Persondatapolitik for hjemmesider: GDPR-guide til virksomheder

Har du en hjemmeside, webshop eller digital platform, der indsamler personoplysninger fra brugere? Så er du forpligtet af GDPR til at have en klar og tilgængelig persondatapolitik. Mangler du en, eller er din eksisterende politik ufuldstændig, risikerer du bøder fra Datatilsynet og tab af brugernes tillid.

Denne guide forklarer, hvad en persondatapolitik skal indeholde, hvilke krav GDPR stiller, og hvad du som dansk virksomhed skal gøre for at overholde reglerne.

Hvad er en persondatapolitik?

En persondatapolitik (også kaldet privatlivspolitik eller privacy policy) er et dokument, der informerer brugerne om:

• Hvilke personoplysninger du indsamler om dem
• Hvorfor du indsamler dem (formål med behandlingen)
• Hvad du bruger dem til
• Hvem der har adgang til oplysningerne
• Hvor længe du opbevarer dem
• Hvilke rettigheder brugerne har

En persondatapolitik er ikke et formelt samtykkedokument — det er en oplysningspligt. Du skal give disse oplysninger til dem, hvis data du behandler, uanset om du beder om samtykke eller ej.

Hvem er forpligtet til at have en persondatapolitik?

Alle virksomheder og organisationer, der behandler personoplysninger om EU-borgere, er underlagt GDPR. Det gælder uanset virksomhedens størrelse.

Du er forpligtet til at have en persondatapolitik, hvis din hjemmeside:

• Indsamler e-mailadresser (nyhedsbrev, kontaktformular)
• Bruger analyseredskaber (Google Analytics, HubSpot mv.)
• Sælger produkter og opbevarer kundedata
• Bruger cookies til tracking eller personalisering
• Har log-in-funktioner
• Bruger chat-funktioner eller live support
• Embedder sociale medier eller tredjepartsindhold

Vigtigt: Selv passivt brug af Google Analytics udgør behandling af personoplysninger og kræver en persondatapolitik.

Hvad skal persondatapolitikken indeholde?

GDPR (forordning 2016/679) artikel 13 og 14 lister de obligatoriske oplysninger, du skal give til registrerede (brugerne).

1. Identifikation af den dataansvarlige

Hvem er ansvarlig for behandlingen af data?

• Virksomhedens navn
• CVR-nummer
• Fysisk adresse
• Kontaktoplysninger (e-mail, telefon)
• DPO (Data Protection Officer) — kun relevant for virksomheder med pligt til DPO

2. Kategorier af personoplysninger og indsamlingsformål

Beskriv tydeligt, hvilke data du indsamler og hvorfor:

Eksempel på tabel:

3. Retsgrundlag for behandlingen

GDPR kræver, at enhver behandling af personoplysninger har et retsgrundlag. De mest brugte for hjemmesider er:

• Samtykke (art. 6(1)(a)): Brugeren har givet frivilligt, informeret og utvetydigt samtykke — fx til cookies og nyhedsbrev
• Kontrakt (art. 6(1)(b)): Behandlingen er nødvendig for at opfylde en aftale med brugeren — fx e-handel
• Retlig forpligtelse (art. 6(1)(c)): Du er lovmæssigt forpligtet til at opbevare data — fx bogføringsdata
• Legitim interesse (art. 6(1)(f)): Din virksomheds legitime interesse vejer tungere end brugerens privacy-interesse — fx forebyggelse af svindel, basis-analyse

4. Modtagere af personoplysninger

Hvem deler du data med? Angiv:

• Databehandlere (fx hostingudbydere, analyseredskaber, e-mailplatforme)
• Eventuelle tredjepartsmodtagere (fx betalingsgateway, sociale medier)
• Overførsler til tredjelande uden for EU/EØS

Tredjelandsoverførsler: Bruger du Google Analytics, Facebook Pixel eller andre amerikanske tjenester? Dette udgør overførsler til tredjelande. Du skal angive det grundlag, der bruges (fx EU-US Data Privacy Framework), og informere brugerne om de risici, det indebærer.

5. Opbevaringsperiode

Angiv, hvor længe du opbevarer de forskellige kategorier af data:

• Kundedata: Typisk 5 år efter handlen (regnskabspligten)
• E-mailabonnenter: Så længe abonnementet er aktivt + rimelig periode (fx 1 år efter afmelding)
• Kontaktformularhenvendelser: Typisk 2 år
• Logfiler og tekniske data: Typisk 3-12 måneder

6. Brugernes rettigheder

Du skal oplyse brugerne om, at de har følgende rettigheder:

Ret til indsigt (art. 15): Brugeren kan anmode om at se, hvilke oplysninger du har registreret.

Ret til berigtigelse (art. 16): Brugeren kan kræve fejlagtige oplysninger rettet.

Ret til sletning ("retten til at blive glemt") (art. 17): Under visse betingelser kan brugeren kræve sine data slettet.

Ret til begrænsning af behandling (art. 18): Brugeren kan kræve behandlingen begrænset i visse situationer.

Ret til dataportabilitet (art. 20): Brugeren kan modtage sine data i et maskinlæsbart format og overføre dem til en anden udbyder.

