• Hvad går GDPR ud på?
  • Derfor blev GDPR indført
  • Hvem gælder GDPR for?
  • Hvad tæller som personoplysninger i henhold til GDPR?
  • Hvad er retsgrundlaget for behandling af personoplysninger?
  • De syv hovedprincipper i GDPR
  • Brugernes databeskyttelsesrettigheder i henhold til GDPR
  • Hvad er samtykke i henhold til GDPR, og hvordan opnås det?
  • Sådan kan virksomheder overholde GDPR-kravene
  • Håndhævelse af GDPR og sanktioner for overtrædelser
  • Gælder GDPR i USA?
  • Hvilken rolle har cookies i henhold til GDPR?
  • Almindelige misforståelser om GDPR
  • Ofte stillede spørgsmål: Almindelige spørgsmål om GDPR
  • Hvad går GDPR ud på?
  • Derfor blev GDPR indført
  • Hvem gælder GDPR for?
  • Hvad tæller som personoplysninger i henhold til GDPR?
  • Hvad er retsgrundlaget for behandling af personoplysninger?
  • De syv hovedprincipper i GDPR
  • Brugernes databeskyttelsesrettigheder i henhold til GDPR
  • Hvad er samtykke i henhold til GDPR, og hvordan opnås det?
  • Sådan kan virksomheder overholde GDPR-kravene
  • Håndhævelse af GDPR og sanktioner for overtrædelser
  • Gælder GDPR i USA?
  • Hvilken rolle har cookies i henhold til GDPR?
  • Almindelige misforståelser om GDPR
  • Ofte stillede spørgsmål: Almindelige spørgsmål om GDPR

Hvad er GDPR? En simpel vejledning til EU's databeskyttelse

Featured 18.05.2026 19 minutter
Jennifer Pelegrin
Skrevet af Jennifer Pelegrin
Katarina Glamoslija
Gennemgået af Katarina Glamoslija
Kate Davidson
Redigeret af Kate Davidson
illustration_what is the gdpr- simple guide to eu data protection

Hvis din organisation indsamler, bruger eller sporer personoplysninger fra personer i EU, gælder den generelle forordning om databeskyttelse (GDPR). Det er ligegyldigt, hvor din virksomhed er baseret. Den europæiske databeskyttelsesforordning har global rækkevidde og ændrer den måde, virksomheder håndterer personoplysninger på.

GDPR, der blev vedtaget i 2016 og har været gældende siden maj 2018, fastsætter klare regler for, hvad der betragtes som personoplysninger, hvordan de kan bruges, og hvilke rettigheder enkeltpersoner har over deres oplysninger.

Denne vejledning omhandler, hvad GDPR er, hvem den gælder for, og hvad virksomheder skal vide for at overholde den.

Hvad går GDPR ud på?

GDPR er en EU-lov om databeskyttelse, der beskytter personoplysninger om personer i EU. Dette omfatter alle oplysninger, der kan identificere en person direkte eller indirekte, såsom navne, e-mailadresser, IP-adresser eller cookies.

GDPR giver folk mere kontrol over deres data. Den kræver også, at virksomheder behandler disse data på en retfærdig måde, forklarer, hvorfor de indsamler dem, og opbevarer dem sikkert. Den erstattede ældre EU-databeskyttelsesregler, da den trådte i kraft den 25. maj 2018.

Derfor blev GDPR indført

Før GDPR var databeskyttelse i EU baseret på databeskyttelsesdirektivet fra 1995. Dengang var internettet nyt, og virksomhederne håndterede langt færre personoplysninger. Efterhånden som teknologien udviklede sig, og onlinetjenester blev en del af hverdagen, stod det klart, at de gamle regler ikke længere var tilstrækkelige.

I 2012 foreslog Europa-Kommissionen en ny lovgivning for at styrke privatlivsrettighederne og tilpasse sig den digitale økonomi. Efter flere års drøftelser blev GDPR vedtaget i 2016 og trådte i kraft i 2018.

I modsætning til det ældre direktiv gælder den direkte i alle EU-lande, fastsætter ensartede standarder og giver folk stærkere rettigheder over deres personlige oplysninger.

