GDPR står for General Data Protection Regulation (databeskyttelsesforordningen), en EU-lov om databeskyttelse, der trådte i kraft i maj 2018. Den ændrede grundlæggende, hvordan virksomheder håndterer persondata på sociale medier og digitale platforme. Kernereglen er enkel: Du skal have eksplicit samtykke fra brugere, før du indsamler, opbevarer eller behandler deres personlige data — herunder cookies, pixel-data og adfærdssporing. Hvis du kører kampagner på sociale medier rettet mod personer i EU eller Storbritannien, gælder GDPR for dig, selvom din virksomhed er baseret andre steder.
Det er her, de fleste i marketing mærker effekten. Remarketing-kampagner — de annoncer, der følger brugere fra din hjemmeside til Facebook eller Instagram — kræver nu dokumenteret samtykke. Du kan ikke bare bruge Facebook-pixlen til at spore EU-besøgende uden deres eksplicitte accept. Det samme gælder for lookalike-målgrupper og brugerdefinerede målgrupper (custom audiences) bygget på kundedata. Derudover skal du vise en privatlivspolitik og et cookie-samtykkebanner, før besøgende lander på dit site, hvilket skaber ekstra friktion i din funnel. Mange marketingfolk har oplevet højere drop-off-rater, da de besøgende skal acceptere vilkår, før de foretager sig noget.
Ja. Dette er en almindelig misforståelse. GDPR gælder for enhver virksomhed, der indsamler data fra personer i EU eller Storbritannien, uanset hvor dit hovedkvarter ligger. Hvis du kører annoncer på platforme som Facebook, Instagram, TikTok eller LinkedIn, og disse annoncer når et EU-publikum, er du underlagt GDPR. Loven har ingen geografiske undtagelser — den handler om at beskytte EU-borgeres data, ikke om hvor din virksomhed opererer.
At antage, at samtykke sker automatisk. Mange virksomheder behandler cookie-bannere som et juridisk flueben uden reelt at indhente en opt-in-aftale. Andre formår ikke at dokumentere samtykke korrekt eller efterkommer ikke brugernes anmodninger om at slette persondata. En anden hyppig fejl er at indsamle data uden et klart juridisk grundlag — du skal enten have eksplicit samtykke eller en legitim forretningsinteresse, som er blevet kommunikeret til brugerne. Vag formulerede privatlivspolitikker og skjul af oplysninger om databrug i tætpakket juridisk tekst overtræder også ånden i GDPR, som kræver gennemsigtighed og klarhed.
Google Analytics og lignende værktøjer kan stadig spore EU-besøgende, men kun hvis de har accepteret dit cookie-samtykke. Det betyder, at dine data bliver ufuldstændige — du ser muligvis ikke det fulde billede af, hvordan trafikken fra sociale medier opfører sig. Nogle marketingfolk rapporterer om betydelige fald i analytics-data fra EU efter implementeringen af GDPR. Afvejningen er: Du får renere og mere compliant data fra brugere, der reelt har tilmeldt sig, men du mister synlighed over for de besøgende, der har takket nej til samtykke. Dette kan gøre det sværere at beregne ROI på sociale medier for målgrupper i EU.
Tilbage til ordlisten