Den nye persondataforordning (GDPR) trådte i kraft 25. maj 2018. Den handler generelt om at beskytte den enkeltes rettigheder, og det stiller en række krav, som hvis ikke opfyldt, potentielt kan betyde bøder på op til 4 %  af årsomsætningen eller op til 20 millioner euro – det, der er højest.

Det er en forordning, hvilket betyder, at reglerne gælder direkte og ensartet i alle lande. Den skal efterleves i alle EU-lande. Der er dog en del uafklarede spørgsmål i forordningen, som i sidste ende vil blive afgjort af praksis fra EU-domstolen. Der er også mulighed for at fastsætte nationale regler på en række områder, hvilket er op til justitsministeriet i Danmark.

Der er muligvis ikke meget nyt i at sikre, at man som virksomhed passer på persondata. De nye krav består nærmere i, at man som virksomhed skal kunne dokumentere, at man beskytter persondata og hvordan. Virksomheder skal fremover altid have dokumentation klar til at udlevere til Datatilsynet, hvis de anmoder herom. Dette sker i form af det, forordningen kalder en fortegnelse.

Forordningen medfører også en række nye rettigheder til den registrerede – det er enhver, der bliver indhentet og behandlet personoplysninger omkring. De nye rettigheder omfatter bl.a. ret til indsigt, berigtigelse og sletning af personoplysninger. Virksomheder skal svare på anmodninger vedrørende disse rettigheder inden for en kort frisk på typisk en måned. Desuden kræver forordningen, at virksomheden altid indhenter et gyldigt samtykke til behandlingen af personoplysninger, samt at virksomheden opfylder sin oplysningspligt vedrørende indsamling og behandling af data, når de indhenter samtykket.

Forordningen indeholder også skærpede krav til skriftlige databehandleraftaler mellem virksomheden og de, der behandler personoplysninger på vegne af virksomheden – både interne og eksterne. Det er derfor vigtigt, at virksomheden sørger for at lave databehandleraftale med alle deres databehandlere.

Forordningen indfører endvidere en selvanmeldelsespligt ved databrud såsom f.eks. hackerangreb, hvor persondata kompromitteres. Virksomheden skal anmelde sådanne brud til Datatilsynet inden 72 timer efter, at den er blevet opmærksom på bruddet.

Persondataforordningen bygger på samme princip som den danske persondatalov, nemlig princippet for god databehandling, hvilket betyder:

  • Der skal være tale om lovlig, retfærdig og gennemsigtig behandling.
  • Formålet med behandling skal være udtrykkeligt angivet og legitimt og senere må behandlingen ikke være uforeneligt med det oprindelige formål.
  • Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige.
  • Personoplysningerne skal være korrekte og om nødvendigt ajourførte.
  • Personoplysninger må kun opbevares, så længe det er nødvendigt.
  • Den dataansvarlige er ansvarlig for behandlingen

Hvad er persondata?

Persondata omfatter alle de personoplysninger, virksomheden ligger inde med – både vedrørende kunder, medarbejdere osv. Jo mere følsom en oplysning er, jo strengere er kravene til virksomheden håndtering af oplysningen.

I persondataforordningens artikel 4 (1) defineres persondata således:

”»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.”

I den danske persondatalov anvendes betegnelsen personoplysninger om persondata, som omfatter enhver form for information om en identificeret eller identificerbar fysisk person. Den danske lov har tre kategorier:

  • Almindelige personoplysninger
    • Navn, adresse, fødselsdato, e-mailadresse, eksaminer, stilling og arbejdsområde.
  • Fortrolige personoplysninger
    • CPR-nummer, økonomi, skatteforhold, sygedage, tjenstlige forhold, familieforhold, sociale forhold og strafbare forhold.
  • Følsomme personoplysninger
    • Race, etnisk baggrund, politisk-, religiøs- og filosofisk overbevisning, fagforeningsmæssige forhold, helbredsmæssige og seksuelle forhold.


Persondataforordningen sondrer mellem almindelige og følsomme personoplysninger:

  • Almindelige personoplysninger
    • Navn, adresse, fødselsdato, væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon
  • Oplysninger om straffedomme og lovovertrædelser
  • Følsomme personoplysninger
    • Race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetisk data, biometriske data mhp. Entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering

Hjemmel til behandling af personoplysninger

Ifølge persondataforordningens artikel 6 er behandling af personoplysninger kun lovlig i nedenstående tilfælde. Når du behandler personoplysninger, skal behandlingen derfor have hjemmel i mindst én af følgende bestemmelser:

  • Artikel 6, litra a
    • Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
  • Artikel 6, litra b
    • Behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
  • Artikel 6, litra c
    • Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
  • Artikel 6, litra d
    • Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
  • Artikel 6, litra e
    • Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
  • Artikel 6, litra f
    • Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Lad Webjura.dk hjælpe dig med at leve op til Persondataforordningen, og slip for at skulle betale dyre bøder. Bestil dit produkt her

Persondata All In One - Webjura.dk