Databeskyttelse er vigtigere end nogensinde før i en forbundet verden, og love som GDPR er udviklet til at give brugerne kontrol over deres data igen.

Hvem gælder GDPR for?

GDPR gælder for enhver organisation, der indsamler, bruger eller opbevarer personoplysninger om personer i EU, uanset om virksomheden er baseret i eller uden for Det Europæiske Økonomiske Samarbejdsområde (EØS). Loven følger dataene, ikke virksomhedens placering.

Forordningen definerer to nøgleroller:

  • Den dataansvarlige: Beslutter, hvorfor og hvordan personoplysninger behandles.
  • Databehandler: Håndterer data på vegne af den dataansvarlige, såsom cloududbydere eller betalingsbehandlere.

Gdpr Follows Dk 1

Virksomheder i EØS

EØS dækker de 27 EU-medlemsstater samt Island, Liechtenstein og Norge. Enhver organisation, der er etableret inden for EØS, skal overholde GDPR, når den behandler personoplysninger, også selvom denne behandling finder sted uden for Europa. For eksempel skal en virksomhed, der er baseret i Danmark, og som bruger servere i USA, stadig følge GDPR-reglerne.

Virksomheder uden for EØS

At være uden for EØS fritager ikke en organisation fra GDPR. Hvis din virksomhed interagerer med personoplysninger om personer, der er bosiddende i EU på følgende måder, gælder loven stadig:

  • Tilbyder varer eller tjenester til personer i EU, enten gratis eller mod betaling.
  • Overvåger personers adfærd i EU, f.eks. sporing af onlineaktivitet via cookies eller profilering.

For eksempel skal en uddannelsesplatform, der er baseret i USA, men som henvender sig til universitetsstuderende i Danmark, overholde GDPR. Og enhver virksomhed uden for EØS, der fungerer som databehandler for en virksomhed inden for EØS, skal også overholde den.

Hvis en tjeneste kun er tilgængelig fra EU ved et tilfælde, uden specifikt at være rettet mod brugere i EU eller behandle deres personoplysninger, kan den falde uden for GDPR's anvendelsesområde. Men hvis en virksomhed ikke gør en klar indsats for at udelukke personer bosiddende i EU, kan tilsynsmyndighederne stadig beslutte, at GDPR gælder.

Der er også et par specifikke typer data, der er undtaget fra forordningen, herunder data, der indsamles af hensyn til den nationale sikkerhed, retshåndhævelse eller udelukkende af personlige, private årsager.

Hvad tæller som personoplysninger i henhold til GDPR?

I henhold til GDPR er personoplysninger alle oplysninger, der vedrører en levende person, som kan identificeres direkte eller indirekte. Eksempler omfatter:

  • Fulde navne
  • Hjemmeadresser
  • E-mailadresser med en persons navn
  • Nationale id- eller pasnumre
  • IP-adresser
  • Cookie-id'er
  • Annonceringsidentifikatorer på enheder
  • Patientjournaler

GDPR skelner også mellem pseudonymiserede data, som stadig kan knyttes tilbage til en person, og reelt anonymiserede data, som ikke kan. Kun sidstnævnte falder uden for forordningens anvendelsesområde.

Derudover identificerer GDPR særlige kategorier af personoplysninger, såsom race eller etnisk oprindelse, religiøs overbevisning, politiske holdninger og biometriske data. Behandling af denne form for oplysninger er forbudt, undtagen under meget specifikke omstændigheder, på grund af de større risici, der er forbundet hermed.

Hvad er retsgrundlaget for behandling af personoplysninger?

