Databeskyttelse

Datatilsynet 2026: rolle, beføjelser og indstilling til bøde

Datatilsynet 2026: den danske tilsynsmyndigheds rolle, beføjelser og den særlige model, hvor Datatilsynet indstiller til bøde, mens domstolene dømmer. Komplet guide.

Also available in:lv

Datatilsynet er Danmarks uafhængige tilsynsmyndighed for databeskyttelse og fører tilsyn med, at databeskyttelsesforordningen og den danske databeskyttelseslov overholdes. Den afgørende danske særegenhed er, at Datatilsynet – i modsætning til tilsynsmyndighederne i næsten alle andre EU-lande – ikke selv kan udstede administrative bøder. Datatilsynet undersøger sager, træffer afgørelser, udtaler kritik og giver påbud, men når en overtrædelse er bødeværdig, afgiver myndigheden en indstilling til bøde og indgiver politianmeldelse. Herefter er det anklagemyndigheden, der rejser sag, og domstolene, der fastsætter den endelige bøde. Denne guide gennemgår Datatilsynets rolle, beføjelser og den særlige håndhævelsesmodel, som enhver dansk virksomhed bør forstå.

Hvad er Datatilsynets rolle?

Datatilsynet er den nationale tilsynsmyndighed efter forordningens kapitel VI. Myndigheden er uafhængig og fører tilsyn med både private virksomheder og offentlige myndigheder. Kerneopgaverne er:

  • At behandle klager fra registrerede
  • At føre planlagte og anledningsbestemte tilsyn
  • At modtage og vurdere anmeldelser af sikkerhedsbrud
  • At vejlede dataansvarlige og databehandlere
  • At samarbejde med de øvrige europæiske tilsynsmyndigheder i Det Europæiske Databeskyttelsesråd (EDPB)

Datatilsynet fungerer også som ledende tilsynsmyndighed i grænseoverskridende sager, hvor en virksomhed har sit hovedetablering i Danmark, efter one-stop-shop-mekanismen. I disse sager samarbejder Datatilsynet med de øvrige berørte tilsynsmyndigheder og med Det Europæiske Databeskyttelsesråd, der kan træffe bindende afgørelser, hvis myndighederne er uenige. For danske virksomheder med aktiviteter i flere EU-lande betyder det, at Datatilsynet ofte er den myndighed, man primært forholder sig til, men at afgørelser kan få virkning i hele EU.

Hvilke beføjelser har Datatilsynet?

Datatilsynet ledes af en direktør og et råd, der træffer afgørelse i de principielle sager, og myndigheden hører ressortmæssigt under Justitsministeriet, men er fagligt uafhængig i sit tilsyn. Forordningens artikel 58 giver tilsynsmyndighederne omfattende beføjelser, og Datatilsynet råder over dem alle – med den centrale undtagelse for bøder. Beføjelserne omfatter:

Beføjelse Hvad Datatilsynet kan Grundlag
Undersøgelse Kræve oplysninger, gennemføre tilsyn på stedet Art. 58, stk. 1
Kritik og påbud Udtale kritik, påbyde lovliggørelse Art. 58, stk. 2
Behandlingsforbud Forbyde eller begrænse en behandling Art. 58, stk. 2
Suspension af overførsler Standse overførsler til tredjelande Art. 58, stk. 2
Indstilling til bøde Anbefale bøde og politianmelde National model

Forskellen fra andre EU-lande er altså ikke tilsynets undersøgelses- og påbudsbeføjelser, som er de samme, men den sidste: hvor for eksempel den franske CNIL selv pålægger bøden, må Datatilsynet nøjes med at indstille.

Den danske model: hvorfor indstiller Datatilsynet i stedet for at bøde?

Den danske ordning skyldes retstraditionen. I dansk ret pålægges strafferetlige sanktioner – og bøder for overtrædelse af databeskyttelsesreglerne betragtes som sådanne – som udgangspunkt af domstolene, ikke af en forvaltningsmyndighed. Derfor kan Datatilsynet ikke selv udstede bøder til virksomheder. Processen er:

  1. Datatilsynet undersøger sagen og træffer afgørelse om, hvorvidt der er sket en overtrædelse.
  2. Hvis overtrædelsen er bødeværdig, afgiver Datatilsynet en indstilling til bøde med et anbefalet beløb og indgiver politianmeldelse.
  3. Anklagemyndigheden vurderer sagen og kan udstede et bødeforelæg (som virksomheden kan vedtage) eller rejse tiltale ved domstolene.
  4. Domstolene fastsætter bøden, hvis virksomheden ikke vedtager forelægget.

Konsekvensen er dobbelt. På den ene side tager sagerne længere tid, og domstolene har flere gange nedsat Datatilsynets indstillede beløb betydeligt. På den anden side betyder det, at bødeniveauet fastlægges gennem retspraksis med de retssikkerhedsgarantier, en straffesag indebærer. Den fulde oversigt over sager og beløb gennemgår jeg i Datatilsynet-bøder 2025.

Hvad viser praksis om indstilling versus dom?

