Skip to main content

Hvornår gælder GDPR for mig?

Hvis du har en lille virksomhed, spørger du måske, hvornår GDPR gælder for mig?

Lad os først se på en række spørgsmål om “Gælder GDPR hvis….?”. Derefter vil vi kort berøre det grundlæggende for små virksomheder, der skal overholde reglerne.

Hvad gælder GDPR for?

Der er to hovedfaktorer, der skal tages i betragtning, når du spørger, om GDPR gælder for din virksomhed:

  1. GDPR gælder for personoplysninger.
  2. GDPR beskytter EU-borgere.

I henhold til GDPR artikel 4:

“personoplysninger”: enhver information vedrørende en identificeret eller identificerbar fysisk person (“den registrerede”); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet for den pågældende fysiske person.

Desuden gælder GDPR for personoplysninger om EU-borgere og -indbyggere.

Derfor afhænger det af, hvilke typer data du indsamler, og hvis data du indsamler, om GDPR gælder for dig eller ej. Den er ikke baseret på størrelsen og typen af virksomhed, du driver. Dette er et bemærkelsesværdigt punkt, der adskiller sig fra nogle andre regler som Californiens CCPA.

En kort bemærkning om, hvornår GDPR finder anvendelse og hvornår CCPA finder anvendelse:

CCPA gælder for virksomheder, der har en årlig bruttoindtægt på mindst 25 millioner dollars, som behandler oplysninger om mindst 50.000 indbyggere i Californien eller som får halvdelen af deres indtægter eller mere fra salg af personoplysninger. Størrelsen betyder noget i Californien.

I modsætning hertil er der i GDPR ingen minimumsgrænse for virksomhedens størrelse, omsætning eller omfanget af dataindsamling.

Gælder GDPR for små virksomheder?

Yes. Hvis du indsamler oplysninger om EU-borgere og -indbyggere, betragtes din lille eller mellemstore virksomhed som dataansvarlig. Som sådan skal den overholde GDPR. I mange henseender vil du være lige så ansvarlig som store virksomheder for, hvordan du håndterer personoplysninger.

Hvis din virksomhed har færre end 250 ansatte, kan du dog få nogle undtagelser. Du behøver f.eks. ikke nødvendigvis at ansætte en databeskyttelsesrådgiver. Dine krav til bogføring vil ikke være så krævende. Hvis dine databehandlingsaktiviteter ikke er “i stor skala”, behøver du heller ikke altid at foretage konsekvensanalyser for databeskyttelse.

Does GDPR apply to small businesses?

Uanset din virksomheds størrelse skal du, hvis du opbevarer følsomme data, der kan betegnes som “følsomme data af særlig kategori”, føre fuldstændige optegnelser over, hvordan de behandles.

Beskyt alle de personlige data, du indsamler (dvs. alt, der kan bruges til at identificere en person), med tekniske foranstaltninger som f.eks. kryptering og adgangskodekontrol.

Gælder GDPR for enkeltmandsvirksomheder?

Yes. Ligesom alle andre, lige fra små virksomheder til store virksomheder, gælder GDPR, hvis du behandler oplysninger om EU-borgere og indbyggere.

Men da din virksomhed har færre end 250 ansatte, kan du få nogle undtagelser. Du behøver f.eks. ikke at ansætte en databeskyttelsesrådgiver. Dine krav til bogføring vil ikke være så krævende. Hvis dine databehandlingsaktiviteter ikke er “i stor skala”, behøver du desuden ikke altid at foretage konsekvensanalyser for databeskyttelse.

Does GDPR apply to sole proprietorships?

Hvad hvis jeg er en blogger eller influencer?

Hvis du har besøgende eller følgere fra EU, og du indsamler deres personlige oplysninger, er du dataansvarlig og skal overholde GDPR. Du kan dog få nogle undtagelser, f.eks. små virksomheder og enkeltmandsvirksomheder.

Hvad hvis jeg driver en lille nonprofitorganisation?

GDPR gælder for alle organisationer, der tilbyder varer eller tjenester til EU-borgere eller indbyggere i EU eller indsamler personlige oplysninger fra EU-borgere.

GDPR gælder for nonprofitorganisationer og foreninger i følgende tilfælde:

  • Almennyttige organisationer: Hvis du modtager donationer fra borgere eller indbyggere i EU.
  • Associationer: Hvis du har medlemmer i EU.
Does GDPR apply to non-profits?

Gælder GDPR, hvis min virksomhed ikke ligger i Europa?

Yes. Kravene afhænger ikke af, hvor din virksomhed er fysisk placeret eller registreret. Hvis du har kunder eller medarbejdere, der er EU-borgere eller bosiddende i EU, eller hvis du planlægger at markedsføre dig til dem i fremtiden, skal du overholde GDPR.

