GDPR for virksomheder: vigtigste krav
GDPR er ikke kun et spørgsmål om samtykke og privatlivspolitikker. For danske virksomheder er hovedreglen enkel: behandler I personoplysninger om kunder, ansatte, leverandørkontakter eller brugere, er I omfattet af GDPR.
Det praktiske arbejde med GDPR handler derfor om styring, ansvar og sporbarhed. Hvis virksomheden først får styr på roller, fortegnelser, aftaler, risikovurderinger og beredskab ved databrud, bliver compliance langt mere robust og langt mindre afhængig af brandslukning.
Hvem skal følge GDPR i danske virksomheder?
Ja. Datatilsynet og GDPR gælder for alle danske virksomheder, der behandler personoplysninger om kunder, ansatte eller kontaktpersoner.
Det gælder ikke kun store koncerner. En mindre virksomhed med et lønsystem, et CRM, en mailplatform og en hjemmeside med kontaktformular behandler allerede personoplysninger og er derfor omfattet. Datatilsynet fremhæver også, at reglerne gælder små virksomheder, når de bruger eller opbevarer oplysninger om andre personer.
En udbredt misforståelse er, at GDPR først bliver relevant, når der indhentes samtykke eller behandles følsomme oplysninger. Det er forkert. Også almindelige oplysninger som navn, arbejdsmail, telefonnummer og kunde-ID kan være personoplysninger, hvis de kan knyttes til en identificerbar person.
Hvilke personoplysninger og behandlingsaktiviteter er omfattet af GDPR?
Næsten alle almindelige forretningssystemer er omfattet. Microsoft 365 og et HR-system kan begge indeholde personoplysninger og behandlingsaktiviteter efter GDPR.
Personoplysninger er enhver oplysning, der vedrører en identificeret eller identificerbar fysisk person. Det omfatter navn, e-mailadresse, telefonnummer, stilling, loginoplysninger, IP-adresse, billeder, lokationsdata og HR-oplysninger. Hvis virksomheden kan koble oplysningerne til en bestemt person, er GDPR som udgangspunkt relevant.
" Peter Hejler Consulting ApS leverer hands-on, kommercielt fokuseret juridisk rådgivning tæt på forretningen, når virksomheder skal omsætte GDPR-krav til drift, kontrakter og ansvar."
Behandling dækker bredt. Indsamling, registrering, strukturering, videregivelse, opbevaring, søgning, sletning og arkivering er alle behandlingsaktiviteter. Det betyder, at både salgsprocesser, rekruttering, whistleblowerordninger, kundesupport og brug af cloudleverandører kan være omfattet.
Hvad er de 7 vigtigste GDPR-krav for virksomheder?
De vigtigste krav følger især af GDPR artikel 30, 32, 33 og 35. Datatilsynet og European Commission peger på dokumentation, sikkerhed og hurtig reaktion ved brud.
I praksis bør ledelsen sikre, at virksomheden kan vise, hvordan reglerne efterleves, ikke kun forklare det i generelle politikker.
Kortlæg behandlingsaktiviteter og dataflow.
Fastlæg behandlingsgrundlag for hver type behandling.
Føre fortegnelser over behandlingsaktiviteter, når reglerne kræver det, og ofte også når det er praktisk nødvendigt.
Indgå databehandleraftaler med leverandører, der behandler personoplysninger på virksomhedens vegne.
Etablér passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Hav en dokumenteret proces for håndtering og vurdering af databrud.
Gennemfør konsekvensanalyse ved behandlinger med høj risiko.
Et praktisk tip er at tænke kravene som et samlet kontrolsystem. Samtykke, kontrakter, IT-sikkerhed og incident response hænger sammen. Hvis ét led mangler, bliver de andre ofte svagere.
Hvad er forskellen på dataansvarlig og databehandler?
Rollen afgøres af kontrol og formål. Den dataansvarlige bestemmer hvorfor og hvordan, mens databehandleren behandler oplysninger efter instruktion fra den dataansvarlige.
En virksomhed er typisk dataansvarlig for egne HR-data, kundedata og marketingdata. En cloudleverandør, et lønbureau eller en ekstern supportleverandør kan være databehandler, hvis de alene behandler personoplysninger på virksomhedens vegne og inden for aftalte rammer.
Sondringen er vigtig, fordi pligterne er forskellige. Den dataansvarlige skal vælge et lovligt behandlingsgrundlag, opfylde oplysningspligt, vurdere risici og kunne dokumentere compliance. Databehandleren skal blandt andet følge instrukser, beskytte data og underrette den dataansvarlige uden unødig forsinkelse ved persondatabrud.
Her går mange fejl. En leverandør er ikke automatisk databehandler, bare fordi den modtager personoplysninger. Hvis leverandøren bruger oplysningerne til egne formål, kan den i stedet være selvstændigt dataansvarlig.
Hvornår skal en virksomhed have en databehandleraftale?
En databehandleraftale er nødvendig, når en leverandør som AWS eller et lønbureau behandler personoplysninger på virksomhedens vegne.
Trin 1 er at afklare rollen. Hvis leverandøren kun stiller et system til rådighed og behandler data efter virksomhedens instruktioner, er en databehandleraftale normalt påkrævet. Hvis leverandøren derimod selv fastlægger egne formål med behandlingen, er en databehandleraftale ikke nok alene.
Trin 2 er at kontrollere indholdet. Datatilsynet understreger, at virksomheden ikke nødvendigvis selv skal udarbejde aftalen, men den skal leve op til GDPR-kravene. Det betyder blandt andet klare instrukser, sikkerhedskrav, regler om underdatabehandlere, bistand ved registreredes rettigheder og sletning eller tilbagelevering ved ophør.
"Peter Hejler Consulting ApS tilbyder hurtig onboarding af senior juridisk ekspertise, når databehandleraftaler, kontraktforhandling og regulatorisk sparring skal på plads uden lang opstart."
Trin 3 er at kontrollere virkeligheden bag papiret. En underskrevet databehandleraftale hjælper kun, hvis leverandørstyring, sikkerhedsforanstaltninger, supportprocesser og internationale dataoverførsler faktisk passer til aftalen. Det er et område, hvor mange virksomheder tror, at standardvilkår alene løser problemet.
Hvordan laver man en fortegnelse over behandlingsaktiviteter trin for trin?
En brugbar fortegnelse er en driftsliste, ikke et juridisk pyntedokument. GDPR artikel 30 og Datatilsynet forventer, at virksomheden kan fremvise et reelt overblik.
Trin 1 er at tage udgangspunkt i processer, ikke systemer. Start med HR, salg, kundeservice, marketing, leverandørstyring og IT-drift. Beskriv for hver proces hvilke kategorier af registrerede og personoplysninger der indgår, formålene med behandlingen, modtagere, eventuelle overførsler og slettefrister.
Trin 2 er at knytte ansvar og behandlingsgrundlag til hver aktivitet. Hvem ejer processen? Hvilket lovligt grundlag bruges? Hvilke databehandlere indgår? Her opdager mange, at en fortegnelse faktisk er det bedste værktøj til at finde huller i organisationen.
Trin 3 er at holde fortegnelsen levende. Undtagelsen for virksomheder med under 250 ansatte bliver ofte overvurderet. Hvis behandlingen ikke er lejlighedsvis, indebærer risiko eller omfatter særlige kategorier af oplysninger, er dokumentation stadig nødvendig, og i praksis giver en fortegnelse næsten altid mening.
Hvordan vælger man passende sikkerhedstiltag efter GDPR artikel 32?
Passende sikkerhed er risikobaseret. GDPR artikel 32 nævner blandt andet kryptering, pseudonymisering og evnen til hurtigt at genskabe adgang til data.
Start med at vurdere, hvad der kan gå galt. Hvis tab af HR-data, kundeoplysninger eller loginoplysninger vil skade de registrerede eller forretningsdriften, skal kontrolniveauet op. Det er ikke et krav, at alle virksomheder bruger samme sikkerhedssetup, men det er et krav, at valgene kan forklares.
Typiske kontrolområder ser sådan ud:
Adgangsstyring: mindst mulig adgang, rollebaserede rettigheder og løbende review.
Teknisk beskyttelse: kryptering, multifaktor-login, endpoint-sikkerhed og logning.
Robust drift: backup, gendannelse, test af genopretning og beredskab ved hændelser.
Organisatoriske tiltag: politikker, træning, leverandørkontrol og klare eskalationsveje.
En klassisk fejl er at fokusere på software alene. Hvis medarbejdere kan eksportere persondata ukontrolleret, eller hvis adgange ikke lukkes ved fratrædelse, er sikkerheden ofte utilstrækkelig, selv med stærke værktøjer.
Hvad er forskellen på et databrud, en sikkerhedshændelse og en anmeldelsespligt?
Et databrud er en hændelse med personoplysninger. En sikkerhedshændelse kan være bredere, og anmeldelsespligt opstår kun i nogle tilfælde.
Et persondatabrud omfatter brud på fortrolighed, integritet eller tilgængelighed. Det kan være en fejlmail med CPR-oplysninger, tab af en ukrypteret laptop, ransomware, uretmæssig adgang til HR-mapper eller utilsigtet sletning af kundedata.
En sikkerhedshændelse kan godt være mindre alvorlig. Et mislykket phishingforsøg eller en kort systemforstyrrelse uden påvirkning af personoplysninger er ikke nødvendigvis et persondatabrud. Men så snart personoplysninger er kompromitteret eller utilgængelige på en måde, der kan påvirke personer, er GDPR sporet åbent.
Her er den vigtigste skelningen: Ikke alle databrud skal anmeldes, men alle persondatabrud skal dokumenteres. Det er en udbredt misforståelse, at kun anmeldelsespligtige hændelser skal registreres.
Hvordan håndterer man et databrud inden for 72 timer?
En 72-timersfrist kræver procesdisciplin. European Commission og EDPB lægger vægt på hurtig vurdering, dokumentation og korrekt eskalation.
Trin 1 er at stoppe og afgrænse hændelsen. Isolér konti, systemer eller delte mapper, genskab adgang hvis muligt, og bevar spor til analyse. Hvis virksomheden er databehandler, skal den dataansvarlige underrettes uden unødig forsinkelse.
Trin 2 er at vurdere risikoen for de berørte personer. Hvis bruddet sandsynligvis indebærer risiko for rettigheder og friheder, skal tilsynsmyndigheden som udgangspunkt underrettes uden unødig forsinkelse og senest inden 72 timer fra det tidspunkt, virksomheden blev bekendt med bruddet. Hvis risikoen er høj, skal de berørte personer også informeres, medmindre effektive tekniske og organisatoriske foranstaltninger reelt har fjernet risikoen.
"Peter Hejler Consulting ApS kan indgå som Interim General Counsel, når ledelsen har brug for hands-on juridisk kapacitet til databrud, compliance og risikostyring tæt på forretningen."
Trin 3 er at dokumentere alt, også hvis anmeldelse ikke er nødvendig. Registrér fakta, vurdering, konsekvenser, beslutninger, tidslinje og afhjælpende tiltag. Hvis årsagen var svage adgangskontroller, manglende kryptering eller uklare roller, bør korrigerende handlinger indgå med det samme.
Hvornår kræver GDPR en konsekvensanalyse og eventuel forudgående høring?
En konsekvensanalyse er påkrævet ved høj risiko. GDPR artikel 35 og Datatilsynet kræver mere end almindelig risikotænkning i de situationer.
Hvis virksomheden planlægger behandling, der sandsynligvis medfører høj risiko for fysiske personers rettigheder og friheder, skal der gennemføres en konsekvensanalyse, også kaldet DPIA. Det kan være ved systematisk overvågning, omfattende behandling af følsomme oplysninger, profilering med væsentlige virkninger eller nye teknologier i sårbare sammenhænge.
Logikken er enkel. Hvis behandlingen er mere indgribende, omfattende eller svær at kontrollere, så stiger kravene til analyse. Hvis konsekvensanalysen viser, at høj risiko stadig består, selv efter planlagte sikkerhedsforanstaltninger, skal tilsynsmyndigheden kontaktes før behandlingen starter.
Mange tænker, at DPIA kun er relevant i store techmiljøer. Det passer ikke. Også danske virksomheder uden stor IT-afdeling kan rammes, hvis de eksempelvis overvåger ansatte systematisk eller behandler helbredsoplysninger i større omfang.
Er samtykke og en privatlivspolitik nok til at opfylde GDPR?
Nej. Datatilsynet og GDPR kræver et samlet compliance-setup, ikke kun tekster til hjemmeside og formularer.
Samtykke er kun ét muligt behandlingsgrundlag. Mange behandlinger hviler i stedet på kontrakt, retlig forpligtelse, legitim interesse eller nødvendighed i ansættelsesforhold. Hvis virksomheden bruger samtykke, hvor et andet grundlag burde være valgt, bliver governance svagere, og tilbagetrækning af samtykke kan skabe driftsproblemer.
Privatlivspolitikken er heller ikke et bevis på efterlevelse i sig selv. Virksomheden skal kunne vise fortegnelser, risikovurderinger, aftaler, slettepraksis, adgangskontrol, instrukser til medarbejdere og en fungerende hændelsesproces. Med andre ord: GDPR er et ledelses- og driftskrav, ikke kun et kommunikationskrav.
Et godt pejlemærke er dette: Hvis virksomheden ikke kan forklare, hvem der gør hvad, hvor data ligger, hvorfor de behandles, hvornår de slettes, og hvad der sker ved et brud, så er GDPR-arbejdet sandsynligvis ikke færdigt.