Dette indlæg er AI-assisteret og gennemlæst af Simon Grevang. Indholdet afspejler praksisnær erfaring med bestyrelsesarbejde i danske SMV'er.
GDPR smv er et emne, som rigtig mange direktører stadig behandler som et compliance-flueben fra 2018. Man fik styr på cookie-banneret, fik juridisk afdeling til at skrive en privatlivspolitik, og så tror man, man er i mål. Det er man sjældent.
I praksis ser vi igen og igen, at mindre og mellemstore virksomheder har grundlæggende huller i deres databeskyttelse. Ikke fordi direktørerne er ligeglade, men fordi GDPR er komplekst, forordningen er skrevet i et juridisk sprog, og hverdagen fylder.
Denne artikel giver dig det praktiske overblik: hvad kræver GDPR egentlig af dig som SMV-direktør, hvilke fejl begår virksomheder oftest, og hvad sker der hvis Datatilsynet banker på døren? Vi går ikke i juridisk detalje for detaljeens skyld. Vi fokuserer på det, der faktisk betyder noget for driften.
Hvad er GDPR, og hvorfor gælder det for dig?
GDPR står for General Data Protection Regulation, og forordningen trådte i kraft den 25. maj 2018. I dansk kontekst er den suppleret af databeskyttelsesloven, som Datatilsynet administrerer. Reglerne gælder for alle virksomheder, der behandler personoplysninger om EU-borgere, uanset virksomhedens størrelse.
Det betyder, at du som SMV-direktør er underlagt GDPR, hvis du behandler oplysninger om dine medarbejdere, kunder, leverandører eller andre personer. Det er næsten umuligt at drive en virksomhed uden at gøre det.
Personoplysninger er et bredt begreb. Det dækker navne, e-mailadresser, telefonnumre, IP-adresser, betalingskortoplysninger, sundhedsoplysninger, billeder og meget mere. Selv et simpelt nyhedsbrev kræver, at du har styr på, hvem der har tilmeldt sig, hvornår og med hvilken begrundelse.
En vigtig skelnen er mellem dataansvarlig og databehandler. Som virksomhed er du som udgangspunkt dataansvarlig for de oplysninger, du indsamler og bruger til egne formål. Bruger du en ekstern leverandør, fx et CRM-system eller en lønadministrationsplatform, er den leverandør typisk din databehandler, og så er du forpligtet til at have en databehandleraftale på plads.
De syv grundprincipper du ikke kan ignorere
GDPR bygger på syv principper, som fungerer som fundamentet for al behandling af personoplysninger. Du behøver ikke lære dem udenad, men du bør forstå, hvad de kræver af dig i praksis.
- Lovlighed, rimelighed og gennemsigtighed: Du skal have et lovligt grundlag for at behandle oplysninger, og du skal fortælle de registrerede, hvad du bruger oplysningerne til.
- Formålsbegrænsning: Oplysninger må kun bruges til det formål, de oprindeligt blev indsamlet til. Har du samlet e-mailadresser til en kundeundersøgelse, må du ikke bruge dem til markedsføring uden videre.
- Dataminimering: Du må kun indsamle de oplysninger, du faktisk har brug for. Hvis du ikke har brug for fødselsdatoer, skal du ikke bede om dem.
- Rigtighed: Du skal holde oplysninger opdaterede og slette dem, når de ikke længere er korrekte.
- Opbevaringsbegrænsning: Du må ikke gemme oplysninger længere end nødvendigt. Det kræver, at du har en konkret sletningspolitik.
- Integritet og fortrolighed: Du skal beskytte oplysningerne mod uautoriseret adgang, tab og ødelæggelse.
- Ansvarlighed: Du skal kunne dokumentere, at du overholder principperne. Det er ikke nok at sige, at du gør det.
Princippet om ansvarlighed er det, der driller de fleste SMV'er. Det handler om dokumentation. Datatilsynet kan til enhver tid bede dig om at bevise, at din behandling af personoplysninger er i orden, og da skal du have papirerne klar.
