Business Privacy Policy Denmark
Danmark — databeskyttelsesloven (LOV nr. 502/2018) og GDPR
PERSONDATAPOLITIK
[Virksomhedens navn]
CVR-nr. [CVR-nummer] · [Virksomhedens adresse]
Senest opdateret: [Dato for seneste opdatering]
1. Dataansvarlig
Den dataansvarlige for behandlingen af dine personoplysninger er [Virksomhedens navn], CVR-nr. [CVR-nummer], [Virksomhedens adresse]. Du kan kontakte os om databeskyttelse på e-mail: [E-mailadresse].
2. Kategorier af personoplysninger og formål
Vi behandler følgende kategorier af personoplysninger om kunder og besøgende: [Kategorier].
Formålet med behandlingen er at opfylde vores aftale med dig (GDPR art. 6, stk. 1, litra b), overholde lovkrav (litra c), og varetage vores legitime interesser (litra f), herunder at forbedre vores produkter og yde god kundeservice.
3. Opbevaring og sletning
Vi opbevarer dine personoplysninger i [Opbevaringsperiode] efter det retsforhold, der begrunder behandlingen, ophører, medmindre vi er forpligtet til at opbevare dem længere i henhold til bogføringsloven eller skatteregler. Herefter slettes eller anonymiseres dine oplysninger.
4. Dine rettigheder
Du har i henhold til databeskyttelsesforordningen (GDPR) og databeskyttelsesloven (LOV nr. 502 af 23/05/2018) følgende rettigheder:
Indsigtsret (GDPR art. 15): Du har ret til at få oplyst, hvilke personoplysninger vi behandler om dig.
Berigtigelse (art. 16): Du har ret til at få urigtige oplysninger om dig rettet.
Sletning (art. 17): Du har i visse tilfælde ret til at få dine oplysninger slettet, inden vores normale slettefrist indtræder.
Begrænsning (art. 18): Du har ret til at få behandling af dine oplysninger begrænset i visse situationer.
Dataportabilitet (art. 20): Du har ret til at modtage dine oplysninger i et struktureret, almindeligt anvendt format.
Indsigelse (art. 21): Du har ret til at gøre indsigelse mod behandling, der er baseret på vores legitime interesser.
Du kan gøre brug af dine rettigheder ved at kontakte os på [E-mailadresse]. Vi besvarer henvendelser senest inden for 1 måned.
5. Klage til Datatilsynet
Er du utilfreds med vores behandling af dine personoplysninger, har du ret til at indgive en klage til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, telefon 33 19 32 00, www.datatilsynet.dk. Vi opfordrer dig til at kontakte os først, så vi kan forsøge at løse problemet.
What Is a Business Privacy Policy Denmark?
En persondatapolitik for virksomhed i Danmark er det dokument, der opfylder den dataansvarliges oplysningspligt over for de registrerede i henhold til databeskyttelsesforordningen (GDPR, EU-forordning 2016/679) og den danske databeskyttelseslov (LOV nr. 502 af 23. maj 2018). Dokumentet er ikke blot god praksis — det er et retskrav, der gælder fra det øjeblik, virksomheden indsamler personoplysninger om kunder, besøgende, samarbejdspartnere eller medarbejdere.
GDPR trådte i kraft den 25. maj 2018 og er direkte gældende i alle EU-lande. Den danske databeskyttelseslov supplerer GDPR med nationale særregler, herunder regler om CPR-nummeret (§ 11), samtykkealdre for børn (§ 6: 15 år i Danmark), og Datatilsynets beføjelser. Datatilsynet er den danske tilsynsmyndighed, beliggende i Valby, og kan pålægge virksomheder bøder, påbud og forbud ved overtrædelser af reglerne.
Oplysningspligten, der er fastsat i GDPR art. 13-14, kræver, at den dataansvarlige på tidspunktet for indsamlingen oplyser de registrerede om: hvem der er dataansvarlig, formålet med behandlingen, retsgrundlaget for behandlingen, opbevaringsperioden, eventuelle modtagere eller tredjeland-overførsler, og den registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse). Persondatapolitikken er den primære kanal til opfyldelse af disse oplysningskrav.
En virksomheds persondatapolitik behandler typisk personoplysninger under to eller tre kategorier af registrerede: kunder og besøgende (navn, e-mail, IP-adresse, købs- og betalingsoplysninger), medarbejdere (CPR-nummer, løndata, ansættelsesforhold, sygemeldinger), og eventuelt samarbejdspartnere. Hver kategori har forskellige retsgrundlag og opbevaringsperioder.
Retsgrundlaget for behandlingen er afgørende: GDPR art. 6 opstiller seks mulige retsgrundlag, herunder opfyldelse af aftale (litra b), retlig forpligtelse (litra c), legitim interesse (litra f) og samtykke (litra a). Markedsføring til forbrugere kræver som udgangspunkt samtykke, jf. markedsføringsloven (LBK nr. 1420 af 02. december 2024).
Persistent cookies og tracking kræver ligeledes samtykke under cookiereglerne (e-databeskyttelsesdirektivet og Datatilsynets vejledning), der er suppleret af markedsføringsloven. Forms-legal.com leverer en komplet skabelon, der dækker alle GDPR-krav til persondatapolitikken for en dansk virksomhed. En virksomheds persondatapolitik er et levende dokument, der opdateres når behandlingsaktiviteterne ændres. Datatilsynets vejledning om privatlivspolitikker angiver konkrete krav tilgængelige på datatilsynet.dk. Virksomheder med cookies er underlagt yderligere forpligtelse: cookiebanner med samtykke og cookiepolitik i overensstemmelse med Datatilsynets vejledning fra 2021 og e-databeskyttelsesdirektivet. Persondatapolitikken og cookiepolitikken supplerer hinanden og bor fremgå tydeligt i sidefoden. Brud på persondatasikkerheden skal anmeldes til Datatilsynet senest 72 timer efter konstatering, jf. GDPR art. 33.
When Do You Need a Business Privacy Policy Denmark?
En persondatapolitik for virksomhed i Danmark er nødvendig i alle de situationer, hvor virksomheden indsamler eller behandler personoplysninger. Alle følgende situationer udløser pligten.
Hjemmeside med kontaktformular eller cookies. Enhver virksomhed, der driver en hjemmeside med kontaktformular, nyhedsbrevstilmelding, webshop eller statistikcookies, indsamler personoplysninger og er forpligtet til at have en tilgængelig persondatapolitik. Datatilsynet har i sin vejledning præciseret, at cookies, der identificerer den besøgende, er personoplysninger.
Kundedatabase og CRM. En virksomhed, der registrerer kundeoplysninger i et CRM-system, en regnskabsapplikation eller en kundeliste, behandler personoplysninger og er forpligtet til at informere kunderne herom ved indsamlingen, jf. GDPR art. 13.
Medarbejderansættelse. Arbejdsgiver behandler en bred vifte af personoplysninger om medarbejdere fra ansøgningsprocessen til fratrædelsen: CPR-nummer, løn, ansættelsesbetingelser, sygeoplysninger, pensionsindberetninger og skatteforhold. Persondatapolitikken — eventuelt suppleret med en intern medarbejderdatapolitik — informerer medarbejderne om disse behandlinger, jf. GDPR art. 13 og databeskyttelsesloven § 11 om CPR.
Nyhedsbrev og markedsføring. Udsender virksomheden nyhedsbreve eller e-mailmarkedsføring baseret på samtykke, skal persondatapolitikken klart beskrive samtykkets formål og de registreredes ret til at tilbagekalde samtykket til enhver tid, jf. GDPR art. 7 og markedsføringsloven.
Videoovervågning. Anvender virksomheden videoovervågning — f.eks. i butik eller ved indgang — er dette en behandling af personoplysninger, der kræver oplysningsskiltning og en politikbeskrivelse i overensstemmelse med TV-overvågningsloven og GDPR.
Deling med databehandler. Bruger virksomheden en cloud-leverandør, et regnskabssystem, et mailmarkedsføringssystem eller en anden tjeneste, der behandler personoplysninger på virksomhedens vegne, kræver GDPR art. 28 en databehandleraftale. Persondatapolitikken bør informere de registrerede om, at deres data deles med sådanne databehandlere.
