Databeskyttelse i Danmark bygger på to lag: databeskyttelsesforordningen (GDPR), der gælder direkte i alle EU-lande, og den danske databeskyttelseslov, der fastsætter de nationale valg oven på forordningen – blandt andet om behandling af CPR-numre, aldersgrænser for samtykke og de særlige regler for offentlige myndigheder. Tilsynet føres af Datatilsynet, men med en dansk særegenhed: Datatilsynet kan ikke selv udstede bøder. Myndigheden afgiver en indstilling til bøde og indgiver en politianmeldelse, hvorefter anklagemyndigheden og domstolene afgør, om og hvor stor en bøde der skal falde. Denne guide gennemgår de pligter, som enhver dansk dataansvarlig og databehandler skal opfylde, hvordan håndhævelsen fungerer, og hvad de danske sager har vist i praksis.
Hvad er retsgrundlaget for databeskyttelse i Danmark?
Databeskyttelsesforordningen (forordning (EU) 2016/679) trådte i kraft den 25. maj 2018 og gælder umiddelbart i dansk ret. Den suppleres af databeskyttelsesloven (lov nr. 502 af 23. maj 2018), der udnytter forordningens nationale råderum. De vigtigste danske særregler er:
- CPR-numre. Behandling af personnummer er reguleret særskilt i databeskyttelseslovens § 11. Private må som udgangspunkt kun behandle CPR-numre, når det følger af lov, den registrerede har givet samtykke, eller det er nødvendigt for entydig identifikation i en berettiget sammenhæng.
- Samtykke fra børn. Danmark har fastsat aldersgrænsen for børns samtykke til informationssamfundstjenester til 13 år – den laveste tilladte grænse efter forordningens artikel 8.
- Offentlige myndigheder. Loven indeholder særlige rammer for offentlige myndigheders behandling og for det bødeniveau, der gælder for staten, regioner og kommuner.
Sektorlovgivning – for eksempel sundhedsloven, retsplejeloven og bogføringsloven – supplerer forordningen med krav om opbevaring eller videregivelse, som den dataansvarlige skal afveje mod databeskyttelsens principper.
Hvem er dataansvarlig og hvem er databehandler?
Sondringen mellem dataansvarlig (den, der bestemmer formål og midler med en behandling) og databehandler (den, der behandler oplysninger på den dataansvarliges vegne) er grundlæggende for hele ansvarsfordelingen. Enhver virksomhed, der bruger eksterne leverandører – hostingudbydere, lønbureauer, e-mailplatforme – skal indgå en databehandleraftale efter artikel 28, der fastlægger leverandørens instruktioner, sikkerhedsforpligtelser og brug af underdatabehandlere.
De fleste danske SMV’er er dataansvarlige for deres medarbejder- og kundeoplysninger og samtidig databehandlere for enkelte kunder. Rollerne skal afklares konkret for hver behandling, fordi de udløser forskellige pligter.
De centrale pligter for danske virksomheder
| Pligt | Hjemmel | Hvad det kræver i praksis |
|---|---|---|
| Fortegnelse over behandlingsaktiviteter | Art. 30 | Struktureret fortegnelse over alle behandlinger, formål, kategorier og sletningsfrister |
| Retsgrundlag | Art. 6 og 9 | Dokumenteret hjemmel for hver behandling; skærpede krav ved følsomme oplysninger |
| Oplysningspligt | Art. 13-14 | Klar privatlivspolitik til registrerede |
| Indsigtsret og øvrige rettigheder | Art. 15-22 | Håndtering af indsigtsanmodninger inden for en måned |
| Sikkerhed | Art. 32 | Tekniske og organisatoriske foranstaltninger tilpasset risikoen |
| Anmeldelse af brud | Art. 33-34 | Anmeldelse til Datatilsynet inden 72 timer |
| Konsekvensanalyse | Art. 35 | DPIA ved behandlinger med høj risiko |
| Databeskyttelsesrådgiver | Art. 37 | DPO ved myndigheder og visse behandlinger i stor skala |
Fortegnelsen efter artikel 30 er i praksis det første dokument, Datatilsynet beder om i en tilsynssag. En fortegnelse, der ikke afspejler virkeligheden, er både en selvstændig overtrædelse og et signal om, at resten af programmet ikke er på plads.