Hvornår må du behandle personoplysninger?
Du skal altid have et lovligt grundlag for at behandle personoplysninger. GDPR angiver seks mulige grundlag, men i praksis er det primært tre, der er relevante for SMV'er:
Samtykke: Den registrerede har givet et frivilligt, specifikt og informeret samtykke. Samtykket skal kunne dokumenteres, og det skal være ligeså nemt at trække tilbage, som det var at give. Samtykke er ikke altid den bedste løsning. Det er skrøbeligt, fordi det kan trækkes tilbage, og det kræver meget administration.
Opfyldelse af en kontrakt: Behandlingen er nødvendig for at opfylde en kontrakt med den registrerede. Når du behandler en medarbejders oplysninger for at udbetale løn, er det typisk dette grundlag.
Legitim interesse: Du har en legitim interesse i behandlingen, og den vejer tungere end den registreredes interesse i at blive beskyttet. Dette grundlag bruges fx til direkte markedsføring til eksisterende kunder, men det kræver en konkret vurdering.
En klassisk fejl er, at SMV'er bruger samtykke som grundlag for alt, fordi det føles sikkert. Men det er faktisk det mest krævende grundlag at administrere korrekt.
Behandler du særlige kategorier af oplysninger, fx helbredsoplysninger, politiske holdninger eller fagforeningstilhørsforhold, er kravene endnu strengere. Her er forbuddet mod behandling udgangspunktet, og du skal have et specifikt undtagelsesgrundlag.
Dine konkrete forpligtelser som SMV-direktør
Lad os gå til det praktiske. Hvad skal du faktisk have på plads?
Fortegnelse over behandlingsaktiviteter
Har du 250 eller flere ansatte, er det et krav at føre en fortegnelse. Men selv med færre ansatte bør du have den, da den er et uundværligt redskab til at styre din compliance. Fortegnelsen er en slags katalog over, hvilke personoplysninger du behandler, til hvad formål, på hvilket grundlag og hvor længe du opbevarer dem.
Privatlivspolitik
Du skal informere de registrerede om, hvordan du behandler deres oplysninger. Det sker typisk via en privatlivspolitik på din hjemmeside. Den skal indeholde specifikke oplysninger: hvem er den dataansvarlige, hvad behandler du, på hvilket grundlag, hvem deler du oplysningerne med, og hvilke rettigheder har de registrerede.
Databehandleraftaler
Bruger du leverandører, der behandler personoplysninger på dine vegne, skal du have en databehandleraftale med dem. Det gælder dit lønsystem, dit CRM, dit marketingautomatiseringsværktøj, din cloudleverandør og mange andre. Mange leverandører tilbyder standardaftaler, men du skal sikre, at de reelt dækker det, du har brug for.
Sletningsprocedurer
Du skal have procedurer for, hvornår du sletter oplysninger. Det kræver, at du har taget stilling til, hvor længe du har brug for de forskellige typer oplysninger, og at du faktisk eksekverer på det.
Brud på persondatasikkerheden
Opdager du et sikkerhedsbrud, har du som udgangspunkt 72 timer til at anmelde det til Datatilsynet, hvis bruddet udgør en risiko for de registrerede. Og det er 72 timer fra du opdager det, ikke fra bruddet skete. Det kræver, at du har en plan for, hvad du gør, når det sker.
De registreredes rettigheder
De registrerede har en række rettigheder: ret til indsigt, ret til berigtigelse, ret til sletning, ret til begrænsning, ret til dataportabilitet og ret til at gøre indsigelse. Du skal have procedurer for, hvordan du håndterer henvendelser om disse rettigheder inden for en måned.
Vil du have et bredere perspektiv på, hvordan digitale krav påvirker din SMV, anbefaler vi at læse Digitalisering og AI i SMV'er: hvad du bør vide i 2026.