Kompliancekrav fra partnere og investorer. Banker, forsikringsselskaber og investorer forventer, at virksomheder har en opdateret og GDPR-kompatibel persondatapolitik som dokumentation for en ansvarlig databehandling. En manglende eller forældet politik kan skabe tvivl om virksomhedens komplianceniveau.
What to Include in Your Business Privacy Policy Denmark
En GDPR-kompatibel persondatapolitik for en dansk virksomhed bør indeholde følgende elementer, der tilsammen opfylder oplysningspligten i GDPR art. 13-14.
Den dataansvarliges identitet og kontaktoplysninger. Politikken skal identificere den dataansvarlige ved navn, CVR-nummer, adresse og kontaktoplysninger, herunder en e-mailadresse, der kan benyttes til databeskyttelseshenvendelser, jf. GDPR art. 13, stk. 1, litra a. Virksomheder, der er forpligtet til at have en databeskyttelsesrådgiver (DPO), skal oplyse dennes kontaktoplysninger, jf. GDPR art. 13, stk. 1, litra b. DPO er påkrævet for offentlige myndigheder og private virksomheder, der som led i kerneaktiviteterne foretager storstilet behandling af følsomme personoplysninger eller systematisk monitorering, jf. GDPR art. 37. Besøg forms-legal.com for supplerende dokumenter til GDPR-kompliancen.
Kategorier af personoplysninger og formål. Politikken specificerer, hvilke typer personoplysninger der behandles (navn, e-mail, CPR, IP-adresse, betalingsoplysninger mv.) og formålene med behandlingen (opfyldelse af aftale, kundeservice, markedsføring, bogføring). Et klart formålsbeskrivelse forebygger „purpose creep" og er et krav under GDPR art. 5, stk. 1, litra b.
Retsgrundlag for behandlingen. Hvert formål skal have et klart retsgrundlag, jf. GDPR art. 6. De mest anvendte retsgrundlag er: opfyldelse af aftale (litra b) for kundeordrer og fakturering, retlig forpligtelse (litra c) for bogføring og skatteindberetning, legitim interesse (litra f) for kundeservice og intern analyse, og samtykke (litra a) for nyhedsbrev og markedsføring.
Opbevaringsperiode. Politikken angiver, hvor længe personoplysningerne opbevares, jf. GDPR art. 13, stk. 2, litra a. Bogføringsloven kræver opbevaring i 5 år; Skattestyrelsen kan kræve 7 år; forholdsbestemmelser fra kontraktforhold følger forældelsesfristen på 3 til 5 år. Oplysninger, der ikke længere er nødvendige, skal slettes.
Modtagere og tredjeland-overførsler. Er der databehandlere, modtagere i tredjelande eller internationale koncernforbindelser, skal disse oplyses med angivelse af overførselsgrundlaget (SCC, adequacy-beslutning), jf. GDPR art. 13, stk. 1, litra e og GDPR kap. V.
De registreredes rettigheder. Politikken redegør for indsigtsretten (art. 15), retten til berigtigelse (art. 16), retten til sletning (art. 17), retten til begrænsning (art. 18), dataportabilitetsretten (art. 20), retten til indsigelse (art. 21) og retten til at klage til Datatilsynet (art. 77).
Klagemulighed til Datatilsynet. Politikken oplyser om muligheden for at klage til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, jf. GDPR art. 13, stk. 2, litra d. Cookiepolitik og samtykke. Hjemmesider med analytiske cookies fra Google Analytics eller markedsforingscookies fra Meta Pixel skal indhente samtykke inden cookies sættes. Samtykkebånneretgiver valg efter kategori. Persondatapolitikken bor referere cookiepolitikken. Fortegnelse over behandlingsaktiviteter jf. GDPR art. 30 er obligatorisk for virksomheder med 250 eller flere ansatte og anbefales generelt som compliancedokument.
How to Fill Out Your Business Privacy Policy Denmark
En persondatapolitik for virksomhed i Danmark udfyldes ved at gennemgå disse trin omhyggeligt og tilpasse skabelonen til virksomhedens konkrete behandlingsaktiviteter.
Trin 1 - Angiv den dataansvarliges oplysninger. Anfør virksomhedens fulde navn, CVR-nummer og adresse som de fremgår af CVR. Angiv en dedikeret e-mailadresse til databeskyttelseshenvendelser — privacyafdelingen, direktøren eller en ekstern DPO. Har virksomheden en DPO, angives dennes kontaktoplysninger.
Trin 2 - Kortlæg hvilke personoplysninger virksomheden indsamler. Gå systematisk igennem alle kontaktpunkter: hjemmeside, kontaktformular, nyhedsbrevssystem, CRM-system, regnskabssystem og medarbejderdata. Identificér alle kategorier af personoplysninger og notér formålet med indsamlingen for hvert system.
Trin 3 - Fastlæg retsgrundlaget. For hvert formål fastlægges det relevante retsgrundlag under GDPR art. 6. Markedsføring til forbrugere kræver eksplicit samtykke. Bogføring og fakturering er begrundet i retlig forpligtelse. Kundeserviceopgaver er typisk begrundet i legitim interesse. Vær præcis — vag formulering om „legitim interesse" kan anfægtes af Datatilsynet.
Trin 4 - Fastlæg opbevaringsperioder. For hver kategori af personoplysninger angives en konkret opbevaringsperiode, der afspejler virksomhedens juridiske og forretningsmæssige behov. Bogføringsloven: 5 år. Skatteoplysninger: op til 7 år. Kundeoplysninger efter aftaleforhold: typisk 3-5 år (forldelsesfristen). Marketingoplysninger: tilbagekaldes ved samtykkets tilbagekaldelse.
Trin 5 - Angiv modtagere og tredjeland-overførsler. Listér alle databehandlere: cloud-leverandører, e-mailsystemer, betalingsgateways, analyseværktøjer (Google Analytics, Meta Pixel mv.). Anvend virksomheden US-baserede tjenester (eksempelvis Google Workspace, Salesforce), angives overførselsgrundlaget — typisk EU's standardkontraktklausuler (SCC).
Trin 6 - Beskriv de registreredes rettigheder og klagevej. Beskriv kortfattet, hvordan de registrerede kan udøve deres rettigheder, og angiv Datatilsynets kontaktoplysninger. Sæt en intern frist for besvarelse af indsigtsanmodninger (max 1 måned, jf. GDPR art. 12).
Trin 7 - Publicér politikken og opdatér ved behov. Gør politikken tilgængelig på hjemmesiden og i alle relevante kundekommunikationskanaler. Opdatér politikken ved ændringer i behandlingsaktiviteterne og giv de registrerede besked, jf. GDPR art. 13. Notér datoen for seneste opdatering.
Legal Requirements for Business Privacy Policy Denmark
En persondatapolitik for virksomhed i Danmark er underlagt GDPR og den danske databeskyttelseslov, der tilsammen fastlægger de præcise krav.
GDPR art. 13-14 — oplysningspligten. GDPR (EU-forordning 2016/679) art. 13 pålægger den dataansvarlige at informere den registrerede ved indsamlingen om: den dataansvarliges identitet og kontakt (herunder DPO ved krav), formål og retsgrundlag for behandlingen, opbevaringsperioden, modtagere, ret til at klage til tilsynsmyndighed, og de registreredes rettigheder. Art. 14 gælder for oplysninger, der ikke er indsamlet direkte fra den registrerede.
Databeskyttelsesloven (LOV nr. 502 af 23/05/2018). Den danske databeskyttelseslov supplerer GDPR med nationale særbestemmelser. § 6 fastslår, at behandling af børns personoplysninger i tilknytning til informationssamfundstjenester kræver samtykke fra den, der er forældreansvarsindehaver, for børn under 15 år. § 11 fastslår, at CPR-nummeret kun må behandles, når det er nødvendigt for entydig identifikation, og ikke til brug som generelt identifikationsmiddel.
GDPR art. 5 — databeskyttelsesprincipper. Enhver behandling skal overholde principperne i art. 5: lovlighed, rimelighed og gennemsigtighed; formålsbegrænsning; dataminimering; rigtighed; opbevaringsbegrænsning; integritet og fortrolighed. Persondatapolitikken er den primære mekanisme for gennemsigtighedsprincippet.