GDPR tillader ikke, at organisationer behandler personoplysninger, bare fordi de har lyst. Der skal være en klar, juridisk begrundelse, og forordningen definerer seks muligheder:

  • Samtykke: Når nogen har givet klar tilladelse til, at deres data kan bruges. Samtykke skal gives frivilligt, være specifikt og nemt at trække tilbage. Tavshed eller forudafkrydsede felter er ikke tilladt.
  • Kontrakt: Behandling er nødvendig for at opfylde en kontrakt med den enkelte (for eksempel behandling af betalingsoplysninger for at gennemføre et køb).
  • Retlig forpligtelse: Nogle gange kræver loven, at en organisation behandler personoplysninger, f.eks. når hospitaler er forpligtet til at føre patientjournaler.
  • Livsvigtige interesser: Behandling af data er nødvendig for at beskytte en persons liv, f.eks. i en medicinsk nødsituation.
  • Offentlig opgave: Databehandling er nødvendig for at udføre en officiel pligt eller opgave i offentlighedens interesse (ofte relevant for offentlige organer).
  • Legitime interesser: Giver organisationer mulighed for at behandle data, hvis de har en gyldig grund, der ikke tilsidesætter den enkeltes rettigheder, f.eks. brug af data til at vedligeholde cybersikkerhedssystemer.

De syv hovedprincipper i GDPR

GDPR er bygget op omkring syv hovedprincipper, der definerer, hvordan personoplysninger skal håndteres. Disse principper fastsætter standarderne for retfærdighed, sikkerhed og ansvarlighed ved behandling af data.
Gdpr Follows Dk 2

1. Lovlighed, retfærdighed og gennemsigtighed

Dette princip foreskriver, at data kun må indsamles og bruges af gyldige grunde, der er tilladt i henhold til GDPR, f.eks. at have personens samtykke eller at have brug for dataene for at levere en tjeneste. Det betyder også, at data skal bruges på en retfærdig måde, uden at vildlede folk eller bruge deres oplysninger på måder, de ikke ville forvente. Endelig er gennemsigtighed afgørende: Organisationer skal forklare i enkle vendinger, hvilke data de indsamler, hvorfor, og hvordan de planlægger at bruge dem.

2. Formålsbegrænsning

I henhold til GDPR kan personoplysninger kun indsamles til et bestemt, klart formål. Organisationer skal fortælle folk, hvorfor deres data indsamles, på det tidspunkt, hvor de indsamles. Når de er indsamlet, må de ikke bruges til noget, der ikke er i overensstemmelse med det oprindelige formål.

3. Dataminimering

GDPR kræver, at organisationer kun indsamler de personoplysninger, der er nødvendige til et bestemt formål. Dette princip hjælper med at begrænse mængden af data, der opbevares om en person, hvilket reducerer risiciene, hvis disse data nogensinde går tabt eller misbruges. Det holder dataindsamlingen fokuseret og relevant.

4. Nøjagtighed

Personoplysninger skal være korrekte. Hvis en organisation opbevarer oplysninger om en person, skal den sikre, at oplysningerne er korrekte og opdaterede efter behov. Hvis oplysninger ændres, eller der findes fejl, er organisationen ansvarlig for at rette dem. Ved at holde dataene nøjagtige kan man undgå fejl, der kan påvirke mennesker, især når oplysningerne bruges til at træffe beslutninger om dem.

5. Lagringsbegrænsning

Organisationer bør ikke opbevare personoplysninger længere, end de har brug for dem. Når dataene har tjent deres formål, skal de slettes eller anonymiseres. Dette princip sikrer, at data ikke opbevares "for en sikkerheds skyld" uden en klar begrundelse. Det hjælper også med at reducere de risici, der er forbundet med unødvendig opbevaring af oplysninger, såsom databrud eller problemer med beskyttelse af personlige oplysninger.

6. Integritet og fortrolighed

Det er afgørende at beskytte personoplysninger. Organisationer skal beskytte dem mod at blive set, stjålet eller ændret af personer, der ikke bør have adgang. Det betyder, at der skal være god sikkerhed, når det kommer til teknologi og datahåndtering.

7. Ansvarlighed

Ansvarlighed betyder, at organisationer ikke kun forventes at følge GDPR-reglerne, de skal også bevise det. Dette indebærer at vise, at de har truffet relevante foranstaltninger til at beskytte personoplysninger, såsom at føre registre over, hvordan de behandler dem, uddanne personale og indføre privatlivspolitikker.

Brugernes databeskyttelsesrettigheder i henhold til GDPR

Ret til at blive informeret

Du har ret til at vide, hvornår en organisation indsamler dine personlige data, og hvorfor. Det betyder, at virksomheder fra starten skal være tydelige med, hvilke data de indsamler, hvordan de planlægger at bruge dem, og hvem de eventuelt kan dele dem med.