Hvis du flytter kundedata ud af EØS, er der faktisk særlige krav til sikkerhed og beskyttelse af personlige oplysninger, som du skal tage hensyn til. Kravene til registrering af grænseoverskridende overførsler vil også blive strammere.

Does GDPR apply if my company is not in Europe?

Gælder GDPR for mit websted?

Yes. Hvis dit websted får besøgende fra EU, skal det overholde GDPR.

Her er nogle ting, du kan gøre for at gøre dit websted GDPR-kompatibelt:

  • Opsæt en samtykkeformular med afkrydsede afkrydsningsfelter, så folk aktivt kan acceptere brugen af cookies.
  • Tjek de steder, hvor du indsamler personoplysninger. Kig på dine kontaktformularer og alle andre steder, hvor folk bliver bedt om at oplyse deres navn og e-mailadresse. Link din politik om beskyttelse af personlige oplysninger på hvert af disse steder.
  • Hvis du bruger kontaktoplysninger til markedsføringsformål, skal du forklare dette i din politik og tilføje en afkrydsningsboks (ikke afkrydset!) for at få et aktivt samtykke fra personen til at kontakte vedkommende om dine kampagner osv.
  • Dobbelttjek med dit webhostingfirma, cloud storage-udbydere og alle andre platforme, du forbinder til dit websted for at indsamle data om folk. Sørg for, at de beskytter deres databaser.

For at sikre sikkerheden og overholde folks GDPR-rettigheder er det også en god idé at oprette en portal for anmodninger om adgang til data og et krypteret dataoploadpunkt på dit websted.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Jeg bruger cloud-tjenester. Er GDPR-overholdelse deres problem eller mit?

    Begge dele. Måske gemmer du data på cloud-servere og går ud fra, at du får god sikkerhed som en del af denne service. Du er dog stadig den dataansvarlige. De lagertjenester eller tredjepartsplatforme, du bruger, kan betragtes som databehandlere. I har et fælles ansvar for at holde dataene sikre. Kontroller, at dine databehandlere er GDPR-kompatible og private.

    Så sørg for at sikre dig, at du:

    • Beskyt de adgangskoder og enheder, du bruger til at oprette forbindelse til cloud-tjenester, og oplær dine medarbejdere i at gøre det samme.
    • Lav fra tid til anden en opgørelse over de data, du gemmer.
    • Slet data, du ikke længere har brug for.

    Læs mere om at beskytte data i skyen →

    Gælder GDPR også for medarbejderdata?

    Ja, det gør det. I starten af rekrutteringsprocessen indsamler du en masse oplysninger om medarbejdere og potentielle medarbejdere. Dette omfatter følsomme oplysninger. Så indhent samtykke, før du indsamler CV, straffeattester, vaccinationsoplysninger osv. fra potentielle medarbejdere.

    Ligesom andre samtykker skal du gøre dette klart, udtrykkeligt og aktivt. Du må ikke blande samtykke sammen med andre klausuler eller gemme det i kontrakter. Du kan også offentliggøre en meddelelse om behandling af medarbejderdata. Den skal fortælle dit team, at du indsamler deres data og forklare hvorfor.

    Does the GDPR apply to employee data too?

    Det ser ud til, at GDPR gælder for mig. Hvad skal jeg fokusere på for at sikre nem overholdelse?

    Der findes ingen perfekt tjekliste for overholdelse. Men disse grundlæggende tips vil hjælpe dig i den rigtige retning:

    • Udarbejd en klar og letforståelig politik for beskyttelse af personlige oplysninger og cookies, og sæt den op overalt, hvor du indsamler data.
    • Få samtykke til at bruge cookies med en afkrydset “opt-in”-krydsfelt.
    • Få samtykke til at indsamle data til markedsføring med et afkrydset “opt-in”-krydsfelt, der ikke er markeret.
    • Hold dine medarbejdere informeret om, hvordan du indsamler og bruger deres data.
    • Svar hurtigt, hvis folk beder dig om oplysninger om deres data eller fremsætter andre anmodninger om dem.
    • Opsæt et sikkert punkt til upload af data.
    • Beskyt de personlige oplysninger, du sender via e-mail.
    • Opgør regelmæssigt din datalagring.
    • Slet data, du ikke længere har brug for.
    • Dokumenter dine politikker og praksis for at dokumentere overholdelse.

    Har du brug for hjælp? Vi tilbyder produkter til beskyttelse af privatlivets fred og overholdelse af regler, der er specielt udviklet til små og mellemstore virksomheder. De er enkle, omkostningseffektive og nemme at bruge. Lær mere →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR