GDPR for små virksomheder: Praktisk compliance guide (2026)

# GDPR for små virksomheder: Praktisk compliance guide

Mange ejere af små virksomheder tænker, at GDPR er noget, der kun angår store selskaber med dataafdelinger og compliance-teams. Det er en misforståelse. GDPR gælder for alle virksomheder, der behandler personoplysninger om borgere i EU — uanset størrelse.

Den gode nyhed: Som lille virksomhed er GDPR-kravene håndterbare, og de vigtigste tiltag kræver ikke avancerede systemer eller store investeringer.

Her er den praktiske guide til GDPR for småvirksomheder — hvad du skal gøre, hvilke dokumenter du skal have, og hvor du starter.

Hvad er GDPR?

GDPR — General Data Protection Regulation (Databeskyttelsesforordningen) — er EU's fælles regelsæt for behandling af personoplysninger. Den trådte i kraft 25. maj 2018 og er implementeret i dansk ret via Databeskyttelsesloven.

GDPR beskytter EU-borgeres ret til at bestemme over egne personoplysninger. For virksomheder indebærer det en lang række krav om, hvordan persondata indsamles, opbevares og behandles.

Gælder GDPR for min lille virksomhed?

Ja, hvis du:

• Har ansatte (navn, adresse, løn, CPR-nummer er personoplysninger)
• Har kunder (kontaktoplysninger, ordrehistorik, betalingsoplysninger)
• Driver en hjemmeside der indsamler oplysninger (kontaktformularer, cookies, nyhedsbreve)
• Bruger et CRM-system eller e-mail-marketingplatform med kundedata
• Optager overvågning af butik eller kontor

Kort sagt: de fleste virksomheder — selv enkeltmandsvirksomheder med en hjemmeside — behandler persondata og er dermed omfattet.

De 6 principper du skal kende

GDPR hviler på seks grundprincipper for behandling af personoplysninger:

1. Lovlighed, rimelighed og gennemsigtighed — du skal have et lovligt grundlag for behandling

2. Formålsbegrænsning — data indsamlet til ét formål må ikke bruges til et andet

3. Dataminimering — indsaml kun de oplysninger, du faktisk har brug for

4. Rigtighed — hold data opdaterede og korrekte

5. Opbevaringsbegrænsning — slet data, når formålet er opfyldt

6. Integritet og fortrolighed — beskyt data mod uautoriseret adgang og tab

Behandlingsgrundlag: Hvornår må du behandle data?

Du skal altid have et lovligt grundlag for behandling. De vigtigste for SMB'er er:

• Samtykke — den registrerede har givet frivilligt, specifikt og informeret samtykke (fx til nyhedsbrev)
• Kontrakt — behandling er nødvendig for at opfylde en aftale (fx kundeoplysninger til levering)
• Retlig forpligtelse — lovkrav (fx bogføringsloven kræver opbevaring af fakturaer)
• Legitim interesse — virksomhedens berettigede interesse, der overstiger den registreredes (fx direkte markedsføring til eksisterende kunder)

GDPR-dokumenter du skal have

1. Privatlivspolitik

En privatlivspolitik (også kaldet databeskyttelsespolitik) er dit offentligt tilgængelige dokument, der informerer dine kunder og besøgende om, hvordan du behandler deres data.

Den skal informere om:

• Hvem er den dataansvarlige? (din virksomhed)
• Hvilke oplysninger indsamles og til hvilke formål?
• Hvad er behandlingsgrundlaget?
• Hvem deles data med?
• Hvor længe opbevares data?
• De registreredes rettigheder (indsigt, sletning, indsigelse mv.)
• Kontaktoplysninger til dataansvarlig

Privatlivspolitikken skal være tilgængelig på din hjemmeside og ved indsamling af personoplysninger.

2. Cookiepolitik og samtykke

Bruger din hjemmeside cookies (og det gør langt de fleste), skal du:

• Informere brugerne via en cookiebanner
• Indhente samtykke til ikke-nødvendige cookies (analysecookies, marketingcookies)
• Dokumentere samtykker

3. Databehandleraftaler

Bruger du tredjepartsservices, der behandler persondata på dine vegne, er de dine databehandlere — og du skal indgå en skriftlig [databehandleraftale](/skabeloner/databehandleraftale) med dem.

Eksempler på databehandlere:

• E-mail-marketingplatforme (Mailchimp, Klaviyo)
• CRM-systemer (HubSpot, Salesforce)
• Regnskabs-/lønsystemer (e-conomic, Dinero)
• Cloud-opbevaring med kundedata (Google Workspace, Microsoft 365)

Mange store leverandører tilbyder standardiserede databehandleraftaler — tjek leverandørens website eller kontakt support. Du kan også bruge LegalDocks [databehandleraftale-skabelon](/skabeloner/databehandleraftale) som udgangspunkt.

4. Fortegnelse over behandlingsaktiviteter

Virksomheder med mere end 250 ansatte er forpligtet til at føre en fortegnelse. Men selv som lille virksomhed er det god praksis at have et dokument, der beskriver:

• Hvilke kategorier af persondata I behandler
• Formålene
• Hvem der har adgang
• Opbevaringsperioder

Det gør GDPR-overholdelse meget nemmere og demonstrerer god tro over for Datatilsynet.

Find GDPR-dokumenter og skabeloner →

Praktisk GDPR-tjekliste for SMB'er

Gå igennem denne tjekliste for at vurdere din compliance-status:

Grundlæggende

• [ ] Har du en opdateret privatlivspolitik tilgængelig på din hjemmeside?
• [ ] Har du en cookiebanner, der indhenter samtykke?
• [ ] Behandler du kun persondata med lovligt grundlag?
• [ ] Har du databehandleraftaler med dine leverandører?