Mønsteret er tydeligt i de tidlige sager. Datatilsynet indstillede ILVA (dengang IDdesign A/S) til 1,5 mio. kr. i 2019; byretten nedsatte til 100.000 kr. i 2021, men Vestre Landsret hævede i september 2025 bøden tilbage til 1,5 mio. kr. og fastslog, at koncernomsætningen er beregningsgrundlaget. Taxa 4x35 blev indstillet til 1,2 mio. kr.; byretten idømte 100.000 kr., og Østre Landsret hævede til 250.000 kr. Danske Bank blev indstillet til op til 10 mio. kr., men politiet opgav sagen. Netcompany blev i 2024 indstillet til 15 mio. kr. – den største indstilling nogensinde.

Læren er, at en indstilling ikke er lig med en bøde, og at det endelige beløb kan afvige markant fra det indstillede – i begge retninger. Landsretterne har på det seneste bevæget sig mod at stadfæste eller hæve Datatilsynets indstillinger frem for at nedsætte dem.

Hvordan foregår et tilsyn?

Et tilsyn indledes ofte med, at Datatilsynet beder om virksomhedens fortegnelse over behandlingsaktiviteter – det første og vigtigste dokument. Derefter kan myndigheden bede om databehandleraftaler, privatlivspolitikker, dokumentation for sikkerhedsforanstaltninger og procedurer for indsigtsanmodninger og brudanmeldelse. En virksomhed, der kan fremvise en ajourført fortegnelse, gyldige aftaler og dokumenterede procedurer, står markant stærkere end en, der skal samle materialet i sidste øjeblik. Se den overordnede ramme i databeskyttelse i Danmark.

Datatilsynets vejledninger og bødevejledning

Datatilsynet udsteder løbende vejledninger, der udfylder forordningens rammer med dansk praksis – om alt fra samtykke og cookies til sikkerhed og overførsler. En central udgivelse er myndighedens bødevejledning, der beskriver, hvordan bøder til virksomheder bør udmåles ud fra overtrædelsens karakter, virksomhedens størrelse og skærpende eller formildende omstændigheder. Selvom det er domstolene, der fastsætter den endelige bøde, giver vejledningen et fingerpeg om det niveau, Datatilsynet indstiller til, og den bruges som referencepunkt af både anklagemyndigheden og forsvaret i bødesager. For en dansk virksomhed er vejledningerne den mest direkte kilde til, hvordan Datatilsynet forventer, at reglerne efterleves i praksis – ofte mere konkret end forordningsteksten selv.

Hvordan forbereder man sig på et tilsyn?

Den bedste forberedelse på et tilsyn er at have dokumentationen på plads, før Datatilsynet henvender sig. Konkret betyder det en ajourført fortegnelse over behandlingsaktiviteter, gyldige databehandleraftaler med alle leverandører, dokumenterede procedurer for indsigtsanmodninger og brudanmeldelse, og – hvor det kræves – en udpeget databeskyttelsesrådgiver og gennemførte konsekvensanalyser for behandlinger med høj risiko. Datatilsynet fører både planlagte tilsyn, hvor myndigheden udvælger et tema og en række virksomheder, og anledningsbestemte tilsyn efter en klage eller et anmeldt brud. I begge tilfælde er den virksomhed, der kan fremvise en levende dokumentation med det samme, langt bedre stillet end den, der skal rekonstruere den under tidspres. En platform som Legiscope, der holder fortegnelsen, databehandleraftalerne og procedurerne ajour løbende, er derfor det mest praktiske værn mod et tilsyn.

Ofte stillede spørgsmål

Kan Datatilsynet selv give bøder?

Nej. Datatilsynet afgiver en indstilling til bøde og indgiver politianmeldelse. Anklagemyndigheden rejser sagen, og domstolene fastsætter den endelige bøde. Denne model adskiller Danmark fra de fleste andre EU-lande, hvor tilsynsmyndigheden selv kan pålægge administrative bøder.

Hvad sker der, hvis Datatilsynet retter henvendelse til min virksomhed?

Typisk beder Datatilsynet om dokumentation – oftest fortegnelsen over behandlingsaktiviteter først. Svar rettidigt og fyldestgørende. En ajourført fortegnelse, gyldige databehandleraftaler og dokumenterede procedurer er det, der afgør, hvordan sagen udvikler sig. Manglende eller forældet dokumentation er i sig selv et problem.

Kan man klage over Datatilsynets afgørelser?

Datatilsynets afgørelser kan som udgangspunkt ikke påklages til anden administrativ myndighed, men de kan indbringes for domstolene. I bødesager er det netop domstolene, der træffer den endelige afgørelse om skyld og bødestørrelse, hvilket giver virksomheden de retssikkerhedsgarantier, en straffesag indebærer.

Konklusion

Datatilsynet er Danmarks uafhængige tilsynsmyndighed med de fulde undersøgelses- og påbudsbeføjelser efter forordningen – men med én afgørende begrænsning: myndigheden kan ikke selv udstede bøder. I stedet indstiller Datatilsynet til bøde og politianmelder, hvorefter anklagemyndigheden og domstolene afgør sagen. Praksis viser, at det indstillede beløb kan afvige markant fra den endelige bøde, og at landsretterne senest har bevæget sig mod at stadfæste eller hæve indstillingerne. For danske virksomheder er den praktiske lære, at et tilsyn begynder med fortegnelsen, og at forberedt, ajourført dokumentation er det bedste værn – uanset hvem der i sidste ende fastsætter en eventuel bøde.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →