Uncategorized @da

GDPR i Danmark

By december 4, 2025No Comments

GDPR i Danmark 

Kort fortalt: EU’s GDPR er rammen, og i Danmark suppleres den af Databeskyttelsesloven og vejledninger fra Datatilsynet. For virksomheder betyder det: samme EU-principper for databeskyttelse – plus nogle danske særregler og praksis, I skal kende.

Hvad er særligt dansk om GDPR?

  • CPR-nummer (personnummer)
    Behandling af CPR er særreguleret i Databeskyttelseslovens § 11. Der gælder snævre betingelser for, hvornår private må behandle og videregive CPR – fx når lov kræver det, ved udtrykkeligt samtykke eller når entydig identifikation er afgørende. Datatilsynet har korte oversigter om hvornår det er tilladt.
  • Oplysninger om strafbare forhold
    Danmark har nationale bestemmelser i § 8 (bygger på GDPR art. 10). Det betyder skærpede krav og begrænset hjemmelsgrundlag, når I behandler oplysninger om strafforhold – typisk kun i særlige og klart begrundede situationer. 
  • Kamera- og tv-overvågning
    Ud over GDPR gælder tv-overvågningsloven og Datatilsynets praksis om skiltning, sletning, sikkerhed m.m. Tilsynet har en samlet indgangsside og en specifik vejledning til private virksomheder. 
  • Samtykke – ikke altid nødvendigt
    Samtykke er kun ét behandlingsgrundlag blandt flere. Datatilsynet understreger, at man ofte kan (og bør) bruge andre hjemler – afhængigt af situation og datatype.

Hvad forventer Datatilsynet af jer i praksis? 

  • Klare hjemler for hver behandling (kontrakt, retlig forpligtelse, legitim interesse m.fl.). Datatilsynet forklarer grundlæggende begreber og valg af behandlingshjemmel.  
  • Gennemsigtighed og forståeligt sprog i privatlivstekster og ved indsamling (formularer, rekruttering, CCTV-skilte). 
  • Dataminimering og sletning – gem ikke mere og ikke længere end nødvendigt (overvågning har desuden særskilt vejledning om sletning og sikkerhed).  
  • Sikkerhed, der matcher risikoenadgangsstyring, logning, kryptering, beredskab ved brud. 
  • Dokumentation – fortegnelser, beslutningsnotater (fx ved legitim interesse), logs og træningsbevis. 

Myndigheder og “lead” tilsyn 

Datatilsynet er den uafhængige myndighed i Danmark. Har I grænseoverskridende behandling, kan I i udgangspunktet én ledende tilsynsmyndighed (one-stop-shop) dér, hvor de vigtigste beslutninger for den behandling træffes – men øvrige berørte tilsyn kan stadig have en rolle.

Hvad betyder det for jeres hverdag? 

  • Brug EU-reglerne som baseline – og tjek danske særregler for CPR, strafforhold og overvågning, når de er i spil. 
  • Sørg for dansk, klart sprog i information til registrerede i Danmark. 
  • Inden I anskaffer systemer (SaaS, kameraer, HR/CRM): afklar behandlingsgrundlag, danske særkrav og aftaler (fx databehandleraftale) – især hvis leverandøren håndterer CPR eller overvågningsoptagelser. 

Træn hele organisationenhurtigt 

Grapes GDPR Kursus (dansk/engelsk, ca. 30 min., 7 moduler) gør det let at hæve niveauet og dokumentere indsatsen i audits. 

 

SE MERE om GDPR