Kom godt fra start ved disse regler

Du skal føre en fortegnelse over alle behandlinger, hvor der behandles personoplysninger i en organisation.Du skal nedskrive og dokumentere, at du efterlever alle de seks ovennævnte principper om god databehandling. Det kan du f.eks. gøre i forskellige interne politikker, hvor du dokumenterer jeres it-sikkerhed, slettepolitikker, regler for brug af mailprogram og afsendelse af sikker mail, arbejdsgangsbeskrivelser for håndtering af sikkerhedsbrud, hvor personoplysninger er gået tabt og andre lignende hændelser. Du skal dokumentere, at virksomheden har indført passende tekniske og organisatoriske foranstaltninger. Dette arbejde skal tit udføres i samarbejde med forskellige faggrupper i organisationen, såsom it-folk, HR-medarbejdere og andre relevante medarbejdere. Du skal sørge for at oplyse kunder, borgere, ansatte m.fl. om behandlingen af deres personoplysninger. De registrerede har nogle faste rettigheder efter GDPR, og dem kan de kun udøve, når de ved, at organisationen behandler deres personoplysninger. Du skal indgå aftaler med de databehandlere, der behandler personoplysninger på dine vegne. En databehandleraftale skal sikre, at dine databehandlere også efterlever databeskyttelsesbestemmelserne i lige så høj grad som dig selv. Du skal også føre løbende tilsyn med dine databehandlere, så de bliver ved med at efterleve jeres aftale.

Forstå de grundlæggende principper i GDPR

Indsigt

02.07.2025

Personoplysninger findes i stort set alle organisationer – og forkert håndtering kan koste dyrt. I denne indsigtsartikel får du en indføring i GDPR-reglerne. Så snart du på den ene eller anden måde indsamler, registrerer, videregiver eller sletter personoplysninger, skal du overholde forordningen. Læs med her og forstå principperne.

Person taster på tastatur med datasikkerhed hængende over

Den 25. maj 2018 trådte databeskyttelsesforordningen (GDPR) i kraft. GDPR står for General Data Protection Regulation, og forordningen gælder for behandling af oplysninger. Det vil sige, når du indsamler, registrerer, videregiver eller sletter personoplysninger om f.eks. dine kunder, patienter, borgere eller ansatte.

For eksempel behandles der personoplysninger, når offentlige myndigheder behandler ansøgninger fra borgere, når en arbejdsgiver behandler oplysninger om sine ansatte, eller når virksomheder sælger varer eller tjenester til deres kunder. Den, du behandler oplysninger om, kaldes den registrerede i GDPR-sammenhænge.

Du kan høre meget mere om, hvornår en oplysning er en personoplysning i podcast-episoden ”Hvad er en personoplysning?”

Er GDPR relevant for dig?

Databeskyttelsesforordningen indeholder detaljerede krav til organisationer om behandling af personoplysninger. Reglerne i forordningen gælder både for europæiske organisationer, der behandler oplysninger om personer i EU, og organisationer uden for EU, der beskæftiger sig med personer indenfor EU.

Hvordan føres der tilsyn med reglerne?
Reglerne i GDPR er besluttet og vedtaget af EU, og i Danmark har Folketinget vedtaget Databeskyttelsesloven, som supplerer bestemmelserne i GDPR. Både GDPR og databeskyttelsesloven er gældende ret i Danmark, og som medlem af EU skal vi følge GDPR på lige fod med dansk lovgivning.

I Danmark fører Datatilsynet kontrol med, at databeskyttelsesbestemmelserne bliver overholdt, og hvis du mener, at dine personoplysninger ikke bliver behandlet forsvarligt, kan du klage til Datatilsynet.

Gælder GDPR altid?
Databeskyttelsesforordningen gælder ikke, hvis den registrerede er død, den registrerede er en juridisk person, eller hvis behandlingen af oplysningerne foretages af en person, der ikke handler som led i sin erhvervsmæssige virksomhed. Det vil sige, hvis personen agerer som privatperson.

