Skip to content

Den generelle forordning om databeskyttelse

EU's generelle forordning om databeskyttelse (GDPR) regulerer, hvordan fysiske personers personoplysninger i EU kan behandles og overføres.

Hvad er GDPR?

EU's generelle forordning om databeskyttelse (GDPR) er den strengeste lovgivning om privatlivets fred og sikkerhed i verden.

Denne forordning opdaterede og moderniserede principperne i databeskyttelsesdirektivet fra 1995. Den blev vedtaget i 2016 og trådte i kraft 25. maj 2018.

GDPR fastsætter:

  • fysiske personers grundlæggende rettigheder i den digitale tidsalder
  • forpligtelserne for dem, der behandler oplysninger
  • metoder til sikring af overholdelse
  • sanktioner over for dem, der overtræder reglerne

Fysiske personers rettigheder

GDPR indeholder en liste over de rettigheder, den registrerede har, dvs. rettighederne for de fysiske personer, hvis oplysninger behandles. Disse styrkede rettigheder giver fysiske personer mere kontrol over deres personoplysninger, herunder gennem:

  • kravet om en fysisk persons klare samtykke til behandling af hans eller hendes personoplysninger
  • lettere adgang for den registrerede til hans eller hendes personoplysninger
  • retten til berigtigelse, til sletning og "til at blive glemt"
  • retten til at gøre indsigelse, herunder indsigelse mod anvendelsen af personoplysninger til "profilering"
  • retten til at flytte personoplysninger fra en tjenesteudbyder til en anden

Databeskyttelsesforordningen fastsætter fysiske personers rettigheder og de forpligtelser, der påhviler dem, der behandler oplysningerne, og dem, der er ansvarlige for behandlingen.

Virksomheders og organisationers forpligtelser

GDPR fastsætter de generelle forpligtelser, der påhviler de dataansvarlige og dem, der behandler personoplysningerne på deres vegne (databehandlere).

De omfatter forpligtelsen til at indføre passende sikkerhedstiltag i henhold til den risiko, der er forbundet med de databehandlingsaktiviteter, de udfører.

I visse tilfælde er de dataansvarlige også forpligtet til at anmelde brud på persondatasikkerheden. Alle offentlige myndigheder og virksomheder, der udfører visse risikobetonede databehandlingsaktiviteter, vil også skulle udpege en databeskyttelsesrådgiver.

Anvendelse af databeskyttelsesregler

Forordningen bekræfter medlemsstaternes nuværende forpligtelse til at oprette en uafhængig tilsynsmyndighed på nationalt plan og opretter en mekanisme, der skal sikre sammenhæng i, hvordan databeskyttelseslovene anvendes i hele EU.

GDPR fastsætter, at der træffes en enkelt tilsynsafgørelse i grænseoverskridende tilfælde, hvor flere nationale tilsynsmyndigheder er involveret. Dette såkaldte "one-stop-shop"-princip betyder, at en virksomhed med datterselskaber i flere medlemsstater kun skal have kontakt med databeskyttelsesmyndigheden i den medlemsstat, hvor den har sin hovedvirksomhed.

Det Europæiske Databeskyttelsesråd sikrer, at direktivet anvendes fuldt ud og konsekvent. Rådet består af repræsentanter for alle 27 uafhængige tilsynsmyndigheder.

17. november 2025 vedtog Rådet EU-lovgivning, som forventes at træde i kraft i 2026.Lovgivningen gør samarbejdet mellem de nationale databeskyttelsesmyndigheder hurtigere og mere effektivt, når de behandler grænseoverskridende GDPR-klager, der involverer flere EU-lande. Reglerne forenkler de administrative procedurer og skal sikre:

  • hurtig behandling af grænseoverskridende klager og forbedret samarbejde
  • undersøgelse af klageres og parters rettigheder

I GDPR er der fastsat hårde sanktioner over for dataansvarlige eller databehandlere, der bryder databeskyttelsesreglerne. Dataansvarlige kan straffes med bøder på op til 20 mio. € eller 4 % af deres samlede årlige omsætning.

Desuden har fysiske personer mulighed for at indgive klage til en tilsynsmyndighed og har ret til retsmidler og erstatning. De har ret til at få en afgørelse, der er truffet af deres databeskyttelsesmyndighed, kontrolleret af deres nationale domstol, uafhængigt af den medlemsstat den pågældende dataansvarlige er etableret i.

Overførsler til lande uden for EU

GDPR omfatter også overførsler af personoplysninger til lande uden for EU og til internationale organisationer. Europa-Kommissionen er ansvarlig for at vurdere det beskyttelsesniveau, der tilbydes på et givent område eller i en given behandlingssektor i lande uden for EU.

Selv om Kommissionen ikke har truffet afgørelse om, hvorvidt beskyttelsesniveauet på et givent område eller i en given sektor er tilstrækkeligt, kan der alligevel overføres personoplysninger i særlige tilfælde, eller når der er de fornødne garantier.

En stiliseret illustration af et digitalt fingeraftryk omgivet af gule stjerner i EU-stil, binære tal og et lille låseikon, hvilket symboliserer databeskyttelse og privatlivets fred i EU.
Databeskyttelse i EU

Databeskyttelse i EU

Et lysende digitalt hængelåsikon på en baggrund med et blåt kredsløb, hvilket symboliserer datasikkerhed og -beskyttelse.
Databeskyttelse på retshåndhævelsesområdet

Databeskyttelse på retshåndhævelsesområdet