GDPR-bøder 2026: Opdaterede sanktioner og compliance-tjekliste for SMV'er

# GDPR-bøder 2026: Opdaterede sanktioner og compliance-tjekliste for SMV'er

GDPR er ikke en lov for de store. Datatilsynet behandler klager mod virksomheder af alle størrelser, og bøder er ikke forbeholdt tech-giganter med milliardomsætning. Med stigende håndhævelsesaktivitet i 2025 og 2026 er det vigtigere end nogensinde, at din virksomhed har styr på de grundlæggende krav.

Denne artikel giver dig et opdateret overblik over bødestørrelserne, de hyppigste overtrædelser og en konkret tjekliste til at bringe din virksomhed i compliance.

---

Bødestørrelserne: To niveauer

GDPR Artikel 83 inddeler sanktioner i to niveauer afhængigt af, hvilken regel der er overtrådt:

Niveau 1 — op til 10 mio. EUR / 2% af global omsætning

Dette niveau gælder for overtrædelser af:

• Manglende eller mangelfulde databehandleraftaler (Artikel 28)
• Manglende tekniske og organisatoriske sikkerhedsforanstaltninger (Artikel 32)
• Manglende anmeldelse af databrud til Datatilsynet inden 72 timer (Artikel 33)
• Manglende underretning af de berørte personer ved alvorlige brud (Artikel 34)
• Manglende udpegning af DPO, hvor det er krævet (Artikel 37)

Niveau 2 — op til 20 mio. EUR / 4% af global omsætning

Det højeste niveau gælder for:

• Behandling af personoplysninger uden lovligt grundlag (Artikel 6 og 9)
• Brud på de grundlæggende principper: lovlighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, integritet (Artikel 5)
• Overførsel af personoplysninger til tredjelande uden tilstrækkeligt beskyttelsesniveau (Artikel 44-49)
• Krænkelse af de registreredes rettigheder: indsigt, sletning, dataportabilitet (Artiklerne 12-22)

Den danske model: strafferetlige bøder

I Danmark er Datatilsynet ikke — i modsætning til mange andre EU-lande — bemyndiget til at udstede administrative bøder direkte. I stedet politianmelder Datatilsynet sagen, og bøden idømmes af domstolene som en strafferetlig sanktion. Det betyder:

• Sagen skal igennem retssystemet, hvilket giver virksomheden mulighed for at føre sit forsvar
• Bøderne er i praksis lavere end maksimumsgrænsen i GDPR Artikel 83
• Men processen er langsom og ressourcekrævende for den involverede virksomhed

---

Aktuelle sager og tendenser i 2025–2026

Datatilsynet har i de seneste år skærpet sit fokus på specifikke problemstillinger, der er særligt relevante for SMV'er:

Cookies og markedsføring

Ulovlig tracking via cookies — herunder brug af marketingcookies uden gyldigt samtykke — har været den hyppigste overtrædelseskategori. Mange virksomheder anvender cookie-bannere, der er designet til at få brugeren til at acceptere, frem for at give et reelt frit valg.

Et gyldigt samtykke kræver:

• Klart og tydeligt sprog
• Mulighed for at afvise med samme lethed som at acceptere
• Ingen forudafkrydsede bokse
• Nem adgang til at trække samtykke tilbage

Manglende databehandleraftaler

Datatilsynet har i kontroller afdækket, at mange SMV'er mangler skriftlige databehandleraftaler med leverandører som cloud-tjenester, HR-systemer og mailudsendelsesplatforme. Dette er en af de mest overtrædne regler — og en af de nemmeste at komme i compliance på.

Overlang opbevaring af personoplysninger

Virksomheder, der opbevarer CV'er, jobansøgninger og kundedata i årevis uden et formål, overtræder princippet om opbevaringsbegrænsning. Datatilsynet forventer dokumenterede sletningsprocedurer.

Helbredsoplysninger og særlige kategorier

Behandling af helbredsoplysninger (fx sygefravær i HR-systemer) kræver et særligt lovgrundlag ud over det sædvanlige. Mange arbejdsgivere behandler disse oplysninger i dag uden at have tilstrækkelig dokumentation for grundlaget.

---

Compliance-tjekliste for SMV'er i 2026

Brug denne tjekliste til at vurdere din virksomheds GDPR-modenhed:

Grundlaget: Registrering og dokumentation

• [ ] Fortegnelse over behandlingsaktiviteter — Har du overblik over, hvilke personoplysninger du indsamler, til hvilke formål og med hvilken lovhjemmel?
• [ ] Lovligt grundlag for hver behandling — Har du kortlagt, om det er samtykke, kontrakt, retlig forpligtelse eller legitim interesse?
• [ ] Privatlivspolitik — Er din privatlivspolitik opdateret, klar og tilgængelig for brugerne?

Leverandører og tredjeparter

• [ ] Databehandleraftaler — Har du skriftlige aftaler med alle leverandører, der behandler personoplysninger på vegne af din virksomhed?
• [ ] Tredjelandsoverførsler — Bruger du tjenester, der opbevarer data uden for EU/EØS? Er der passende garantier (fx EU's standardkontraktbestemmelser)?

Cookies og digital markedsføring

• [ ] Cookie-banner — Indhentes gyldigt samtykke, inden ikke-essentielle cookies sættes?
• [ ] Samtykkeregistrering — Kan du dokumentere, hvornår og hvad brugere har samtykket til?
• [ ] Framelding fra nyhedsbreve — Er det nemt at afmelde sig markedsføring?

