندی ملنے کے بعد Hotjar سنپیٹ انجیکٹ کرتا ہے، ایک سیشن ریکارڈنگ سپریشن لیئر جو ریکارڈنگ کو ڈیفالٹ آف رکھتی ہے جب تک الگ گیٹ نہ کھلے، اور ایک ان پٹ ماسکنگ کنفیگریشن جو کسی بھی ایسی فیلڈ کو سختی سے دباتی ہے جسے ریگولیٹر حساس سمجھے چاہے رضامندی دی گئی ہو۔ چوتھے نکتے کو اکثر نظر انداز کیا جاتا ہے: ان پٹ ماسکنگ رضامندی کا متبادل نہیں ہے، لیکن یہ تباہی کا متبادل ہے جب جائز تحقیق کے لیے رضامندی دی گئی ہو اور صارف اتفاقاً فری ٹیکسٹ فیلڈ میں حساس ڈیٹا چسپاں کر دے۔

ویب نفاذ

ویب پر سب سے صاف پیٹرن CMP کے رضامندی تبدیلی ایونٹ کو سبسکرائب کرنا، پھر اینالیٹکس مقصد کے false سے true ہونے پر مشروطی طور پر Hotjar سنپیٹ انجیکٹ کرنا ہے۔ ٹریکنگ کوڈ کو async اٹریبیوٹ سیٹ کے ساتھ انجیکٹ کرنے کے لیے document.createElement('script') استعمال کریں، اور ایک آن لوڈ ہینڈلر منسلک کریں جو hj('identify', userId, properties) صرف اسی صورت کال کرے جب سرور کی تصدیق شدہ یوزر شناخت کنندہ موجود ہو۔ جب رضامندی واپس لی جائے، hj('consent', 'revoke') کال کریں، document.cookie کے ذریعے تمام _hj کوکیز کی میعاد ختم کریں، اور صارف کی پچھلی سیشن ریکارڈنگز کے لیے Hotjar Data API کے ذریعے ڈیلیشن درخواست بھیجیں۔ بینر کے ساتھ ایک ہی رینڈر پاس میں Hotjar کو آلسائی طور پر ابتداء نہ کریں — اسکرپٹ کو واضح گرانٹ کا انتظار کرنا چاہیے، اور اسکرپٹ کے فائر ہونے سے پہلے گرانٹ کو ٹائم اسٹیمپ اور رضامندی سٹرنگ کے ساتھ ریکارڈ کیا جانا چاہیے۔

ان پٹ ماسکنگ اور حساس ڈیٹا سپریشن

Hotjar کا سیشن ریکارڈر تین ماسکنگ موڈز کے ساتھ آتا ہے: Suppress mode، جو پاسورڈ فیلڈز اور کسی بھی ایلیمنٹ کے لیے ڈیفالٹ ہے جسے data-hj-suppress اٹریبیوٹ سے نشان زد کیا گیا ہو؛ Whitelist mode، جہاں صرف واضح طور پر آپٹ ان کردہ ان پٹ ریکارڈ کیے جاتے ہیں؛ اور Mask mode، جہاں کی اسٹروکس ستاروں کے طور پر ریکارڈ کیے جاتے ہیں۔ GDPR کے خصوصی زمرے کے قواعد اور CCPA کی حساس ذاتی معلومات کی تعریف کے تحت، کوئی بھی فیلڈ جو صحت کی معلومات، مالی تفصیلات، سرکاری شناخت کنندگان، بائیومیٹرک ڈیٹا، درست جغرافیائی مقام، یا نجی مواصلات کے مندرجات کیپچر کر سکتی ہو اسے صارف کی رضامندی کی حالت سے قطع نظر Suppress mode استعمال کرنا ضروری ہے۔ فیلڈ سطح کی بجائے فارم سطح پر data-hj-suppress سیٹ کرنا سب سے محفوظ پیٹرن ہے — یہ پورے فارم کو دباتا ہے چاہے کوئی ڈویلپر بعد میں ایک نئی فیلڈ شامل کرے جسے وہ انفرادی طور پر نشان زد کرنا بھول جائے۔

سنگل پیج ایپلیکیشنز اور روٹ تبدیلیاں

SPAs (React, Vue, Angular, Svelte) کے لیے Hotjar سنپیٹ ڈیفالٹ طور پر صرف ابتدائی صفحہ لوڈ سے بندھا ہوتا ہے۔ ورچوئل صفحہ ٹرانزیشنز ٹریک کرنے کے لیے بوٹ اسٹریپ کو ہر روٹ تبدیلی پر hj('stateChange', newPath) کال کرنا ضروری ہے۔ یہ کال اس وقت Hotjar کی جو بھی رضامندی حالت ہو اسے مانتی ہے، اس لیے CMP گیٹنگ لاجک کو نقل کرنے کی ضرورت نہیں — لیکن روٹ تبدیلی کو خود ایک تازہ اسکرپٹ لوڈ ٹرگر نہیں کرنا چاہیے اگر صفحہ ویوز کے درمیان رضامندی واپس لی گئی ہو۔

انضمام کی تصدیق

تصدیق کا مرحلہ وہ ہے جو ریگولیٹرز چیک کرتے ہیں اور ناشر اکثر چھوڑ دیتے ہیں۔ ایک صحیح انضمام شدہ Hotjar تعیناتی کو ترتیب سے چار ٹیسٹ پاس کرنے ضروری ہیں۔ پہلا، بینر دکھائے ساتھ ایک تازہ براؤزر سیشن لیکن کوئی انتخاب نہ کیا گیا ہو static.hotjar.com، script.hotjar.com، یا vars.hotjar.com پر صفر درخواستیں پیدا کرے، اور document.cookie میں صفر _hj کوکیز۔ دوسرا، اینالیٹکس کو رد کرنے سے وہ حالت برقرار رہے — کوئی اسکرپٹ لوڈ نہیں، کوئی ریکارڈنگ نہیں، کوئی کوکیز نہیں۔ تیسرا، اینالیٹکس قبول کرنے سے ایک اسکرپٹ لوڈ اور درست SameSite اٹریبیوٹس کے ساتھ متوقع _hjSessionUser اور _hjSession کوکیز پیدا ہوں، اور پانچ منٹ کے اندر Hotjar ڈیش بورڈ میں ایک ہیٹ میپ ریکارڈنگ ظاہر ہو۔ چوتھا، بعد میں رضامندی واپس لینے سے فوری طور پر مزید ریکارڈنگ رک جائے، کوکیز کی میعاد ختم ہو، اور ڈیلیشن درخواست ٹرگر ہو — تاخیر سے صفائی ایک دریافت ہے۔

آڈٹ ٹریل الگ اہمیت رکھتا ہے۔ ریگولیٹرز توقع کرتے ہیں کہ ناشر Hotjar اکاؤنٹ میں کسی بھی ریکارڈنگ کے لیے ثابت کر سکے کہ اسے بنانے والے صارف نے کیپچر کے وقت درست رضامندی دی تھی۔ معیاری پیٹرن hj('identify', userId, { consent_version: 'v3', consent_ts: ts }) کے ذریعے Hotjar یوزر ریکارڈ پر رضامندی ورژن اور ٹائم اسٹیمپ کو کسٹم اٹریبیوٹ کے طور پر ایمبیڈ کرنا ہے۔ یہ کسی بھی مخصوص ریکارڈنگ کو ایک مخصوص رضامندی لاگ اندراج تک قابل ردعمل بناتا ہے، جو وہ معیار ہے جو EDPB نے مقرر کیا ہے اور جو معیار ناشروں کو قطع نظر ان کے آپریشن کے مقام سے اپنانا چاہیے۔ ایک صحیح گیٹڈ تعیناتی، ان پٹ ماسکنگ کے ساتھ مل کر جو ڈیفالٹ طور پر دباتی ہے اور ایک ڈیلیشن راستہ جو واپسی پر فعال ہوتا ہے، وہی چیز ہے جو Hotjar کو موافقت کی ذمہ داری کی بجائے ریسرچ اسٹیک کا قابل دفاع حصہ بناتی ہے۔

← بdelays delays سب پڑھیں →