Oplysningerne skal være lette at forstå, så du kan træffe en informeret beslutning om, hvorvidt du er tryg ved at dele dine data.

Ret til adgang

Det betyder, at du kan spørge enhver organisation, hvilke personoplysninger de har om dig. Du kan anmode om en kopi af dataene samt oplysninger om, hvordan de bruges, og hvem de deles med. Organisationer er forpligtet til at give disse oplysninger inden for en rimelig tid.

Denne ret er dog ikke absolut. Den må ikke have negativ indvirkning på andres rettigheder og frihedsrettigheder, herunder forretningshemmeligheder eller immaterielle rettigheder.

Ret til berigtigelse

Hvis nogen af dine personlige data, som en organisation er i besiddelse af, er forkerte eller ufuldstændige, har du ret til at bede om, at de bliver rettet. Uanset om det er et forkert stavet navn, en forældet adresse eller manglende oplysninger, skal organisationen rette det.

Ret til sletning (retten til at blive glemt)

Du kan bede en organisation om at slette dine personoplysninger, når der ikke længere er en god grund til, at de opbevarer dem. Dette kaldes ofte "retten til at blive glemt". Den gælder, når oplysningerne ikke længere er nødvendige til det formål, de blev indsamlet til, eller når organisationen har behandlet dine oplysninger ulovligt.

Denne ret er dog heller ikke absolut, da virksomheder kan opbevare dataene, hvis de har en juridisk forpligtelse til at opbevare dem, eller af andre gyldige grunde.

Ret til at begrænse behandlingen

Denne ret giver dig mulighed for at bede en organisation om at begrænse, hvordan de bruger dine personoplysninger. Du kan anmode om dette, hvis du mener, at dataene er unøjagtige, hvis de er blevet behandlet ulovligt, eller hvis organisationen ikke længere har brug for dem, men du ønsker, at de opbevarer dem med henblik på et juridisk krav. Mens begrænsningen er gældende, kan organisationen gemme dataene, men den kan ikke bruge dem til andre formål, medmindre du giver tilladelse, eller der er juridiske grunde til at gøre det.

Ret til dataportabilitet

Denne ret giver dig mulighed for at få en kopi af dine personoplysninger i et tilgængeligt format. Du kan også anmode om, at dataene sendes direkte til en anden organisation, hvis det er teknisk muligt. Tanken er at give dig mere kontrol over dine oplysninger, hvilket gør det nemmere at skifte tjeneste eller flytte dine data et andet sted hen uden at starte fra bunden.

Ret til indsigelse

Du har ret til at gøre indsigelse mod, hvordan dine personlige data bruges, især når det er til direkte markedsføringsformål. Hvis du gør indsigelse, skal organisationen stoppe med at bruge dine data, medmindre de kan påvise, at de har en stærk, legitim grund til at fortsætte med at behandle dem.

Rettigheder i forbindelse med automatiseret beslutningstagning

Du har også ret til at gøre indsigelse mod afgørelser, der udelukkende er truffet om dig ved hjælp af automatiserede processer, især hvis afgørelsen har en væsentlig indvirkning, f.eks. at du bliver godkendt til et lån eller et job. GDPR giver dig ret til at bede om menneskelig involvering i disse tilfælde. Du kan anmode om, at nogen gennemgår beslutningen i stedet for udelukkende at overlade den til algoritmer eller automatiserede systemer.

Hvad er samtykke i henhold til GDPR, og hvordan opnås det?

Samtykke i henhold til GDPR skal opfylde strenge standarder for at være gyldigt. For at det tæller, skal dit samtykke være:
Gdpr Follows Dk 3

  • Givet frivilligt: Du skal have et reelt valg uden pres eller negative konsekvenser, hvis du siger nej.
  • Specifikt og informeret: Organisationen skal fortælle dig, hvem de er, hvilke data de indsamler, hvorfor de har brug for dem, og hvordan de vil blive brugt.
  • Utvetydigt: Samtykke skal komme fra en klar, bekræftende handling, f.eks. at markere et afkrydsningsfelt eller underskrive en formular. Tavshed eller forudafkrydsede felter tæller ikke.

