Skip to main content
Uncategorized @da

GDPR i Danmark vs. EU

By november 25, 2025No Comments

GDPR i Danmark vs. EU’s GDPR – sådan hænger det sammen

Kort fortalt: EU’s GDPR er grundreglerne, der gælder ens i hele EU/EØS. I Danmark suppleres de af Databeskyttelsesloven, som præciserer og udfylder visse områder – fx brugen af CPR-numre og behandling af oplysninger om strafbare forhold

Hvad er “EU-delene” – det, der altid gælder?

Det fælles EU-sæt: definitioner (personoplysninger, dataansvarlig/databehandler), principper (lovlighed, gennemsigtighed, dataminimering, m.fl.), de seks behandlingsgrundlag, registreredes rettigheder, sikkerhedskrav, databrud m.m. Det er rammen, alle medlemslande skal følge. 

  • Personoplysninger: enhver info, der kan knyttes til en person (navn, e-mail, IP, stilling, lønoplysninger osv.). 
  • Behandling: alle handlinger med data (indsamling, lagring, brug, deling, sletning). 
  • Dataansvarlig / Databehandler: den der bestemmer formål og midler vs. den der behandler for den ansvarlige. 
  • Samtykke: frivilligt, specifikt, informeret og utvetydigt ja. 

Principperne (rygraden i GDPR) 

Behandling skal ske efter syv grundprincipper: lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, integritet og fortrolighed, samt ansvarlighed (I skal kunne bevise efterlevelse). 

Seks lovlige behandlingsgrundlag (hvorfor må I behandle?) 

  1. Samtykke (a) – den registrerede siger ja til et klart formål. 
  1. Kontrakt (b) – nødvendigt for at opfylde/indgå aftale (fx levering). 
  1. Retslig forpligtelse (c) – loven kræver det (fx bogføringsregler). 
  1. Vitale interesser (d) – for at beskytte liv/helbred. 
  1. Samfundsopgave/offentlig myndighed (e). 
  1. Legitime interesser (f) – jeres berettigede formål vejer tungere end den registreredes interesser (kræver interesseafvejning). 

Rettigheder for den registrerede (hvad folk kan bede om) 

  • Indsigt (art. 15)“Vis mig, hvilke oplysninger I har om mig.”
    Eksempel: “Send mig en kopi af mine data fra jeres kundesystem.” 
  • Berigtigelse (art. 16)“Ret det, der er forkert eller ufuldstændigt.”
    Eksempel: “Min adresse er ændret – ret den i jeres system.” 
  • Sletning (art. 17)“Slet mine data, når I ikke længere har en god grund til at gemme dem.”
    Eksempel: “Slet min gamle supportkonto.” (Med forbehold hvis lov kræver opbevaring.) 
  • Begrænsning af behandling (art. 18)“Sæt mine data på pause.”
    Eksempel: “I må ikke bruge mine oplysninger, før I har tjekket, om de er korrekte.” 
  • Dataportabilitet (art. 20)“Giv mig mine data i et almindeligt filformat, så jeg kan tage dem med et andet sted hen.”
    Eksempel: “Send mine træningsdata som en fil, så jeg kan uploade dem til en anden tjeneste.” 
  • Indsigelse (art. 21)“Stop en bestemt brug af mine data.”
    Eksempel: “Stop med at sende mig direkte markedsføring.” 
  • Automatiserede afgørelser/profilering (art. 22)“Hvis en beslutning kun er taget af en algoritme, vil jeg have et menneske til at kigge på den.”
    Eksempel: “I afviste min ansøgning automatisk – få et menneske til at vurdere den.” 

Sikkerhedskrav (passende beskyttelse, risikobaseret) 

I skal have passende tekniske og organisatoriske foranstaltninger: fx pseudonymisering/kryptering, tilgængelighed og robusthed, gendannelsesevne og løbende test/tilsyn. Kravet er risikobaseret og skal passe til formål, omfang og risiko. 

Databrud (hvornår og hvem skal have besked?) 

  • Tilsynet skal som udgangspunkt have besked uden unødig forsinkelse og senest 72 timer efter, at I bliver bekendt med bruddet (med begrundelse, hvis senere). 
  • De registrerede skal informeres uden unødig forsinkelse, når bruddet sandsynligvis medfører høj risiko for deres rettigheder/friheder. 
  • I skal dokumentere alle brud (fakta, effekt, tiltag). 

“Privacy by design & by default” 

Indbyg databeskyttelse fra start og som standard: begræns data, adgange og visninger til det nødvendige; vælg løsninger og indstillinger, der automatisk beskytter privatliv. 

Ansvarlighed og fortegnelser (beviset på, at I gør det rigtige) 

I skal kunne demonstrere compliance (accountability), bl.a. via fortegnelser over behandlingsaktiviteter (hvem, hvad, hvorfor, hvor længe, sikkerhed, overførsler). Det er en kerneforpligtelse for både dataansvarlige og databehandlere. eur-lex.europa.eu+1 

Kort sagt: Det fælles EU-sæt er definitionerne, principperne, de seks hjemler, rettighederne, sikkerhed/”privacy by design”, brudshåndtering, ansvarlighed og fortegnelser. Det er rammen, alle medlemslande skal følge—ovenpå den kan der komme snævre nationale særregler (fx CPR i DK), men baselinen er den samme i hele EU/EØS. 

 

Hvor kan Danmark lave egne regler?

EU giver landene spillerum på enkelte punkter. Det vigtigste i dansk hverdag er nationale identifikatorer: GDPR’s artikel 87 siger, at medlemsstaterne kan fastsætte særlige betingelser for behandling af fx nationale id-numre – i Danmark: CPR-nummeret

I praksis betyder det, at behandling af CPR-nummer er særskilt reguleret i Databeskyttelseslovens §11, og at offentlige og private aktører kun må bruge CPR, når betingelserne er opfyldt. Datatilsynet fremhæver specifikt, at CPR er underlagt særlige regler. datatilsynet.dk+1 

Derudover findes der danske særregler og praksis på udvalgte områder – fx tv-overvågning – hvor nationale regler og Datatilsynets vejledninger supplerer GDPR (bl.a. om definition, skiltning og sletning).

Hvem bestemmer hvad – i Danmark og på EU-plan?

  • Datatilsynet (DK) fører tilsyn i Danmark og udgiver vejledninger, afgørelser og praksis. 
  • EDPB (det europæiske databeskyttelsesråd) samler og koordinerer fortolkning på tværs af lande. Ved grænseoverskridende behandling bruges one-stop-shop: én lead supervisory authority (LSA) leder sagen, i samarbejde med de berørte tilsyn. 

Konsekvensen for danske virksomheder: Har I cross-border behandling, kan I få én primær myndighed (ofte Datatilsynet, hvis beslutningerne træffes og kan implementeres i DK), men lokale regler og sprogkrav i andre lande gælder stadig for information til registrerede og særområder. 

Hvad betyder det i praksis for jer i Danmark? 

  • Brug GDPR som fælles baseline – men tjek danske særregler der, hvor de findes (typisk CPR, strafbare forhold, overvågning). 
  • Sørg for, at privatlivstekster og samtykker er på forståeligt dansk, når målgruppen er i Danmark. 
  • Når I involverer leverandører, skal DPA’er (databehandleraftaler) leve op til både GDPR og danske krav/praksis. 
  • Ved grænseoverskridende flows: dokumentér hovedetablering og beslutningssted for at afklare LSA – og forvent dialog med flere tilsyn, hvis behandlingen berører flere lande. 

 

Næste skridt 

Grapes GDPR Kursus  (ca. 30 min., dansk/engelsk) giver hele organisationen et fælles, dokumenterbart niveau. 

 

SE MERE om GDPR