De registreredes rettigheder

• [ ] Indsigtsret — Kan du besvare en indsigtsanmodning inden for 30 dage?
• [ ] Sletningsprocedure — Har du en konkret plan for, hvad der sker med data, når formålet er opfyldt?
• [ ] Dataportabilitet — Kan du udlevere en persons data i et maskinlæsbart format, hvis de anmoder om det?

Sikkerhed og databrud

• [ ] Tekniske sikkerhedsforanstaltninger — Er adgang til personoplysninger begrænset til dem, der har tjenstligt behov?
• [ ] Kryptering — Er personoplysninger krypteret under opbevaring og overførsel?
• [ ] Databrudsprocedure — Har du en klar plan for, hvad der sker ved et databrud, og ved du, hvornår det skal anmeldes til Datatilsynet (inden 72 timer)?

Medarbejderdata

• [ ] Ansættelses- og HR-data — Behandler du medarbejdernes personoplysninger med korrekt grundlag og opbevaring?
• [ ] Helbredsoplysninger — Har du et særligt grundlag for behandling af sygefravær og andre helbredsoplysninger?
• [ ] Videoovervågning — Hvis du anvender overvågningskameraer: er der synlig skiltning, og er formålet legitimt?

---

Hvad koster GDPR-overtrædelser i praksis?

Danske bøder for GDPR-overtrædelser er historisk set lavere end i lande som Irland, Luxembourg og Spanien, men de seneste år har set en klar stigende tendens i bødestørrelse.

SMV'er har typisk modtaget bøder i intervallet 25.000–500.000 kr. i Danmark, afhængigt af:

• Overtrædelsens grovhed og varighed
• Virksomhedens størrelse og omsætning
• Om virksomheden samarbejdede med Datatilsynet under undersøgelsen
• Om der var tale om forsætlig handling eller forsømmelse

Dertil kommer de indirekte omkostninger: advokatbistand, IT-revision, kommunikation til berørte kunder og skade på virksomhedens omdømme.

---

Sådan bruger du LegalDock til GDPR-compliance

LegalDock tilbyder juridisk korrekte skabeloner, der hjælper din virksomhed med at opfylde GDPR-kravene:

• [Privatlivspolitik](/skabeloner/privatlivspolitik) — klar og opdateret privatlivspolitik til din hjemmeside
• [Databehandleraftale](/skabeloner/databehandleraftale) — lovpligtig aftale med leverandører der behandler data på dine vegne
• [Cookiepolitik](/skabeloner/cookiepolitik) — dokumentér din cookiehåndtering korrekt

Alle skabeloner er tilpasset dansk ret og Datatilsynets vejledninger.

---

Relaterede artikler

• [GDPR for små virksomheder — den enkle guide](/blog/gdpr-smavirksomheder)
• [Databehandleraftale — hvad skal den indeholde?](/blog/databehandleraftale)
• [Privatlivspolitik — guide til din hjemmeside](/blog/privatlivspolitik-guide)
• [Cookiepolitik og GDPR — hvad kræver loven?](/blog/cookiepolitik-gdpr)

---

Ofte stillede spørgsmål om GDPR-bøder

{

question: "Hvad er de maksimale GDPR-bøder i 2026?",

answer: "GDPR opererer med to bødeniveauer: op til 10 millioner euro (eller 2% af global omsætning) for tekniske overtrædelser, og op til 20 millioner euro (eller 4% af global omsætning) for grundlæggende overtrædelser af persondataforordningen. I Danmark udstedes bøderne af domstolene efter politianmeldelse fra Datatilsynet."

},

{

question: "Kan en lille virksomhed rammes af GDPR-bøder?",

answer: "Ja. Datatilsynet behandler klager mod virksomheder af alle størrelser. SMV'er er ikke beskyttet mod bøder, men bødestørrelsen skaleres typisk efter virksomhedens omsætning og overtrædelsens grovhed."

},

{

question: "Hvad skal en lille virksomhed som minimum have styr på ifølge GDPR?",

answer: "Minimum: en privatlivspolitik, databehandleraftaler med leverandører der behandler persondata, sletningsprocedurer for personoplysninger, og en plan for databrudshåndtering inden for 72-timers fristen."

},

{

question: "Hvornår skal en virksomhed have en DPO?",

answer: "En DPO er obligatorisk for offentlige myndigheder, virksomheder der i stor skala behandler særlige kategorier af personoplysninger (fx helbredsoplysninger), og virksomheder der systematisk overvåger personer i stor skala. De fleste SMV'er er ikke forpligtet til at have en DPO."

},

{

question: "Hvad er en databehandleraftale, og hvornår skal jeg bruge den?",

answer: "En databehandleraftale er en kontrakt med leverandører der behandler personoplysninger på dine vegne — fx din IT-leverandør, HR-system eller mailudsendelsestjeneste. GDPR Artikel 28 kræver altid en skriftlig aftale i disse situationer."

},

{

question: "Hvad sker der, hvis jeg ikke anmelder et databrud?",

answer: "Databrud skal anmeldes til Datatilsynet inden 72 timer, hvis de medfører risiko for de berørte personers rettigheder. Manglende anmeldelse er en selvstændig overtrædelse og kan føre til yderligere sanktioner."

}

]} />

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. GDPR-reglerne er komplekse, og den konkrete vurdering afhænger af din virksomheds specifikke behandlingsaktiviteter. Kontakt en advokat eller databeskyttelsesrådgiver, hvis du har brug for specifik vejledning.