GDPR står for General Data Protection Regulation (personvernforordningen), en EU-lov for databeskyttelse som trådte i kraft i mai 2018. Den endret fundamentalt hvordan bedrifter håndterer personopplysninger på sosiale medier og digitale plattformer. Kjerneregelen er enkel: du trenger eksplisitt samtykke fra brukere før du samler inn, lagrer eller behandler deres personopplysninger – inkludert informasjonskapsler (cookies), pikseldata og atferdssporing. Hvis du kjører kampanjer i sosiale medier rettet mot noen i EU eller EØS (herunder Norge), gjelder GDPR for deg, selv om selskapet ditt er basert andre steder.
Det er her de fleste markedsførere merker effekten mest. Remarketing-kampanjer – de annonsene som følger brukere fra nettstedet ditt til Facebook eller Instagram – krever nå dokumentert samtykke. Du kan ikke bare bruke Facebook-pikselen til å spore besøkende uten deres uttrykkelige samtykke. Det samme gjelder for speilpublikum (lookalike audiences) og tilpassede publikum bygget på kundedata. I tillegg må du vise en personvernerklæring og en samtykkebanner for informasjonskapsler før besøkende lander på siden din, noe som skaper ekstra friksjon i trakten. Mange markedsførere har opplevd høyere frafall siden besøkende må godta vilkår før de foretar seg noe.
Ja. Dette er en vanlig misforståelse. GDPR gjelder for alle virksomheter som samler inn data fra personer bosatt i EU eller EØS, uavhengig av hvor hovedkontoret ditt ligger. Hvis du kjører annonser på plattformer som Facebook, Instagram, TikTok eller LinkedIn og disse når et europeisk publikum, er du underlagt GDPR. Loven har ingen geografiske unntak – den handler om å beskytte dataene til europeiske borgere, ikke om hvor selskapet ditt opererer.
Å anta at samtykke skjer automatisk. Mange bedrifter behandler cookie-bannere som en juridisk avkrysning uten å faktisk innhente et aktivt samtykke. Andre unnlater å dokumentere samtykke ordentlig eller respekterer ikke brukernes forespørsler om å slette personopplysninger. En annen hyppig feil er å samle inn data uten et klart rettslig grunnlag – du trenger enten eksplisitt samtykke eller en berettiget interesse som er kommunisert til brukerne. Utydelige personvernerklæringer og det å skjule informasjon om databruk i tett juridisk tekst bryter også med ånden i GDPR, som krever åpenhet og klarhet.
Google Analytics og lignende verktøy kan fortsatt spore besøkende, men bare hvis de har godkjent samtykke for informasjonskapsler. Dette betyr at dataene dine blir ufullstendige – du ser kanskje ikke hele bildet av hvordan trafikken fra sosiale medier oppfører seg. Enkelte markedsførere rapporterer om betydelige fall i analytics-data etter innføringen av GDPR. Avveiningen er at du får renere og mer samsvarende data fra brukere som faktisk har takket ja, men du mister synlighet for de som takket nei. Dette kan gjøre det vanskeligere å beregne ROI i sosiale medier for det europeiske markedet.
Tilbake til ordlisten