Skip to main content
Uncategorized @da

GDPR compliance i EU

By november 25, 2025No Comments

GDPR compliance i EU

GDPR-compliance handler i sin kerne om at behandle persondata lovligt, sikkert og dokumenterbart – og at kunne vise det over for både kunder, medarbejdere og tilsynsmyndigheder. Det er ikke en mappe i SharePoint, men en måde at arbejde på: klare formål, rigtige hjemler, god informationspraksis, passende sikkerhed og løbende dokumentation. 

Hvem er omfattet og hvornår?

Reglerne gælder for organisationer, der behandler personoplysninger om registrerede i EU/EØS, uanset om virksomheden selv ligger i eller uden for EU. Det betyder, at både nordiske virksomheder og globale aktører, der sælger til EU-borgere, skal kunne forklare, hvorfor de indsamler data, hvordan de beskytter dem, og hvor længe de gemmer dem. Har I grænseoverskridende behandling, kan I få en “lead” tilsynsmyndighed via one-stop-shop-mekanismen, men nationale forskelle i sprog og praksis spiller stadig ind. 

Hvad betyder “one-stop-shop” og en “lead” tilsynsmyndighed?

Hvis jeres behandling af persondata er grænseoverskridende, får I som udgangspunkt én primær tilsynsmyndighed (en lead supervisory authority, LSA), der koordinerer sagen på tværs af EU. Det gør dialogen enklere, fordi LSA er jeres hovedkontakt i sager om den pågældende behandling. gdpr-info.eu 

Hvornår har I en LSA?

Når I enten (a) er etableret i flere medlemslande og behandler data på tværs, eller (b) en enkelt etablering behandler data, der i væsentlig grad påvirker registrerede i flere lande. Det er GDPR’s definition af “grænseoverskridende behandling”. edpb.europa.eu 

Hvordan afgøres, hvilken myndighed der er “lead”?

 LSA er tilsynet dér, hvor I har jeres “hovedetablering” for den konkrete behandling—typisk stedet, hvor de vigtigste beslutninger om formål og midler træffes, og hvor de kan implementeres. Det kan variere pr. behandling (fx kan marketing have én LSA, HR en anden), afhængigt af hvor beslutningerne reelt tages og gennemføres. edpb.europa.eu+1 

Hvad ændrer one-stop-shop ikke på? 

  • Lokale myndigheder er stadig med. Den “lead” myndighed skal samarbejde med de øvrige berørte tilsyn (art. 60-proceduren) og håndtere deres indsigelser, før der træffes afgørelse. gdpr-text.com 
  • Sprog og særregler gælder stadig. I skal stadig kommunikere forståeligt til registrerede på relevant lokalt sprog og respektere nationale tillægsregler/praksis (fx ID-numre eller kameraovervågning), selvom I har én LSA. autoriteitpersoonsgegevens.nl 

 

Hvordan ser “god” compliance ud i hverdagen?

Organisationer, der lykkes, gør det let at gøre det rigtige: Formål og lovligt grundlag er besluttet på forhånd for de vigtigste processer (rekruttering, kundeservice, marketing, HR). Privatlivstekster er forståelige og på det sprog, modtagerne faktisk læser. Data minimeres ved indsamling og gemmes kun så længe, formålet kræver. Sikkerheden matcher risikoen for de registrerede – fra adgangsstyring og logning til kryptering og beredskab ved hændelser. Og når nogen beder om indsigt eller sletning, findes der et gennemprøvet svarspor, så fristerne kan overholdes. 

Leverandører, overførsler og ansvar

Størstedelen af persondata løber igennem eksterne systemer. En stærk databehandleraftale gør forskellen: hvilke underdatabehandlere bruges, hvilke sikkerhedskrav gælder, hvordan foregår sletning ved ophør, og kan I føre tilsyn? Flyttes data uden for EØS, skal overførslen have et gyldigt grundlag (fx standardkontraktbestemmelser) og en konkret vurdering af forholdene i modtagerlandet. Pointen er enkel: forstå datakæden hele vejen ud – og skriv ned, hvad I har vurderet og besluttet. 

Beviset på compliance

GDPR bygger på ansvarlighed: I skal kunne dokumentere, at I gør det, I siger. Derfor er fortegnelser over behandlingsaktiviteter, beslutningsnotater (fx interesseafvejninger og konsekvensanalyser), log for sletninger og håndteringen af rettigheder ikke “nice to have”, men kernen i beviset. Træning og awareness hører med: alle, der arbejder med data, skal kende spillereglerne og I skal kunne vise, at de gør det. 

Hvorfor det betaler sig

Ud over at reducere bøderisiko giver solid GDPR-praksis højere tillid hos kunder og kandidater, færre friktionspunkter i salg og udbud, samt kortere audits og due diligence-processer. Det er en driftsevne: hurtigere at svare ordentligt, nemmere at onboarde nye systemer, lettere at sove godt. 

 

Træn hele organisationen – hurtigt

Grapes GDPR Kursus giver alle en fælles forståelse på ca. 30 minutter – på dansk og engelsk – i 7 fokuserede moduler udviklet sammen med Hopp & Partners. 

 

SE MERE om GDPR