GDPR art. 37-39 — DPO. Virksomheder, der som led i kerneaktiviteterne foretager storstilet, systematisk overvågning af registrerede eller behandler følsomme personoplysninger (sundhedsoplysninger, politiske holdninger, fagforeningstilhørsforhold mv.) i stort omfang, skal udpege en DPO. DPO'ens kontaktoplysninger skal fremgå af politikken.
Markedsføringsloven (LBK nr. 1420 af 02/12/2024). Elektronisk markedsføring til forbrugere kræver forudgående samtykke, jf. markedsføringsloven. B2B-markedsføring kan i visse tilfælde ske på grundlag af et legitimt formål. Persondatapolitikken bør tydeliggøre retsgrundlaget for markedsføring.
GDPR art. 83 — bøder. Overtrædelse af oplysningspligten kan medføre bøder på op til 10 mio. EUR eller 2 % af den globale omsætning (art. 83, stk. 4) og alvorligere overtrædelser på op til 20 mio. EUR eller 4 % (art. 83, stk. 5). Datatilsynet kan ligeledes udstede påbud og forbud. En opdateret og GDPR-kompatibel persondatapolitik er et afgørende element i en virksomheds databeskyttelseskomplianceprogram.
Common Mistakes to Avoid in Your Business Privacy Policy Denmark
Persondatapolitikker for danske virksomheder lider af en række typiske fejl, der kan medføre krav fra Datatilsynet eller de registrerede.
Fejl 1 - Politikken er en generisk kopiering uden tilpasning. Den mest udbredte fejl er, at virksomheder kopierer en standardpolitik fra nettet uden at tilpasse den til de konkrete behandlingsaktiviteter. Datatilsynet forventer, at politikken afspejler den faktiske behandling. En politik, der nævner behandlinger, der ikke finder sted, eller undlader at nævne faktiske behandlinger, er misvisende og i strid med gennemsigtighedsprincippet i GDPR art. 5.
Fejl 2 - Retsgrundlaget er uklart eller mangler. Mange politikker lister behandlingsformål uden at angive det konkrete retsgrundlag. GDPR art. 13, stk. 1, litra c kræver en oplysning om behandlingens retsgrundlag. Brug af „legitim interesse" uden en balanceringstest er utilstrækkeligt. Samtykke som retsgrundlag kræver, at samtykket er specifikt og frivilligt, og at det kan tilbagekaldes let.
Fejl 3 - Opbevaringsperioderne er upræcise. En politik, der blot angiver, at oplysninger opbevares „så længe det er nødvendigt", opfylder ikke kravet i GDPR art. 13, stk. 2, litra a. Angiv konkrete tidsfrister for de primære kategorier af oplysninger: bogføring 5 år, skatteoplysninger 7 år, kundekontaktoplysninger 3 år efter aftaleforhold.
Fejl 4 - Tredjeland-overførsler oplyses ikke. Anvender virksomheden US-baserede cloud-tjenester (Google, Microsoft, Amazon) eller marketingplatforme (Mailchimp, HubSpot), videregives personoplysninger til tredjelande. Disse overførsler kræver oplysning i politikken med angivelse af overførselsgrundlaget, jf. GDPR art. 13, stk. 1, litra f.
Fejl 5 - Politikken opdateres ikke. Behandlingsaktiviteterne ændres løbende — nye systemer introduceres, eksisterende systemer udfases, og lovgivningen opdateres. En forældet persondatapolitik, der ikke afspejler de faktiske forhold, er i strid med GDPR's gennemsigtighedskrav. Sæt en kalenderreminder om at gennemgå politikken mindst en gang om året.
Fejl 6 - Klageadgangen til Datatilsynet mangler. GDPR art. 13, stk. 2, litra d kræver, at politikken informerer den registrerede om retten til at klage til tilsynsmyndigheden. Manglende oplysning om Datatilsynets kontaktoplysninger er en konkret overtrædelse af oplysningspligten.
Fejl 7 - CPR-nummeret behandles uden korrekt hjemmel. CPR-nummeret er et særlig beskyttet persondatum i Danmark, og databeskyttelsesloven § 11 fastslår, at det kun må behandles, når det er nødvendigt for entydig identifikation. Anvender virksomheden CPR-nummeret (f.eks. ved medarbejderansættelse eller skatteindberetning), skal dette fremgå af politikken med angivelse af retsgrundlaget og nødvendigheden.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Business Privacy Policy Denmark (Denmark) [Legal document template]. Forms Legal. https://forms-legal.com/danmark/business/policies/privacy-policy-business-denmark
"Business Privacy Policy Denmark (Denmark)." Forms Legal, 2026, https://forms-legal.com/danmark/business/policies/privacy-policy-business-denmark.
@misc{formslegal-privacy-policy-business-denmark,
author = {{Forms Legal}},
title = {Business Privacy Policy Denmark (Denmark)},
year = {2026},
howpublished = {\url{https://forms-legal.com/danmark/business/policies/privacy-policy-business-denmark}},
note = {Free legal document template}
}Frequently Asked Questions
Ja, enhver virksomhed, der behandler personoplysninger om kunder, besøgende, medarbejdere eller samarbejdspartnere, er forpligtet til at overholde oplysningspligten i GDPR art. 13-14. En tilgængelig og opdateret persondatapolitik er den primære metode til at opfylde oplysningspligten. GDPR er direkte gældende i Danmark og suppleres af den danske databeskyttelseslov (LOV nr. 502 af 23/05/2018). Datatilsynet fører tilsyn med, at reglerne overholdes, og kan pålægge bøder på op til 20 mio. EUR eller 4 % af den globale omsætning for alvorlige overtrædelser. En virksomhed, der kun driver et fysisk sted og ikke har nogen hjemmeside, men stadig registrerer kundeoplysninger i et regnskabsprogram eller CRM-system, er ligeledes forpligtet til at informere kunderne om behandlingen ved indsamlingen. Pligten er ikke begrænset til virksomheder med hjemmesider.
Retsgrundlaget for behandling af personoplysninger fastlægges i GDPR art. 6. For en typisk dansk virksomhed er de mest relevante retsgrundlag: (1) Opfyldelse af aftale (art. 6, stk. 1, litra b) for behandling af kundeoplysninger til brug for levering af en vare eller tjenesteydelse — eksempelvis navn, adresse, e-mail og betalingsoplysninger til fakturering og levering. (2) Retlig forpligtelse (art. 6, stk. 1, litra c) for bogføring og skatteindberetning i henhold til bogføringsloven og kildeskatteloven. (3) Legitim interesse (art. 6, stk. 1, litra f) for f.eks. fremsendelse af service-e-mails, forebyggelse af svig og intern analyse af driften. Den legitime interesse skal afvejes mod den registreredes interesser i en balanceringstest. (4) Samtykke (art. 6, stk. 1, litra a) er påkrævet for direkte markedsføring til forbrugere, jf. markedsføringsloven, og for behandling af følsomme personoplysninger (art. 9), medmindre et andet undtagelsesgrundlag er til stede.
Datatilsynet er den danske tilsynsmyndighed for databeskyttelse, udpeget i henhold til GDPR art. 51. Datatilsynet er en uafhængig statslig myndighed under Justitsministeriet og har sæde i Valby. Datatilsynets opgaver omfatter: tilsyn med at virksomheder og myndigheder overholder GDPR og databeskyttelsesloven; behandling af klager fra registrerede; vejledning af virksomheder og myndigheder om databeskyttelse; og håndhævelse med mulighed for at udstede påbud, forbud og bøder. Datatilsynet kan pålægge bøder på op til 20 mio. EUR eller 4 % af den globale omsætning, jf. GDPR art. 83, stk. 5, for de alvorligste overtrædelser. Enhver registreret kan indgive en gratis klage til Datatilsynet, hvis vedkommende mener, at virksomheden behandler personoplysninger i strid med reglerne. Datatilsynets vejledninger og afgørelser er tilgængelige på datatilsynet.dk og er en vigtig kilde til forståelse af de praktiske krav til GDPR-kompliancen i Danmark.
Den dataansvarlige er den virksomhed eller myndighed, der bestemmer formålene med og midlerne til behandlingen af personoplysninger, jf. GDPR art. 4, nr. 7. I praksis er det virksomheden selv — webshop-ejeren, arbejdsgiveren, leverandøren — der er dataansvarlig for de kundeoplysninger, medarbejderoplysninger og forretningsdata, som virksomheden indsamler. En databehandler er derimod en ekstern aktør, der behandler personoplysninger på den dataansvarliges vegne og efter dennes instruks, jf. GDPR art. 4, nr. 8. Typiske eksempler er en cloud-leverandør (eksempelvis Microsoft Azure, Google Cloud), et mailsystem (eksempelvis Mailchimp), et regnskabssystem (eksempelvis e-conomic, Billy) eller et CRM-system (eksempelvis HubSpot). Mellem den dataansvarlige og databehandleren skal der indgås en databehandleraftale, jf. GDPR art. 28, der fastlægger instrukserne til databehandleren, sikkerhedskravene og ansvarsfordelingen. Persondatapolitikken bør oplyse de registrerede om de væsentligste kategorier af databehandlere.
Nej, persondatapolitikken skal afspejle virksomhedens konkrete behandlingsaktiviteter. En lille enkeltmandsvirksomhed eller et lille ApS med begrænset kundebehandling har langt færre kategorier af personoplysninger og simpler retsgrundlag end en større virksomhed med komplekse datastrømme, internationale kunder og mange ansatte. En generisk kopieret politik fra en stor virksomhed vil typisk indeholde behandlingsformål og kategorier, der ikke er relevante for den lille virksomhed, og kan omvendt mangle omtale af de behandlinger, der faktisk finder sted. Datatilsynet har vejledninger særligt rettet mod små virksomheder, og GDPR's krav er skalerede i visse henseender — f.eks. er kravet om fortegnelse over behandlingsaktiviteter (art. 30) ikke obligatorisk for virksomheder med under 250 ansatte, medmindre behandlingen er regelmæssig eller kan udgøre en risiko for de registrerede. Det anbefales at tage udgangspunkt i en skabelon som den, forms-legal.com tilbyder, og tilpasse den til de faktiske forhold.
En manglende eller utilstrækkelig persondatapolitik er en overtrædelse af oplysningspligten i GDPR art. 13-14 og kan medføre en række konsekvenser. Datatilsynet kan efter behandling af en klage eller en egeninitieret tilsynssag udstede et påbud om at bringe behandlingen i overensstemmelse med reglerne, herunder et krav om at offentliggøre en korrekt politik inden for en given frist. Ved gentagne eller alvorlige overtrædelser kan Datatilsynet pålægge administrative bøder. Overtrædelse af oplysningspligten (art. 13-14) er underkastet bødeniveauet i GDPR art. 83, stk. 4: op til 10 mio. EUR eller 2 % af den globale omsætning. En registreret, der ikke har fået de nødvendige oplysninger, kan desuden kræve erstatning i henhold til GDPR art. 82. Derudover kan manglende GDPR-kompliancen skade virksomhedens omdømme og gøre det sværere at samarbejde med kunder og partnere, der stiller krav om dokumenteret databeskyttelseskompliancen.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Indsigtsbegæring efter GDPR Danmark
Skriftlig indsigtsbegæring efter databeskyttelsesforordningen (GDPR) art. 15 og databeskyttelsesloven (LOV nr. 502 af 23-05-2018). Dækker omfang, format, månedsfristen, gratis behandling og adgangen til at klage til Datatilsynet.
Samtykkeerklæring til billeder Danmark
Skriftlig samtykkeerklæring til offentliggørelse af billeder efter databeskyttelsesforordningen (GDPR) art. 6 og 7 samt databeskyttelsesloven (LOV nr. 502 af 23-05-2018). Regulerer formål, varighed, samtykke for børn under 15 år og retten til tilbagekaldelse.
Fortrolighedsaftale (NDA) Danmark — lov om forretningshemmeligheder
Fortrolighedsaftale (NDA) til Danmark efter dansk aftaleret og lov om forretningshemmeligheder § 2 — med definition af fortrolige oplysninger, tavshedspligt, hemmeligholdelsesforanstaltninger, konventionalbod og fortrolighedsperiode efter ophør. Gratis skabelon til download som PDF og Word.
Serviceaftale Danmark — løbende ydelse med serviceniveau (SLA)
Serviceaftale til Danmark efter dansk aftaleret — regulerer den løbende serviceydelse, serviceniveau (SLA), responstider, bod ved manglende overholdelse, pris, ansvar, databehandling og ophør. Gratis skabelon til download som PDF og Word.