Hvornår skal en dansk virksomhed have en databeskyttelsesrådgiver?
En databeskyttelsesrådgiver (DPO) er obligatorisk efter artikel 37 for offentlige myndigheder, for virksomheder hvis kerneaktivitet består i regelmæssig og systematisk overvågning af registrerede i stor skala, og for virksomheder hvis kerneaktivitet er behandling af følsomme oplysninger i stor skala. I Danmark betyder det, at alle kommuner, regioner og statslige myndigheder har en DPO, mens private virksomheder skal foretage en konkret vurdering. Selv når en DPO ikke er obligatorisk, dokumenterer mange virksomheder vurderingen – også beslutningen om ikke at udpege en rådgiver skal kunne begrundes.
Hvordan håndhæves reglerne? Den danske model
Her adskiller Danmark sig markant fra næsten alle andre EU-lande. I lande som Frankrig og Tyskland kan tilsynsmyndigheden selv pålægge administrative bøder. Det kan Datatilsynet ikke. Processen er:
- Datatilsynet undersøger en sag – ofte efter en klage, et anmeldt sikkerhedsbrud eller et planlagt tilsyn.
- Datatilsynet afgiver en indstilling til bøde og indgiver politianmeldelse, hvis myndigheden vurderer, at overtrædelsen er bødeværdig.
- Anklagemyndigheden vurderer sagen og kan udstede et bødeforelæg eller rejse tiltale.
- Domstolene fastsætter bøden, hvis virksomheden ikke vedtager et bødeforelæg.
Konsekvensen er, at der går lang tid, og at domstolene flere gange har nedsat Datatilsynets indstillede beløb betydeligt. Det gør ikke overtrædelser billige – men det betyder, at det endelige bødeniveau afgøres af domstolene, ikke af tilsynet.
Hvad viser de danske bødesager?
De første og mest principielle danske sager tegner mønsteret:
- ILVA (tidligere IDdesign A/S, Lars Larsen Group) fik Danmarks første GDPR-sag. Datatilsynet indstillede i 2019 en bøde på 1,5 mio. kr. for manglende sletning af oplysninger om ca. 385.000 kunder. Byretten nedsatte i 2021 bøden til 100.000 kr., men Vestre Landsret hævede den den 2. september 2025 tilbage til 1,5 mio. kr. og fastslog, at bøden skal beregnes på grundlag af hele koncernens omsætning.
- Taxa 4x35 blev i 2019 indstillet til en bøde på 1,2 mio. kr. for at gemme kundeoplysninger knyttet til knap ni millioner taxature i fem år frem for de nødvendige to. Byretten idømte 100.000 kr., men Østre Landsret hævede bøden til 250.000 kr.
- Danske Bank blev i 2022 politianmeldt og indstillet til en bøde på op til 10 mio. kr., fordi banken i over 400 systemer ikke kunne dokumentere reglerne for sletning og opbevaring. Sagen blev senere opgivet af politiet – et eksempel på, at indstilling ikke er lig med bøde.
- Netcompany blev i januar 2024 indstillet til 15 mio. kr. for udviklingen af mit.dk – den største indstilling nogensinde – på grund af manglende indbygget sikkerhed og manglende konsekvensanalyse.
Den fulde oversigt og de nyeste sager gennemgår jeg i Datatilsynet-bøder 2025, og Datatilsynets rolle og beføjelser uddyber jeg i guiden til Datatilsynet.
Databeskyttelse ud over GDPR: NIS2 og DORA
Databeskyttelse står sjældent alene. To EU-regelsæt supplerer GDPR for danske virksomheder:
- NIS2 stiller cybersikkerhedskrav til væsentlige og vigtige entiteter. Danmark har gennemført direktivet med en ny lov, der trådte i kraft den 1. juli 2025 – se NIS2 i Danmark.
- DORA stiller krav til digital operationel modstandsdygtighed i den finansielle sektor og håndhæves af Finanstilsynet – se DORA i Danmark.
Sikkerhedsforanstaltningerne i disse regelsæt overlapper i vid udstrækning artikel 32 i databeskyttelsesforordningen, hvilket gør det oplagt at samle dokumentationen ét sted.
Sådan kommer en dansk virksomhed i mål
En pragmatisk rækkefølge for en dansk SMV: kortlæg behandlingerne og opret en fortegnelse efter artikel 30, fastlæg retsgrundlaget for hver behandling, indgå databehandleraftaler med alle leverandører, opret privatlivspolitikker, etabl er et arbejdsflow for indsigtsanmodninger og brudanmeldelse inden for fristerne, og gennemfør konsekvensanalyser for behandlinger med høj risiko. For de fleste virksomheder er det urealistisk at holde dette ajour i regneark. En dedikeret GDPR-software med dansk output og EU-hosting – for eksempel Legiscope – automatiserer fortegnelse, databehandleraftaler og fristovervågning, så dokumentationen forbliver et levende værktøj frem for et dødt regneark.
Overførsler af personoplysninger til tredjelande
Et tilbagevendende spørgsmål for danske virksomheder er overførsel af personoplysninger uden for EU/EØS. Efter forordningens kapitel V kræver enhver overførsel til et tredjeland et gyldigt overførselsgrundlag: en tilstrækkelighedsafgørelse fra Kommissionen, standardkontraktbestemmelser (SCC’er), bindende virksomhedsregler eller en af undtagelserne i artikel 49. Efter EU-Domstolens Schrems II-dom skal virksomheden desuden vurdere, om modtagerlandets lovgivning reelt beskytter oplysningerne, og om nødvendigt træffe supplerende foranstaltninger som kryptering. I praksis er det derfor en fordel, når virksomhedens leverandører – herunder databehandlere og compliance-værktøjer – hostes i EU, fordi det fjerner overførselsspørgsmålet helt. En dansk virksomhed bør kortlægge sine overførsler i fortegnelsen og dokumentere grundlaget for hver enkelt.
Praktiske skabeloner og dokumenter
En stor del af det praktiske databeskyttelsesarbejde består i at have de rigtige dokumenter på plads: en fortegnelse efter artikel 30, databehandleraftaler efter artikel 28, en privatlivspolitik efter artikel 13-14 og procedurer for indsigtsanmodninger og brudanmeldelse. For behandlinger med høj risiko skal der desuden udarbejdes en konsekvensanalyse (DPIA). Disse dokumenter hænger sammen: fortegnelsen er udgangspunktet, og alt andet – databehandleraftaler, privatlivspolitikker, indsigtssvar og DPIA’er – tager afsæt i, hvad fortegnelsen viser om virksomhedens behandlinger. Det er grunden til, at en samlet GDPR-platform er mere effektiv end at føre dokumenterne hver for sig.
Ofte stillede spørgsmål
Kan Datatilsynet selv give bøder?
Nej. Datatilsynet afgiver en indstilling til bøde og indgiver politianmeldelse. Det er anklagemyndigheden, der rejser sag, og domstolene, der fastsætter den endelige bøde. Denne model er en dansk særegenhed sammenlignet med de fleste andre EU-lande.
Hvad er den største GDPR-bøde i Danmark?
Den største indstilling er 15 mio. kr. mod Netcompany (januar 2024) for udviklingen af mit.dk. Den største bøde, der er stadfæstet af en landsret, er 1,5 mio. kr. mod ILVA (Vestre Landsret, september 2025).
Skal alle danske virksomheder have en databeskyttelsesrådgiver?
Nej. Alle offentlige myndigheder skal have en DPO, men private virksomheder skal kun udpege en, hvis kerneaktiviteten indebærer systematisk overvågning i stor skala eller behandling af følsomme oplysninger i stor skala. Vurderingen bør dokumenteres.
Konklusion
Databeskyttelse i Danmark hviler på databeskyttelsesforordningen suppleret af databeskyttelsesloven, med Datatilsynet som tilsynsmyndighed. Den afgørende danske forskel er håndhævelsesmodellen: Datatilsynet indstiller til bøde, men domstolene dømmer – og de har både nedsat og siden hævet bøderne igen, senest da Vestre Landsret fastslog, at koncernomsætningen er beregningsgrundlaget. For danske virksomheder er den praktiske lære, at pligterne er reelle og dokumentationskravene konkrete: en ajourført fortegnelse, gyldige databehandleraftaler, overholdte frister og en risikobaseret sikkerhed er det, der afgør en tilsynssag. Byg dokumentationen systematisk, samordn den med NIS2 og DORA hvor det er relevant, og behandl efterlevelse som en løbende proces snarere end et engangsprojekt.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial