GDPR-bøder i Danmark: hvad risikerer din virksomhed?

# GDPR-bøder i Danmark: hvad risikerer din virksomhed?

Siden GDPR trådte i kraft i maj 2018 har Datatilsynet i Danmark behandlet tusindvis af klager, gennemført kontroller og — i stigende grad — udstedt bøder og videresendt sager til politiet. Mange virksomheder tror stadig, at GDPR-håndhævelse er noget, der primært rammer store selskaber. Det er en farlig misforståelse.

Denne artikel gennemgår de faktiske bøder udstedt i Danmark, hvilke overtrædelser der typisk fører til sanktioner, og hvad din virksomhed konkret kan gøre for at reducere risikoen.

Hvordan håndhæves GDPR i Danmark?

I Danmark er Datatilsynet (datatilsynet.dk) den kompetente tilsynsmyndighed for GDPR. Datatilsynet har beføjelse til at:

1. Udstede påbud — ordre om at bringe en behandling i overensstemmelse med GDPR

2. Midlertidigt eller permanent forbyde behandling

3. Indgive politianmeldelse — for grove overtrædelser, der kan medføre bødestraf

4. Anbefale bøder — Datatilsynet kan ikke selv udstede administrative bøder, men indgiver sagen til politiet, som herefter rejser tiltale

Dette adskiller sig fra mange andre EU-lande, hvor tilsynsmyndigheder kan udstede administrative bøder direkte. I Danmark er det således strafferetlige bøder, der idømmes af domstolene — typisk på baggrund af Datatilsynets politianmeldelse.

Bødestørrelse: hvad siger loven?

GDPR Artikel 83 opererer med to bødeniveauer:

Niveau 1 — Op til 10 mio. EUR / 2 % af global omsætning

Gælder bl.a. overtrædelser af:

• Manglende databehandleraftale (Artikel 28)
• Manglende tekniske sikkerhedsforanstaltninger (Artikel 32)
• Manglende databrudanmeldelse (Artikel 33)
• Manglende DPO (Artikel 37-39, hvis påkrævet)

Niveau 2 — Op til 20 mio. EUR / 4 % af global omsætning

Gælder bl.a. overtrædelser af:

• Behandling uden lovligt grundlag (Artikel 6)
• Brud på de grundlæggende principper (Artikel 5)
• Ulovlig overførsel til tredjelande (Artikel 44-49)
• Tilsidesættelse af de registreredes rettigheder (Artiklerne 12-22)

Den højeste af de to beløbsgrænser anvendes. Det er ikke et fast beløb, men en øvre grænse — den faktiske bøde afhænger af en konkret vurdering.

Faktiske GDPR-bøder i Danmark

Danmark har en relativt forsigtig bødetradition sammenlignet med lande som Italien, Frankrig og Spanien — men sagerne er under Datatilsynet ikke desto mindre reelle og stigende.

Sager der har ført til bøder eller politianmeldelse

Taxa (2019) — 1,2 mio. DKK

En taxa-selskab slettede ikke kundernes personoplysninger (telefonnumre) efter den lovmæssige opbevaringsperiode. Datatilsynet indgav politianmeldelse, og virksomheden modtog en bøde på 1,2 mio. kr. — en af de første og fortsat de mest kendte danske GDPR-bøder.

IDdesign (2019) — 1,5 mio. DKK

Møbelkæden IDdesign beholdt kundeoplysninger langt ud over det nødvendige formål. Politianmeldelse resulterede i en bøde på 1,5 mio. kr.

Arp-Hansen Hotel Group (2021)

Hotellerne behandlede gæsteoplysninger i strid med opbevaringsprincippet — manglende sletning af historiske gæstedata. Datatilsynet indgav politianmeldelse, der resulterede i en bøde.

Cookiesager fra 2021

Datatilsynet foretog i 2021 en koordineret indsats mod cookieovertrædelser og politianmeldte en række virksomheder for manglende eller ugyldige cookiesamtykker.

Sundhedsdata og CPR-numre

Datatilsynet har igennem årene behandlet adskillige sager om ulovlig brug af CPR-numre og helbredsoplysninger — særligt i forbindelse med HR-systemer og sundhedssektoren.

De hyppigste årsager til GDPR-bøder i Danmark

Baseret på Datatilsynets årsberetninger og offentliggjorte afgørelser er de mest gengående overtrædelser:

1. Manglende sletning af personoplysninger

Virksomheder opbevarer kundedata, tidligere medarbejderdata eller abonnentoplysninger langt ud over det nødvendige formål. Opbevaringsbegrænsningsprincippet (GDPR Artikel 5, stk. 1, litra e) kræver, at data slettes, når formålet er opfyldt.

Typisk fejl: Et CRM-system, der indeholder inaktive kunder fra 10 år tilbage, uden at der er foretaget en vurdering af, om data kan slettes.

2. Manglende eller mangelfuld databehandleraftale

Mange virksomheder bruger cloud-tjenester, lønbureauer og marketingplatforme uden at have indgået en juridisk korrekt [databehandleraftale](/skabeloner/databehandleraftale). GDPR Artikel 28 kræver en skriftlig DPA med enhver databehandler.

Typisk fejl: At acceptere en leverandørs vilkår og betingelser uden at sikre, at de opfylder kravene til en DPA.

3. Manglende eller ukorrekt privatlivspolitik

Hjemmesider uden [privatlivspolitik](/skabeloner/privatlivspolitik), eller med en politik der ikke afspejler den faktiske behandling, udgør en overtrædelse af oplysningspligten (Artiklerne 13-14).

Typisk fejl: At have en generisk copy-paste privatlivspolitik, der ikke nævner de faktiske cookies, tredjeparter og opbevaringsperioder.

4. Ugyldigt cookiesamtykke

Analysecookies og marketingcookies, der sættes inden brugerens samtykke, er en systematisk overtrædelse af cookiebekendtgørelsen og GDPR.

5. Sikkerhedsbrud uden anmeldelse

Virksomheder, der opdager et databrud men undlader at anmelde til Datatilsynet inden 72 timer, overtræder anmeldelsespligten (Artikel 33).

6. Ulovlig overførsel til USA og tredjelande

Brug af Google Analytics, Salesforce, AWS og andre amerikanske tjenester uden korrekte overførselsmekanismer (EU SCC, adequacy decision) udgør en potentiel overtrædelse.

Faktorer der påvirker bødestørrelsen

Datatilsynet (og domstolene) vurderer bødens størrelse baseret på en samlet vurdering af:

• Overtrædelsens karakter — forsætlig eller uagtsom?
• Varighed — har overtrædelsen stået på i ét år eller ti år?
• Berørte personers antal — 100 personer eller 100.000?
• Skade — er der sket faktisk skade for de registrerede?
• Virksomhedens samarbejde — samarbejdede virksomheden konstruktivt med Datatilsynet?
• Tidligere overtrædelser — er virksomheden tidligere blevet advaret?
• Proaktive afhjælpende foranstaltninger — har virksomheden taget skridt til at rette op?

Virksomheder, der reagerer hurtigt, samarbejder åbent og implementerer afhjælpende tiltag, modtager generelt mildere sanktioner.

Reputationsrisiko: større end bøderisikoen?

For mange virksomheder overstiger reputationsrisikoen den direkte bøderisiko. Datatilsynet offentliggør afgørelser, og pressen — specielt fagmedier inden for IT, HR og jura — dækker sager. Kundernes tillid til din håndtering af data er et konkurrencemæssigt parameter.

I en undersøgelse fra 2024 angav 68 % af danske forbrugere, at de ville overveje at skifte leverandør, hvis en virksomhed modtog en GDPR-bøde for uansvarlig databehandling.

Hvordan undgår din virksomhed GDPR-bøder?

1. Kortlæg jeres databehandling

Opret eller opdater jeres fortegnelse over behandlingsaktiviteter (Artikel 30). Dokumentér formål, retsgrundlag, kategorier af data, opbevaringsperioder og databehandlere for alle behandlingsaktiviteter.

2. Indgå databehandleraftaler med alle leverandører

Gennemgå alle cloud-tjenester, platforme og leverandører, der har adgang til persondata. Sikr, at der foreligger en gyldig [databehandleraftale](/skabeloner/databehandleraftale) med hver enkelt.

3. Opdater privatlivspolitikken

Sørg for, at jeres [privatlivspolitik](/skabeloner/privatlivspolitik) er præcis og dækkende — med korrekte oplysninger om tredjeparter, cookies og opbevaringsperioder.

4. Implementer sletterutiner

Fastsæt konkrete opbevaringsperioder for alle datatyper og implementér automatiserede eller manuelt styrede sletteprocesser. Opbevaringsbegrænsning er en af de oftest overtrådde principper.

5. Etablér procedure for databrud

Sikr, at der er en klar intern procedure for, hvad der sker ved et opdaget databrud — herunder hvem der skal underrettes, og at Datatilsynet underrettes inden 72 timer ved relevant brud.

6. Tjek jeres cookies

Brug et cookiescanning-værktøj til at kortlægge alle cookies på jeres hjemmeside og verificér, at jeres cookiebanner indhenter gyldigt samtykke inden de ikke-nødvendige cookies sættes.

Hent databehandleraftale-skabelon →

Datatilsynets guidance og vejledninger

Datatilsynet er ikke kun en bødemaskine — tilsynet udgiver løbende vejledninger, skabeloner og eksempler, der hjælper virksomheder med at efterleve reglerne. Særligt nyttigt:

• Vejledning om behandlingsfortegnelse (Artikel 30)
• Vejledning om databehandleraftaler
• Vejledning om cookies og samtykke
• Vejledning om databrud
• GDPR-årsberetning med oversigt over seneste afgørelser

Datatilsynet tilbyder også rådgivning og svar på konkrete spørgsmål via deres kontaktformular.

Hvad sker der, hvis du modtager en henvendelse fra Datatilsynet?

Modtager din virksomhed en klage eller henvendelse fra Datatilsynet, er det vigtigt at:

1. Svare inden for fristen — Datatilsynet fastsætter typisk frister på 2-4 uger

2. Dokumentere din behandlingspraksis — frem behandlingsfortegnelse, DPA'er, og relevante politikker

3. Samarbejde konstruktivt — undgå konfrontatorisk tilgang

4. Iværksætte afhjælpende tiltag — og dokumentér at de er implementeret

Overvej at involvere en advokat med GDPR-ekspertise, særligt hvis sagen kan have strafferetlige konsekvenser.

Ofte stillede spørgsmål

Kan en enkeltmandsvirksomhed få en GDPR-bøde?

Ja. Ansættelsesbevisloven gælder alle, der behandler persondata — uanset om det er en enkeltmandsvirksomhed med en hjemmeside eller en stor virksomhed. Bødestørrelsen vil dog afspejle virksomhedens størrelse.

Hvad er den højeste bøde udstedt i Danmark?

Den direkte sammenlignable bøde er Taxa-sagen (1,2 mio. DKK) og IDdesign-sagen (1,5 mio. DKK). I EU-perspektiv er de danske bøder fortsat i den lavere ende sammenlignet med eksempel Luxembourg, Irland og Italien, som har udstedt bøder på hundredvis af millioner euro mod store tech-virksomheder.

Er Datatilsynet aktivt ude at kigge efter overtrædelser?

Datatilsynet gennemfører proaktive tilsyn i særlige sektorer (sundhed, finans, HR-systemer) og reagerer på klager fra borgere. Klagevolumen er stigende år for år.

Kan medarbejdere klage over deres arbejdsgivers GDPR-overtrædelser?

Ja. Enhver registreret person — herunder medarbejdere — kan indgive klage til Datatilsynet. HR-relaterede overtrædelser (ulovlig overvågning, mangelfuld håndtering af medarbejderdata) udgør en signifikant andel af klagerne.

Beskytter det mig at have en juridisk rådgiver?

At have en advokat eller DPO tilknyttet afspejler god tro og kan reducere bødens størrelse ved overtrædelse — men det garanterer ikke GDPR-overholdelse. Compliance kræver konkrete processer og dokumentation, ikke blot rådgivningsaftaler.

Konklusion

GDPR-bøder i Danmark er reelle — og risikoen gælder alle virksomheder, uanset størrelse. De hyppigste årsager til sanktioner er manglende sletning af data, fraværende databehandleraftaler og ugyldigt cookiesamtykke — alle tre er overtrædelser, der kan afhjælpes med de rette dokumenter og processer.

Start med det grundlæggende: en opdateret privatlivspolitik, gyldige databehandleraftaler og korrekte sletterutiner. Det er her risikoen er størst — og løsningen er inden for rækkevidde.

Opret din privatlivspolitik med LegalDock →

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. GDPR-håndhævelse er kompleks, og konkrete sager bør vurderes af en advokat med ekspertise i databeskyttelsesret. Datatilsynets årsberetninger og afgørelsesregister på datatilsynet.dk er den autoritative kilde til faktiske sager.