Hvad er GDPR?

GDPR er en omfattende databeskyttelseslov, der giver EU-borgere kontrol over deres personoplysninger. Den gælder for enhver organisation — uanset hvor i verden — der behandler oplysninger om EU-borgere. Forordningen dækker indsamling, opbevaring, behandling og deling af data.

Grundlæggende principper i GDPR

Hvem gælder GDPR for?

GDPR gælder for enhver organisation, der behandler personoplysninger om personer i EU, uanset hvor organisationen er hjemmehørende. Dette inkluderer virksomheder i USA, Asien eller andre steder, der har EU-kunder, besøgende på hjemmesider eller medarbejdere.

Individuelle rettigheder under GDPR

• Ret til indsigt: Brugere kan anmode om en kopi af deres data.
• Ret til berigtigelse: Brugere kan rette unøjagtige data.
• Ret til sletning: "Retten til at blive glemt".
• Ret til dataportabilitet: Brugere kan overføre deres data til en anden tjeneste.
• Ret til indsigelse: Brugere kan gøre indsigelse mod visse typer behandling.
• Ret til begrænsning af behandling: Brugere kan begrænse, hvordan deres data bruges.

Sanktioner ved manglende overholdelse

GDPR og Digital Markets Act (DMA)

Siden 2024 fungerer EU's Digital Markets Act side om side med GDPR for at regulere, hvordan store platforme håndterer brugerdata. DMA kræver, at udpegede "gatekeepere" (som Google, Apple og Meta) indhenter eksplicit samtykke, inden de kombinerer brugerdata på tværs af tjenester. Dette har direkte konsekvenser for, hvordan samtykke indsamles og videresendes gennem reklamens forsyningskæde.

GDPR og cookies: Samtykkestyringens rolle

Ifølge GDPR og ePrivacy-direktivet skal hjemmesider indhente eksplicit samtykke, inden de placerer ikke-essentielle cookies. Det betyder, at et compliant cookie-banner ikke er valgfrit — det er et lovkrav. Centrale aspekter inkluderer:

• Ikke-essentielle cookies (analyse, marketing, annoncering) skal blokeres, indtil brugeren giver eksplicit samtykke
• Samtykke skal gives frit — ingen forud afkrydsede bokse eller cookie walls, der tvinger til accept
• Brugere skal kunne trække samtykke tilbage lige så nemt, som de gav det
• Samtykkeposter skal opbevares og være tilgængelige til revision

Google Consent Mode V2 og GDPR

Siden marts 2024 kræver Google, at hjemmesider, der viser annoncer i Det Europæiske Økonomiske Samarbejdsområde (EØS), bruger en Google-certificeret CMP og implementerer Consent Mode V2. Denne integration sikrer, at samtykkesignaler videresendes korrekt til Googles tjenester, hvilket muliggør compliant annoncering, mens målekapaciteten bevares gennem privatlivsbevarende modellering.

IAB TCF 2.3 og GDPR-overholdelse

IAB's Transparency and Consent Framework (TCF) version 2.3 giver en standardiseret måde at indsamle og kommunikere samtykke på tværs af det digitale reklamøkosystem. Brugen af en TCF 2.3-kompatibel CMP som FlexyConsent sikrer, at samtykkesignaler er korrekt formateret og videresendt til alle reklameleverandører i forsyningskæden.

Sådan overholder du GDPR i 2026

• Auditér dine dataindsamlings- og behandlingsaktiviteter
• Implementér en Google-certificeret CMP som FlexyConsent
• Sørg for, at din CMP understøtter IAB TCF 2.3 og Google Consent Mode V2
• Opret klare, tilgængelige privatlivs- og cookiepolitikker
• Aktiver anmodninger om adgang fra registrerede (DSAR)
• Træn dit team i databeskyttelsesansvar
• Udpeg en databeskyttelsesrådgiver (DPO), hvis det er påkrævet
• Implementér procedurer for underretning om databrud (72-timersreglen)
• Gennemfør regelmæssige konsekvensvurderinger vedrørende databeskyttelse (DPIA)