Folk har også ret til at trække deres samtykke tilbage når som helst, og det bør være lige så nemt, som det var at give det. Når samtykket er trukket tilbage, skal virksomheden stoppe med at bruge dine data til det pågældende formål.

For tjenester, der er rettet mod brugere under 16 år, er forældresamtykke normalt påkrævet, selvom nogle EU-lande har sænket denne tærskel til 13 år.

Sådan kan virksomheder overholde GDPR-kravene

Der er specifikke skridt, som enhver organisation bør tage for at overholde GDPR og sikre databeskyttelse.

Fortegnelse over behandlingsaktiviteter (RoPA, Records of processing activities)

Artikel 30 i GDPR kræver, at virksomheder dokumenterer, hvordan de håndterer personoplysninger. Disse registreringer bør omfatte årsagerne til behandlingen, de typer data, der indsamles, hvem de deles med, opbevaringsperioder og de indførte sikkerhedsforanstaltninger.

Selvom små virksomheder kan være fritaget, hvis deres behandling er sjælden og indebærer lav risiko, er det afgørende at føre disse registre for at kunne dokumentere overholdelse af GDPR, når myndighederne anmoder om det.

Konsekvensanalyser vedrørende databeskyttelse (DPIA'er)

Når en virksomhed planlægger at behandle personoplysninger på en måde, der kan udgøre en høj risiko for folks rettigheder og friheder, skal den foretage en DPIA. Dette er obligatorisk i tilfælde som f.eks. brug af nye teknologier, overvågning af offentlige rum i stor skala eller omfattende behandling af særlige kategorier af data.

Formålet med en DPIA er at identificere og reducere potentielle risici, før enhver databehandling påbegyndes. Hvis der fortsat er høje risici på trods af de trufne foranstaltninger, skal virksomheden rådføre sig med databeskyttelsesmyndigheden (DPA), det nationale organ i hvert EU-land, der er ansvarligt for at håndhæve overholdelse af GDPR, før den fortsætter.

Udpegelse af en databeskyttelsesrådgiver (DPO, Data Protection Officer)

Nogle organisationer er forpligtet til at udpege en DPO i henhold til GDPR. Denne person er ansvarlig for at overvåge, hvordan personoplysninger håndteres i virksomheden, og sikre, at GDPR-kravene overholdes.
Gdpr Follows Dk 4Du skal udpege en DPO, hvis:

  • Du regelmæssigt eller systematisk overvåger brugere i stor skala, f.eks. sporing af adfærd online.
  • Du behandler særlige kategorier af data, såsom sundhedsdata, genetiske data eller biometriske data, i stor skala.
  • Du er en offentlig myndighed eller et offentligt organ (med undtagelse af domstole eller uafhængige retslige myndigheder).

Databeskyttelsesrådgiveren kan være en medarbejder eller en ekstern ekspert, der er ansat via en servicekontrakt. Uanset hvad skal vedkommende arbejde uafhængigt, rådgive medarbejderne, føre tilsyn med databeskyttelsesforanstaltninger og fungere som det primære kontaktpunkt for databeskyttelsesmyndighederne.

Beskyttelsesforanstaltninger ved dataoverførsel

Ved overførsel af personoplysninger uden for EU kræver GDPR, at virksomheder sikrer, at det samme beskyttelsesniveau følger med oplysningerne. Virksomheder skal anvende sikkerhedsforanstaltninger for at holde dataene sikre og overholde GDPR-standarderne.

Der er flere godkendte måder at beskytte dataoverførsler på:

  • Afgørelser om tilstrækkelighed: Data kan sendes til lande, som EU har fastslået tilbyder et tilstrækkeligt databeskyttelsesniveau.
  • Kontraktlige sikkerhedsforanstaltninger: Virksomheder kan medtage specifikke klausuler i kontrakter med modtagere uden for EU for at garantere databeskyttelse.
  • Undtagelser: I nogle tilfælde er overførsler tilladt, hvis personen har givet udtrykkeligt samtykke, eller hvis det er nødvendigt af kontraktmæssige årsager.