De hyppigste GDPR-fejl i SMV'er
Efter at have talt med mange SMV-direktører og fulgt Datatilsynets afgørelser over en årrække er der et mønster i, hvilke fejl der begås oftest. Her er de mest udbredte:
1. Manglende eller forældet privatlivspolitik
Mange virksomheder fik lavet en privatlivspolitik i 2018, og siden har ingen rørt den. Men politikken skal afspejle virkeligheden. Har du skiftet CRM-system, tilføjet nye behandlinger eller ændret dine formål, skal politikken opdateres.
2. Ugyldige samtykker til markedsføring
Forudafkrydset samtykke er ikke et gyldigt samtykke. Det er overraskende mange virksomheder, der stadig bruger det. Samtykket skal være aktivt og specifikt.
3. Manglende databehandleraftaler
Det er et af de mest udbredte problemer. Mange SMV'er bruger dusinvis af cloud-baserede værktøjer og tjenester, uden at have sikret, at der er databehandleraftaler på plads. En e-mail fra leverandøren om, at de er GDPR-compliant, er ikke en databehandleraftale.
4. For lange opbevaringstider
Oplysninger om jobansøgere, tidligere kunder og gamle medarbejdere gemmes ofte langt længere end nødvendigt. En tommelfingerregel: ansøgermateriale fra afviste ansøgere slettes typisk efter seks måneder, medmindre ansøgeren har givet samtykke til opbevaring i længere tid.
5. Utilstrækkelig adgangsstyring
Alle medarbejdere har adgang til alt, fordi det er nemmest. GDPR kræver, at adgang til personoplysninger begrænses til dem, der har et tjenstligt behov.
6. Overførsel til tredjelande uden grundlag
Bruger du amerikanske cloud-tjenester som Google Workspace, Microsoft 365 eller lignende, sker der en overførsel af personoplysninger til USA. Det er ikke forbudt, men du skal have dokumenteret grundlaget for overførslen, fx EU-US Data Privacy Framework eller standardkontraktbestemmelser.
7. Ingen procedure for sikkerhedsbrud
De fleste SMV'er har aldrig øvet, hvad de gør, hvis en laptop med kundedata stjæles, eller hvis en medarbejder sender en e-mail med personoplysninger til den forkerte. 72-timers kravet er ikke meget, hvis du skal starte forfra med at finde ud af, hvem der gør hvad.
Hvad sker der hvis du ikke overholder GDPR?
Det spørgsmål hører vi tit: hvad er sandsynligheden for, at Datatilsynet finder mig? Lad os svare ærligt og præcist.
Datatilsynet kan modtage klager fra borgere, medarbejdere, tidligere medarbejdere, kunder og konkurrenter. De gennemfører også egne tilsynsbesøg og brancheundersøgelser. Du behøver ikke at gøre noget særlig slemt for at ende i søgelyset. En utilfreds tidligere medarbejder, en kunde der er nysgerrig på, hvad du har gemt om ham, eller et sikkerhedsbrud du skal anmelde, kan alle starte en sag.
Sanktionerne
GDPR opererer med to niveauer af bøder. Det laveste niveau er op til 10 millioner euro eller 2 procent af den globale årsomsætning. Det højeste niveau er op til 20 millioner euro eller 4 procent af den globale årsomsætning.
I dansk praksis er bøderne for SMV'er typisk langt lavere end de maksimale beløb, men de er ikke symbolske. Datatilsynet har givet bøder i størrelsesordenen 50.000 kr. til 1 million kr. til mellemstore virksomheder. I 2022 fik et dansk taxaselskab en bøde på 1,2 millioner kr. for at have gemt for mange oplysninger om chauffører.
Ud over bøder kan Datatilsynet udstede påbud om at ændre praksis, midlertidigt forbyde behandling eller kræve sletning af oplysninger. Det kan have alvorlige driftsmæssige konsekvenser.
Derudover er der omdømmeskader. En afgørelse fra Datatilsynet er offentlig. For mange B2B-virksomheder, der arbejder med store kunder eller offentlige myndigheder, kan en GDPR-sag være direkte ødelæggende for forholdet til vigtige samhandelspartnere.
Den vigtigste pointe er: det er ikke et spørgsmål om sandsynlighed for at blive opdaget. Det er et spørgsmål om risikostyring. En ansøger, du afviste til et job, kan anmode om indsigt i morgen. En medarbejder, der opsiges, kan klage til Datatilsynet næste uge. Risikoen er ikke hypotetisk.
GDPR og dine medarbejdere: det glemte kapitel
Mange SMV-direktører fokuserer på kundernes personoplysninger og glemmer, at de behandler enorme mængder oplysninger om egne medarbejdere. Løn, sygefravær, evalueringer, advarsler, fagforeningsmedlemskab, pension, kontaktoplysninger, CPR-numre og meget mere.
Medarbejderopplysninger er et af de mest følsomme områder, og her er kravene strenge:
- Du skal informere medarbejderne om, hvilke oplysninger du behandler, og til hvad formål. Det sker typisk i en intern privatlivspolitik for medarbejdere eller et tillæg til ansættelseskontrakten.
- Medarbejdere har ret til indsigt i de oplysninger, du opbevarer om dem. Det gælder alle oplysninger, ikke kun dem i HR-systemet.
- Oplysninger om sygefravær og helbredstilstand er særlige kategorier, som kræver specifikt grundlag for behandling.
- Når en medarbejder forlader virksomheden, skal du slette oplysninger inden for rimelig tid. Hvad er rimelig tid? Det afhænger af formålet. Løndokumentation skal opbevares i fem år af skattemæssige årsager. Advarsler og disciplinærsager kan der som udgangspunkt ikke argumenteres for at gemme i mange år efter fratrædelse.
- Bruger du overvågning, GPS-tracking af firmabiler eller logning af e-mails, stiller det særlige krav om information og lovligt grundlag.
Et konkret eksempel: En lille produktionsvirksomhed med 30 ansatte indgik et forlig med en tidligere funktionær. Som en del af forliget gemte virksomheden en intern note om årsagerne til afskedigelsen i et delt drev, som alle i ledelsen havde adgang til. Tre år senere anmodede den tidligere medarbejder om indsigt og fandt noten. Det endte med en klage til Datatilsynet. Forholdet var formodentlig håndteret anderledes, hvis man fra starten havde tænkt over, hvem der behøvede adgang til hvad, og hvornår det skulle slettes.
GDPR og digitale værktøjer: hvad du skal tænke over
Digitaliseringen af SMV'er accelererer. Du bruger sandsynligvis SaaS-løsninger til regnskab, HR, salg, kundesupport, kommunikation og markedsføring. Mange af disse systemer lagrer og behandler personoplysninger, og du er ansvarlig for, at det sker på lovlig vis.
Tre centrale spørgsmål du bør stille, når du tager et nyt digitalt værktøj i brug:
- Hvem er databehandler, og er der en databehandleraftale? Accepterer du blot leverandørens brugervilkår uden at sikre, at de dækker kravene til en databehandleraftale, er du i princippet ikke compliant.
- Hvor lagres oplysningerne? Lagres de i EU, eller overføres de til USA eller andre tredjelande? Hvis data lagres uden for EU/EØS, kræver det et specifikt overførselsgrundlag.
- Hvad sker der med oplysningerne, hvis du siger opsigelsen til leverandøren? Kan du få dine data retur, og sletter leverandøren oplysningerne bagefter?
Det er en god idé at lave en samlet gennemgang af alle de digitale værktøjer du bruger, dokumentere dem i din fortegnelse og sikre, at du har databehandleraftaler med dem alle. Det lyder tidskrævende, men for mange SMV'er kan det gøres på en enkelt arbejdsdag med den rette struktur.
Vil du vide mere om, hvordan du vælger de rigtige digitale løsninger, er Sådan vælger du de rigtige digitale værktøjer til din SMV et godt udgangspunkt. Og ønsker du at forstå sikkerhedsaspekterne specifikt ved cloudlösninger, kan du læse Er cloud-løsninger sikre nok til min virksomhed?.
En vigtig pointe i forbindelse med AI-værktøjer: bruger du AI-løsninger, der behandler personoplysninger om kunder eller medarbejdere, gælder GDPR fuldt ud. Du skal have et lovligt grundlag, og du skal tage stilling til, om du ønsker, at dine data bruges til at træne AI-modeller. De fleste seriøse leverandører tilbyder mulighed for at fravælge det, men det kræver, at du aktivt tager stilling. Læs mere om AI og SMV'er i Hvad kan AI faktisk gøre for en SMV i dag?.
Sådan kommer du i gang med GDPR-compliance i praksis
Mange direktører ved godt, at de har et problem, men ved ikke, hvor de skal starte. Her er en praktisk fremgangsmåde:
Trin 1: Kortlæg dine behandlingsaktiviteter
Begynd med at kortlægge, hvilke personoplysninger du faktisk behandler. Gå systematisk igennem alle funktioner: HR, økonomi, salg, marketing, kundeservice og IT. Spørg medarbejderne, hvad de gør, og hvilke systemer de bruger. Det er overraskende, hvad der dukker op.
Trin 2: Identificer behandlingsgrundlag
For hver behandlingsaktivitet: hvad er det lovlige grundlag? Hvis du ikke kan svare, er det et rødt flag.
Trin 3: Udarbejd eller opdater din privatlivspolitik
Sørg for at den reflekterer virkeligheden. En privatlivspolitik der beskriver systemer du ikke bruger eller behandlinger du ikke foretager, er faktisk problematisk.
Trin 4: Gennemgå dine leverandøraftaler
Lav en liste over alle leverandører der behandler personoplysninger på dine vegne, og tjek at der er databehandleraftaler på plads.
Trin 5: Lav en sletningspolitik
Tag stilling til, hvornår du sletter de forskellige typer oplysninger, og implementer procedurer for det.
Trin 6: Uddan dine medarbejdere
GDPR er ikke kun et ledelsesansvar. Dine medarbejdere sender e-mails, uploader filer og kommunikerer med kunder. De skal vide, hvad de må og ikke må.
Trin 7: Lav en beredskabsplan for sikkerhedsbrud
Hvem kontakter hvem, hvis der sker et brud? Hvem vurderer alvorlighed? Hvem anmelder til Datatilsynet? Øv det, inden det sker.
Ønsker du at tænke GDPR-arbejdet ind i en bredere digitaliseringsramme, anbefaler vi Sådan laver du en digitaliseringsstrategi trin for trin og Sådan kommer du i gang med AI i din virksomhed.
Datatilsynet og vejledninger: ressourcer du bør kende
Datatilsynet er faktisk gode til at hjælpe virksomheder med at komme i gang. De udgiver løbende vejledninger, tjeklister og skabeloner, og mange af dem er direkte anvendelige for SMV'er.
Særlig nyttige ressourcer fra Datatilsynet:
- Vejledning om behandlingsaktiviteter: En guide til at lave din fortegnelse.
- Skabelon til databehandleraftale: En udgangspunkt til aftaler med leverandører.
- Vejledning om databrud: Hvad skal du gøre, og hvornår skal du anmelde?
- Vejledning til privatlivspolitikker: Hvad skal indgå, og hvordan formulerer du det.
- SMV-guide: Datatilsynet har en specifik guide målrettet mindre virksomheder.
Europa-Kommissionens GDPR-portal indeholder også en vejledning til SMV'er på dansk. Derudover er brancheorganisationer som DI og SMVdanmark gode steder at finde sektorspecifik vejledning.
En vigtig pointe: du behøver ikke hyre et dyrere advokatfirma til at starte med GDPR-compliance. De offentlige ressourcer er gode til at komme i gang. Når du kommer til mere komplicerede spørgsmål, fx overførsler til tredjelande eller behandling af særlige kategorier, er juridisk rådgivning en god investering.
GDPR i 2025 og fremover: hvad bør du holde øje med?
GDPR er ikke et statisk regelsæt. Datatilsynets praksis udvikler sig, domstolsafgørelser præciserer reglerne, og ny teknologi skaber nye spørgsmål.
Her er tre tendenser, der er relevante for SMV-direktører i 2025 og frem:
AI og automatiserede beslutninger
Bruger du AI-værktøjer til at analysere kunder, screene jobansøgere eller optimere priser, stiller GDPR særlige krav. Artikel 22 i forordningen handler om automatiserede individuelle afgørelser, og der er begrænsninger på, hvornår du kan tage afgørelser, der udelukkende er baseret på automatisk behandling. Det er et område, der vil fylde mere og mere i takt med udbredelsen af AI.
Cookies og tracking
Datatilsynet har intensiveret tilsynet med cookies og tracking. Cookie-bannere er ikke nok. Du skal sikre, at tracking faktisk ikke aktiveres, før brugeren har givet samtykke, og at du kan dokumentere samtykket.
EU-US Data Privacy Framework
I 2023 vedtog EU-Kommissionen en afgørelse om, at USA giver et tilstrækkeligt beskyttelsesniveau for overførsler til amerikanske virksomheder under EU-US Data Privacy Framework. Det giver en mere stabil basis for at bruge amerikanske cloud-tjenester, men du skal stadig sikre, at den specifikke leverandør er certificeret under frameworket.
GDPR er med andre ord en løbende opgave, ikke et projekt med en slutdato. Byg strukturer og procedurer, der gør det til en integreret del af din drift, frem for noget du tager frem en gang om året og støver af.
Lad AI-panelet hjælpe dig med at tænke GDPR strategisk
GDPR og databeskyttelse er ikke bare et juridisk spørgsmål. Det er et strategisk spørgsmål om risikostyring, digital tillid og virksomhedens omdømme. Det er præcis den slags spørgsmål, der egner sig til en struktureret bestyrelsesdiskussion.
BoardPanel er en AI-drevet bestyrelseplatform til SMV-direktører. Platformen giver dig adgang til et AI-bestyrelsespanel ledet af AI-formand Morten Krarup, samt fire specialiserede AI-rådgivere: Strategen, CFO'en, CMO'en og Djævelens Advokat.
Forestil dig at præsentere din nuværende GDPR-situation for panelet. Strategen hjælper dig med at prioritere indsatsen og se det i sammenhæng med din digitaliseringsstrategi. CFO'en hjælper dig med at vurdere risikoen i kroner og øre og afveje investeringen i compliance mod den potentielle bødeeksponering. CMO'en tager fat i kundetillid og omdømmeperspektivet. Og Djævelens Advokat stiller de ubehagelige spørgsmål: hvad er det svageste led i din databeskyttelse, og hvad sker der, hvis det brister?
Du kan uploade dit compliance-materiale som et board pack, få panelanalyse, afstemning og et formelt mødereferat, du kan handle på.
Det er ikke en erstatning for juridisk rådgivning, men det er et kraftfuldt redskab til at tænke klarere og handle mere struktureret. Og for de fleste SMV-direktører er det netop det, der mangler: ikke mere information om GDPR, men et struktureret rum til at tage de rigtige beslutninger.
Start med AI-panelet på boardpanel.dk og få din første bestyrelsessession med Morten Krarup og rådgiverteamet i dag.
Kilder og referencer
- Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (GDPR)
- Databeskyttelsesloven, LOV nr. 502 af 23/05/2018
- Datatilsynet: Vejledning om behandlingsaktiviteter, datatilsynet.dk
- Datatilsynet: Guide til SMV'er, datatilsynet.dk
- Datatilsynet: Afgørelse af 14. november 2022 i sag om Taxa 4x35 (bøde på 1,2 mio. kr.)