Ansatte

• [ ] Informeres nye medarbejdere om behandling af deres persondata?
• [ ] Opbevarer du løndata sikkert og kun så længe nødvendigt?
• [ ] Er adgang til persondata begrænset til dem, der har brug for det?

Kunder

• [ ] Har du et system til at håndtere indsigtsanmodninger (retten til indsigt)?
• [ ] Kan du slette en kundes data, hvis de anmoder om det?
• [ ] Er kreditkortnumre og andre følsomme data krypterede?

Sikkerhed

• [ ] Er dine systemer opdaterede og sikret med stærke adgangskoder?
• [ ] Har du en procedure for håndtering af databrud?

Databrud: Hvad gør du?

Et databrud er en hændelse, hvor persondata utilsigtet eller ulovligt destrueres, mistes, ændres, videregives eller tilgås af uvedkommende. Det kan fx være et hackerangreb, en forkert modtager på en e-mail, eller et stjålet laptops.

Pligter ved databrud

• Interne brud: Dokumentér straks
• Brud der udgør en risiko for de registrerede: Anmeld til Datatilsynet inden 72 timer
• Brud med høj risiko for de registrerede: Underret de berørte personer direkte

Et databrud, der ikke anmeldes rettidigt, kan medføre bøde.

Datatilsynets kontaktoplysninger

Datatilsynet er den danske tilsynsmyndighed for GDPR.

Website: datatilsynet.dk

Bøder og konsekvenser ved overtrædelse

GDPR-bøder kan i teorien nå op til 4 % af global årsomsætning eller 20 mio. euro — det gælder naturligvis primært store virksomheder.

For SMB'er er den reelle risiko:

• Bøder fra Datatilsynet (typisk 10.000–100.000 kr. for SMB'er ved konkrete overtrædelser)
• Påbud om at ændre praksis
• Omdømmeskade

Datatilsynet fører proaktiv vejledning og er generelt hjælpsomme over for virksomheder, der gør en god tro-indsats — men overtrædelser kan sanktioneres.

Hvad med markedsføring og nyhedsbreve?

Sender du nyhedsbreve eller e-mailmarkedsføring til kunder, er der to regelsæt at navigere:

1. GDPR — kræver lovligt grundlag for behandling af e-mailadresser

2. Markedsføringsloven — kræver forudgående samtykke til direkte markedsføring til privatpersoner (B2C)

For eksisterende kunder kan du markedsføre lignende produkter/services via "soft opt-in" — men du skal give dem nem mulighed for at framelde sig.

For nye kontakter (der ikke er kunder) kræves aktivt samtykke.

GDPR og sociale medier

Bruger din virksomhed sociale medier til markedsføring? Vær opmærksom på:

• Meta Pixel, Google Analytics og lignende tracking-kræver cookiesamtykke
• Konkurrencer på sociale medier med krav om at tagge venner kan være problematiske under GDPR
• Personlig data indsamlet via sociale mediers leadformularer skal håndteres GDPR-korrekt

Ressourcer

• Datatilsynet (datatilsynet.dk) — vejledninger, skabeloner og klagemuligheder
• Virksomhedsguiden (virksomhedsguiden.dk) — links til officielle ressourcer
• LegalDock — privatlivspolitik, databehandleraftaler og GDPR-skabeloner

Ofte stillede spørgsmål

Er der forskel på GDPR og databeskyttelsesloven?

GDPR er EU-forordningen. Databeskyttelsesloven er den danske implementeringslov, der supplerer GDPR med nationale særregler (fx CPR-numre kræver særlig hjemmel).

Skal jeg have en DPO (Data Protection Officer)?

Kun virksomheder, der behandler store mængder følsomme oplysninger systematisk, er forpligtet til at udpege en DPO. De fleste SMB'er er ikke forpligtede — men en intern ansvarlig for databeskyttelse er god praksis.

Hvad er en følsom personoplysning?

Helbredsmæssige oplysninger, etnisk oprindelse, politisk overbevisning, fagforeningstilhørsforhold, seksuel orientering, biometriske og genetiske data, religiøse overbevisninger og straffeoplysninger er særligt beskyttede og kræver specifikt behandlingsgrundlag.

Hvor længe må jeg opbevare kundedata?

Så længe det er nødvendigt til formålet. Regnskabsdata (fx faktura med kundens navn) skal opbevares 5 år efter bogføringsloven. Inaktive kundedata bør slettes efter en rimelig periode (typisk 3 år uden kontakt).

Hvad gør jeg, hvis en kunde beder om at få slettet sine data?

Den registreredes ret til sletning (retten til at blive glemt) er central i GDPR. Du skal slette data, medmindre du har en lovpligtig begrundelse for at beholde dem (fx et aktivt krav eller bogføringspligt).

Konklusion

GDPR behøver ikke være en byrde for din lille virksomhed. De grundlæggende krav — en privatlivspolitik, cookiesamtykke, databehandleraftaler og en basal sikkerhedspolitik — er opnåelige for enhver virksomhed. Start med det vigtigste og byg videre.

Kom i gang med GDPR-dokumenter på LegalDock →

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. GDPR-krav varierer afhængigt af virksomhedstype og behandlingsaktiviteter. Datatilsynets vejledninger på datatilsynet.dk er altid den autoritative kilde.