Sikkerhedskontrol og kryptering i henhold til GDPR

Organisationer skal også implementere stærke sikkerhedskontroller for at beskytte personoplysninger mod uautoriseret adgang, ændring eller tab. Disse omfatter tekniske foranstaltninger, såsom kryptering, og organisatoriske tiltag, såsom at begrænse adgangen til kun autoriseret personale.

Kryptering spiller en afgørende rolle i beskyttelsen af persondata og frihed i åbne samfund, og det er fortsat et af de mest effektive værktøjer mod databrud.

Indberetning af databrud

Hvis et databrud udgør en risiko for enkeltpersoners rettigheder eller friheder, skal virksomheder underrette den relevante databeskyttelsesmyndighed inden for 72 timer. Hvis risikoen er høj, skal de berørte personer også informeres.

Manglende indberetning af et brud inden for den krævede tidsramme kan føre til sanktioner, så det er vigtigt for virksomheder at have klare processer på plads til effektivt at opdage, vurdere og reagere på databrud.

Medarbejderbevidsthed og -uddannelse

Overholdelse af GDPR afhænger ikke kun af politikker, men også af, hvor godt medarbejderne forstår og anvender dem. Personalet har brug for klar vejledning og regelmæssig uddannelse for at håndtere personoplysninger ansvarligt og respektere enkeltpersoners rettigheder. Denne bevidsthed på tværs af organisationen hjælper med at forhindre brud og understøtter den løbende indsats for at overholde reglerne.

Håndhævelse af GDPR og sanktioner for overtrædelser

Hvert land i EØS har en databeskyttelsesmyndighed, der fører tilsyn med, hvordan organisationer følger reglerne om databeskyttelse. Disse myndigheder kan foretage undersøgelser, anmode om dokumentation og endda foretage inspektioner for at sikre, at virksomhederne opfylder deres forpligtelser.

Hvis en virksomhed viser sig at være i strid med GDPR, kan sanktionerne være betydelige. De mest alvorlige overtrædelser kan føre til bøder på op til 20 millioner euro eller 4 % af virksomhedens globale årlige omsætning. Ud over økonomiske sanktioner kan myndighederne også pålægge korrigerende foranstaltninger, såsom at påbyde virksomheden at stoppe behandlingen af visse data eller forbedre sine databeskyttelsesforanstaltninger.

Disse håndhævelsesbeføjelser sikrer, at overholdelse af GDPR ikke er valgfrit. Virksomheder, der håndterer personoplysninger, skal tage deres ansvar alvorligt, ellers får de dyre konsekvenser.

Gælder GDPR i USA?

GDPR er en EU-forordning, men den stopper ikke ved Europas grænser. Amerikanske virksomheder kan falde ind under dens anvendelsesområde, hvis de håndterer personoplysninger om personer i EU. Det betyder, at selv uden en fysisk tilstedeværelse i Europa kan virksomheder i USA stadig være nødt til at overholde GDPR, hvis deres aktiviteter opfylder visse kriterier.

Overholdelse af GDPR for amerikanske virksomheder

I henhold til artikel 3 i GDPR skal amerikanske virksomheder overholde forordningen, hvis de enten har en virksomhed i EU, eller hvis de tilbyder varer eller tjenester til personer i EU, selvom tjenesten er gratis. Overvågning af enkeltpersoners adfærd i EU online, f.eks. via cookies, sporing eller målrettet annoncering, bringer også en amerikansk virksomhed ind under GDPR's anvendelsesområde.

For at overholde den skal amerikanske virksomheder:

  • Kontrollere de typer personoplysninger, de indsamler.
  • Fastlægge et klart retsgrundlag for behandling af hver type data, såsom samtykke eller kontraktlig nødvendighed.
  • Vurdere eventuelle dataoverførsler fra EU til USA og sikre, at der er indført passende sikkerhedsforanstaltninger såsom standardkontraktbestemmelser (SCC'er).
  • Udpege en GDPR-repræsentant i EU, hvis de ikke har en fysisk tilstedeværelse der.
  • Indhente forudgående samtykke til dataindsamling på hjemmesider og cookies.
  • Opdatere privatlivspolitikker, så de afspejler GDPR-forpligtelser og de registreredes rettigheder.

GDPR vs. CCPA og CPRA

Mens GDPR kræver et klart samtykke, før personoplysninger behandles, har California Consumer Privacy Act ( CCPA) og ændringen heraf, California Privacy Rights Act ( CPRA), en anden tilgang ved at følge en fravalgsmodel.

I Californien behøver virksomheder generelt ikke forudgående samtykke til at indsamle eller behandle personoplysninger, undtagen i specifikke tilfælde såsom salg eller deling af data, håndtering af data fra mindreårige eller behandling af følsomme oplysninger.

I stedet fokuserer disse love på gennemsigtighed og kræver, at virksomheder underretter brugerne om datapraksis og giver dem nemme måder, hvorpå de kan fravælge salg eller deling af deres personoplysninger. Samlet set lægges der i Californien vægt på brugerkontrol og synlighed i stedet for forudgående samtykke.

For amerikanske virksomheder fremhæver dette en vigtig forskel: GDPR's strenge krav til samtykke afspejles ikke i USA, så virksomheder, der opererer i begge regioner, skal tilpasse deres praksis i overensstemmelse hermed.

Hvilken rolle har cookies i henhold til GDPR?

I henhold til GDPR betragtes cookies, der kan identificere en person eller spore vedkommendes adfærd online, som personoplysninger. Dette omfatter teknikker ud over traditionelle cookies, såsom browserfingeraftryk, som entydigt kan identificere brugere baseret på deres enheds- og browserindstillinger.
Gdpr Follows Dk 5
Hjemmesider skal lade brugerne vælge, hvilke typer cookies de accepterer, et koncept, der er kendt som detaljeret samtykke. Strengt nødvendige cookies kræver dog ikke samtykke.

Mens GDPR definerer, hvordan samtykke skal indhentes, er brugen af cookies i EU også underlagt e-databeskyttelsesdirektivet, som supplerer GDPR ved specifikt at regulere onlinesporingsteknologier såsom cookies. Derfor viser mange hjemmesider cookie-bannere til besøgende i EU og beder dem om at administrere deres præferencer, før der indstilles ikke-væsentlige cookies.

Hvis du ønsker at minimere sporing, mens du surfer på nettet, kan brug af et virtuelt privat netværk (VPN) også hjælpe dig med at surfe mere privat ved at maskere din IP-adresse og kryptere din trafik.

Almindelige misforståelser om GDPR

Selvom GDPR har været gældende i årevis, er der stadig udbredte misforståelser om, hvad den reelt betyder for virksomheder. Lad os afklare dem.

GDPR gælder kun for virksomheder i EU

Det antages ofte, at GDPR kun påvirker virksomheder i EU, men forordningen har en meget bredere rækkevidde. Enhver virksomhed, der er baseret uden for EU, herunder i USA, skal overholde forordningen, hvis den tilbyder varer eller tjenester til personer i EU eller overvåger deres adfærd online, f.eks. via sporingsteknologier.

Samtykke er altid påkrævet

En anden almindelig misforståelse er, at GDPR altid kræver samtykke til behandling af personoplysninger. I virkeligheden er samtykke kun ét af flere lovlige grundlag. Virksomheder kan også basere sig på en kontrakt, en juridisk forpligtelse, en vital interesse, en offentlig opgave eller en legitim interesse, forudsat at enkeltpersoners rettigheder respekteres. Samtykke bliver afgørende, når der ikke gælder noget andet retsgrundlag.

GDPR handler kun om bøder

Mange ser GDPR udelukkende som et system til at pålægge store bøder, men dets centrale formål er at styrke privatlivsrettighederne og fremme ansvarlig databehandling. Selvom sanktionerne kan være betydelige, er fokus på at sikre, at organisationer håndterer personoplysninger på en gennemsigtig og sikker måde og i overensstemmelse med folks rettigheder.