- Europa-Kommissionen: EU-US Data Privacy Framework, adequacy decision, juli 2023
- Datatilsynet: Vejledning om brud på persondatasikkerheden, datatilsynet.dk
- DI Digital: GDPR i praksis for danske virksomheder, di.dk
- SMVdanmark: Vejledninger om databeskyttelse for mindre virksomheder, smvdanmark.dk
FAQ — de 10 vigtigste
spørgsmål
Ja, GDPR gælder for alle virksomheder, der behandler personoplysninger om EU-borgere, uanset virksomhedens størrelse. Selv en enkeltmandsvirksomhed med et nyhedsbrev er underlagt forordningen. Visse krav, fx pligten til at udpege en databeskyttelsesrådgiver, er dog kun obligatoriske for visse typer virksomheder eller ved særlig risikabel behandling.
Den dataansvarlige er den virksomhed, der bestemmer, til hvilke formål og med hvilke hjælpemidler personoplysninger behandles. Databehandleren behandler oplysninger på vegne af den dataansvarlige. Som SMV er du typisk dataansvarlig, mens fx dit lønsystem eller CRM-leverandør er databehandler. Du er forpligtet til at have en databehandleraftale med alle dine databehandlere.
Manglende rettidig anmeldelse kan i sig selv udløse en sanktion fra Datatilsynet. De 72 timer regnes fra det tidspunkt, du som virksomhed opdager bruddet, ikke fra da det skete. Kan du ikke nå at samle alle oplysninger, kan du lave en foreløbig anmeldelse og supplere den efterfølgende. Det er langt bedre end at anmelde for sent eller slet ikke.
Datatilsynet kan give bøder op til 20 millioner euro eller 4 procent af den globale omsætning. I dansk SMV-praksis er bøderne typisk i størrelsesordenen 50.000 til 1 million kr., afhængigt af overtrædelsens art og alvorlighed. Hertil kommer potentielle omdømmeskader og operationelle konsekvenser af Datatilsynets påbud.
De fleste SMV'er har ikke pligt til at udpege en DPO. Pligten gælder for offentlige myndigheder, virksomheder hvis kerneaktivitet involverer systematisk overvågning i stor skala, og virksomheder der behandler særlige kategorier af oplysninger i stor skala. Selv uden pligt kan det dog være fornuftigt at have én ansvarlig intern person med fokus på databeskyttelse.
Du skal svare på en indsigtsanmodning inden for en måned. Svaret skal indeholde en kopi af alle personoplysninger du behandler om medarbejderen, oplysning om formål, behandlingsgrundlag, opbevaringstid og eventuelle modtagere af oplysningerne. Sørg for at have en klar intern procedure, så du ved præcis, hvem der håndterer sådanne henvendelser.
Et gyldigt GDPR-samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Det skal gives via en aktiv handling, fx at sætte kryds i en tom afkrydsningsboks. Forudafkrydset samtykke er ikke gyldigt. Samtykket skal kunne dokumenteres, og den registrerede skal kunne trække det tilbage ligeså nemt, som det blev givet.
Overførsler til USA er lovlige, hvis leverandøren er certificeret under EU-US Data Privacy Framework fra 2023. Du bør tjekke leverandørens certificering på privacy.gov, indhente en databehandleraftale med leverandøren og dokumentere overførselsgrundlaget i din fortegnelse. Bruger leverandøren standardkontraktbestemmelser i stedet, er det også et lovligt grundlag.
Der er ingen fast regel, men Datatilsynets vejledning angiver, at oplysninger om afviste ansøgere typisk bør slettes efter seks måneder, med mindre ansøgeren aktivt samtykker til længere opbevaring, fx fordi du vil kontakte vedkommende til fremtidige stillinger. Oplysninger om den ansatte kandidat opbevares for det meste i ansættelsesforholdet og derefter i overensstemmelse med din sletningspolitik.
Ja, men GDPR gælder fuldt ud. Du skal have et lovligt behandlingsgrundlag, indgå databehandleraftale med AI-leverandøren og tage stilling til, om dine data bruges til at træne AI-modeller. Bruger AI-værktøjet automatiserede afgørelser om enkeltpersoner, stiller artikel 22 i GDPR særlige krav. Gennemgå altid leverandørens databehandlingsbetingelser grundigt.