Sådan skal personoplysninger behandles efter GDPR

Behandling af personoplysninger skal foregå forsvarligt og med et betryggende niveau af sikkerhed og privatlivsbeskyttelse.

Sikkerheden skal være tilpas høj, for hvis personoplysninger kommer til uvedkommendes kendskab, går tabt eller bliver beskadiget, kan det krænke personers privatliv og rettigheder.

Derfor er GDPR-bestemmelserne vigtige at overholde. Helt grundlæggende kan man sige om GDPR, at forsvarlig tilrettelæggelse af behandling af personoplysninger overholder følgende 6 punkter:

Lovlighed, rimelighed og gennemsigtighed: Behandlingen skal overholde databeskyttelsesreglerne og være gennemsigtig.
Formålsbegrænsning: Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal bruges til. Senere behandling må ikke være uforenelig med disse formål.
Dataminimering: Behandling og opbevaring af oplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet. Man må ikke have flere oplysninger end nødvendigt.
Rigtighed: Oplysninger skal være rigtige og skal ajourføres. Urigtige oplysninger skal slettes eller berigtiges.
Opbevaringsbegrænsning: Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes.
Integritet og fortrolighed: Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget.

De konkrete regler

Databeskyttelsesbestemmelserne indeholder dog også mange konkrete regler, som skal overholdes.

Bestemmelserne er ret omfangsrige, og det kan være svært at vide, hvad du skal tage fat på for at efterleve dem alle. Her kan du læse om de vigtigste regler, så du kommer godt fra start med dine GDPR-indsigter.

- Du skal føre en fortegnelse over alle behandlinger, hvor der behandles personoplysninger i en organisation.
- Du skal nedskrive og dokumentere, at du efterlever alle de seks ovennævnte principper om god databehandling. Det kan du f.eks. gøre i forskellige interne politikker, hvor du dokumenterer jeres it-sikkerhed, slettepolitikker, regler for brug af mailprogram og afsendelse af sikker mail, arbejdsgangsbeskrivelser for håndtering af sikkerhedsbrud, hvor personoplysninger er gået tabt og andre lignende hændelser.
- Du skal dokumentere, at virksomheden har indført passende tekniske og organisatoriske foranstaltninger. Dette arbejde skal tit udføres i samarbejde med forskellige faggrupper i organisationen, såsom it-folk, HR-medarbejdere og andre relevante medarbejdere.
- Du skal sørge for at oplyse kunder, borgere, ansatte m.fl. om behandlingen af deres personoplysninger. De registrerede har nogle faste rettigheder efter GDPR, og dem kan de kun udøve, når de ved, at organisationen behandler deres personoplysninger.
- Du skal indgå aftaler med de databehandlere, der behandler personoplysninger på dine vegne. En databehandleraftale skal sikre, at dine databehandlere også efterlever databeskyttelsesbestemmelserne i lige så høj grad som dig selv. Du skal også føre løbende tilsyn med dine databehandlere, så de bliver ved med at efterleve jeres aftale.

Arbejdet med at efterleve GDPR er ikke et arbejde, du kan gøre én gang for alle. Det er et løbende arbejde, og det kan godt svare sig for dig at strukturere dit grundlæggende GDPR-arbejde, for så gør du det nemmere for dig selv i forbindelse med opfølgning, tilsynsføring, undervisning af nye og gamle medarbejdere i reglerne og tilsvarende aktiviteter.

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig videre med dine indsatser eller godt i gang

Hvis du har brug for hjælp til GDPR-arbejdet, er du velkommen til at kontakte os. Vi kan hjælpe med et compliancetjek, hvor vi gennemgår, hvordan I er kommet i mål med efterlevelse af databeskyttelsesbestemmelserne, og hvor meget I eventuelt mangler. Vi hjælper også med hele eller dele af selve implementeringsarbejdet.