GDPR sætter en stopper for al markedsføring

Der er også den fejlagtige opfattelse, at GDPR gør markedsføring umulig. Forordningen blokerer ikke for markedsføring fuldstændigt. Den sætter i stedet grænser for at sikre, at personoplysninger bruges på en retfærdig måde. Med et passende retsgrundlag, hvad enten det er samtykke eller legitim interesse, kan virksomheder fortsætte med at markedsføre til personer i EU, så længe privatlivsrettighederne overholdes.

Ofte stillede spørgsmål: Almindelige spørgsmål om GDPR

Hvor kan jeg finde den fulde GDPR-tekst?

Du kan finde den fulde ordlyd af den generelle forordning om databeskyttelse (GDPR) på EUR-Lex' hjemmeside, hvor al officiel EU-lovgivning er tilgængelig. Den autentiske og juridisk bindende version er offentliggjort i Den Europæiske Unions Tidende, som også er tilgængelig via EUR-Lex.

Hvad er kriterierne for at anmode om sletning af dine data i henhold til GDPR?

Du kan anmode om, at dine personoplysninger slettes, når de ikke længere er nødvendige, når du trækker dit samtykke tilbage, eller når de er blevet behandlet ulovligt. Retten til sletning gælder også, hvis oplysningerne blev indsamlet, da du var mindreårig.

Hvad er en anmodning om indsigt fra den registrerede (DSAR)?

En DSAR (Data Subject Access Request) giver dig mulighed for at bede en organisation om at bekræfte, om de har dine personoplysninger. Du kan også anmode om en kopi og spørge, hvordan de behandles.

Hvad betyder dataminimering?

Dataminimering betyder, at man kun indsamler de personoplysninger, der er nødvendige for at opnå et bestemt formål. Organisationer kan ikke bede om yderligere eller ikke-relaterede oplysninger, hvilket reducerer risikoen for misbrug eller brud.

Hvem håndhæver GDPR?

Hvert EU-medlemsland har en databeskyttelsesmyndighed (DPA), der fører tilsyn med håndhævelsen af den generelle forordning om databeskyttelse (GDPR). DPA'er kan undersøge klager, kontrollere virksomheder og pålægge bøder for manglende overholdelse.

Tag det første skridt for at beskytte dig selv online. Prøv ExpressVPN uden risiko.

Få ExpressVPN
Content Promo ExpressVPN for Teams
Jennifer Pelegrin

Jennifer Pelegrin

Jennifer Pelegrin is a writer at the ExpressVPN Blog, where she creates clear, engaging content on digital privacy, cybersecurity, and technology. With experience in UX writing, SEO, and technical content, she specializes in breaking down complex topics for a wider audience. Before joining ExpressVPN, she worked with global brands across different industries, bringing an international perspective to her writing. When she’s not working, she’s traveling, exploring new cultures, or spending time with her cat, who occasionally supervises her writing.

  • RELATERET INDLÆG
  • MERE FRA SAMME SKRIBENT
Sådan gør du, hvis din telefon bliver væk eller stjålet under VM
Sådan gør du, hvis din telefon bliver væk eller stjålet under VM
Ernest Sheptalo 15.05.2026 14 minutter
Guide til rejsesikkerhed og databeskyttelse ved VM: Sådan er du sikker og beskytter dine data
Guide til rejsesikkerhed og databeskyttelse ved VM: Sådan er du sikker og beskytter dine data
Elly Hancock 11.05.2026 15 minutter
Vigtige rejseteknologier, så du kan forblive sikker ved VM i 2026
Vigtige rejseteknologier, så du kan forblive sikker ved VM i 2026
Alex Popa 11.05.2026 7 minutter
Almindelige typer af svindel i forbindelse med VM i 2026, og hvordan du undgår dem
Almindelige typer af svindel i forbindelse med VM i 2026, og hvordan du undgår dem
Krishi Chowdhary 11.05.2026 16 minutter
Sådan beskytter du dine onlinekonti under VM
Sådan beskytter du dine onlinekonti under VM
Krishi Chowdhary 11.05.2026 13 minutter
Det skal du gøre, hvis din konto på sociale medier er blevet hacket
Det skal du gøre, hvis din konto på sociale medier er blevet hacket
Jennifer Pelegrin 30.03.2026 6 minutter

ExpressVPN støtter stolt

Vælg sprog
Kom i gang