GDPR (General Data Protection Regulation) er EU's persondataforordning, der regulerer, hvordan virksomheder indsamler, opbevarer og behandler persondata. For digital marketing sætter GDPR strenge krav til tracking, e-mail marketing og datahåndtering.
GDPR — General Data Protection Regulation — er EU's forordning om beskyttelse af persondata, der trådte i kraft den 25. maj 2018. Den giver borgere i EU kontrol over deres personlige data og stiller krav til, at virksomheder behandler persondata lovligt, rimeligt og transparent. For virksomheder der driver digital marketing, har GDPR fundamentalt ændret, hvordan I indsamler, bruger og opbevarer kundedata.
For digital marketing har GDPR konsekvenser på flere niveauer: Cookies og tracking — I må ikke sætte tracking-cookies (Google Analytics, Facebook Pixel) uden brugerens aktive samtykke via en cookie consent-løsning. E-mail marketing — I skal have eksplicit opt-in samtykke og dokumentere det. Kundedata — I skal kunne redegøre for, hvilke persondata I har, hvor de er, og hvorfor I har dem. Ret til sletning — Brugere kan kræve, at I sletter alle deres data.
Konsekvenserne af GDPR-overtrædelser kan være markante. Bøder kan udgøre op til 4 % af virksomhedens globale årlige omsætning eller 20 mio. EUR — det højeste beløb gælder. I Danmark fører Datatilsynet tilsyn med GDPR, og de har de seneste år udstedt flere bøder og påbud til danske virksomheder for ulovlig tracking, manglende samtykke og utilstrækkelig datasikkerhed.
For at overholde GDPR i jeres digital marketing skal I implementere: en cookie consent-platform (f.eks. Cookiebot eller CookieYes) der indhenter samtykke før tracking, double opt-in for e-mail marketing, en opdateret privatlivspolitik, databehandleraftaler med alle leverandører der håndterer persondata (Google, Meta, e-mail platform etc.), og procedurer for håndtering af dataanmodninger fra brugere. Det er en løbende forpligtelse, ikke en engangsopgave.
GDPR har markant ændret det digitale marketing-landskab i Danmark og EU. Cookie consent-rater i Danmark ligger typisk på 70-85 % (andelen af brugere der accepterer tracking-cookies), hvilket betyder at 15-30 % af jeres trafik ikke trackes i Google Analytics eller Facebook Pixel. For at kompensere bør I implementere cookieless tracking-alternativer, server-side tracking (Google Tag Manager server-side, Meta Conversions API), og consent mode v2 i Google Ads/Analytics der bruger modelleret data til at estimere konverteringer fra brugere der afviser cookies. Datatilsynet har de seneste år udstedt bøder og påbud til flere danske virksomheder — bl.a. for ulovlig brug af Google Analytics uden tilstrækkeligt samtykke, manglende databehandleraftaler og utilstrækkelig sikkerhed. Et årligt GDPR-compliance-review af jeres digitale opsætning er en stærk anbefaling for alle danske virksomheder.
GDPR i praksis
En dansk webshop implementerer GDPR-compliance: De installerer Cookiebot som cookie consent-løsning, der blokerer Google Analytics og Facebook Pixel indtil brugeren giver samtykke. E-mail signup'en ændres til double opt-in med tydelig information om, hvad man tilmelder sig. De opretter databehandleraftaler med Shopify, Klaviyo, Google og Meta. Og de implementerer en procedure, så kunder der anmoder om sletning, fjernes fra alle systemer inden for 30 dage.
OFTE STILLEDE SPØRGSMÅL