Ret til indsigelse (art. 21): Brugeren kan gøre indsigelse mod behandling baseret på legitim interesse — og der er ubetinget ret til at gøre indsigelse mod direkte markedsføring.

Ret til at trække samtykke tilbage (art. 7(3)): Hvis behandlingen er baseret på samtykke, kan brugeren til enhver tid trække det tilbage.

Angiv, hvordan brugerne udøver disse rettigheder (e-mailadresse mv.), og angiv, at de kan klage til Datatilsynet.

7. Klageret til Datatilsynet

Du skal oplyse brugerne om, at de kan klage til Datatilsynet (datatilsynet.dk), hvis de mener, du behandler deres data i strid med GDPR.

8. Automatiske afgørelser og profilering

Bruger du automatiserede systemer til at tage beslutninger om brugerne — fx kredit-scoring, annoncetargeting eller produktanbefalinger? Så skal du oplyse brugerne om dette og give dem ret til at anmode om menneskelig behandling.

Cookies og cookiepolitik: Særskilte krav

Ud over persondatapolitikken stiller cookiebekendtgørelsen (implementering af ePrivacy-direktivet) krav om:

• Forudgående samtykke til ikke-nødvendige cookies (analytiske og marketing-cookies)
• Et tydeligt cookiebanner, der informerer om cookiebrug og giver brugeren valg
• Mulighed for at afvise cookies eller tilpasse samtykket

Nødvendige cookies (der er nødvendige for at hjemmesiden fungerer) kræver ikke samtykke.

Bemærk: Din persondatapolitik bør indeholde en sektion om cookies, der refererer til din cookiepolitik, eller omvendt. De to dokumenter hænger tæt sammen.

Hvornår skal persondatapolitikken opdateres?

Du skal opdatere din persondatapolitik:

• Når du begynder at indsamle nye kategorier af data
• Når du skifter til nye analyseredskaber, nyhedsbrevsplatforme mv.
• Når du begynder at dele data med nye tredjeparter
• Ved ændringer i lovgivningen (fx nye vejledninger fra Datatilsynet)
• Mindst én gang om året som rutine

Husk at angive opdateringsdatoen på dokumentet, så brugerne kan se, hvornår det sidst er ændret.

Placering og tilgængelighed på hjemmesiden

GDPR kræver, at persondatapolitikken er let tilgængelig for brugerne.

God praksis:

• Link i hjemmesidens footer (mest brugte placering)
• Link i samtykke-bannere (cookies, nyhedsbrev)
• Link i checkout-processen (webshops)
• Link i kontaktformularer

Dårlig praksis (undgå):

• Kun tilgængeligt via en søgefunktion
• Gemt bag et underpunkt i "Om os"-sektionen
• Ikke linket fra cookie-banneret

De mest almindelige fejl i persondatapolitikker

1. Kopieret og ukritisk brugt standardtekst — mange politikker er generiske og matcher ikke virksomhedens faktiske datapraksis

2. Forældet indhold — politikken er ikke opdateret efter skift til nye tredjepartstjenester

3. Manglende tredjelandsoverførsler — særligt brugen af Google Analytics og andre amerikanske tjenester nævnes ikke

4. Uklart retsgrundlag — man skriver "vi behandler dine data" uden at angive hjemmelsgrundlaget

5. Manglende information om rettigheder — brugerne ved ikke, at de kan kræve indsigt eller sletning

6. Ingen opdateringsdato — brugerne kan ikke se, om politikken er aktuel

GDPR og børn

Indsamler din hjemmeside data fra brugere under 18 år, gælder særligt strenge regler. For tjenesters direkte henvendelse til børn kræves forældrenes samtykke for brugere under 13 år. Angiv din aldersbegrænsning i persondatapolitikken.

Persondatapolitik og B2B: Hvad er anderledes?

De fleste guides om persondatapolitik fokuserer på forbrugere. Men hvad med B2B?

Behandler din virksomhed personoplysninger om kontaktpersoner hos kunder og leverandører (fx "Lars Hansen, indkøbschef, lars.hansen@firma.dk"), er disse oplysninger personoplysninger og GDPR-regulerede — selvom formålet er erhvervsmæssigt.

Hvad du skal gøre:

• Din persondatapolitik (eller en B2B-version af den) bør dække behandling af kontaktpersoners data
• Du kan orientere ved at sende en e-mail med link til politikken
• Disse kontaktpersoner har samme rettigheder som forbrugere — indsigt, sletning, indsigelse

Konsekvenser ved manglende eller mangelfuld persondatapolitik

Datatilsynet har kompetence til at:

• Udstede påbud om at bringe behandlingen i overensstemmelse med GDPR
• Pålægge bøder — op til 20 mio. euro eller 4% af global omsætning, alt efter hvad der er størst
• Offentliggøre afgørelser, der kan skade virksomhedens omdømme

For de fleste SMV'er er en konkret bøde for en mangelfuld persondatapolitik sjælden ved første overtrædelse, hvis man viser vilje til at rette op. Men Datatilsynet gennemfører løbende tilsynsaktiviteter, og komplainerrapporter fra brugere kan trigge en undersøgelse.

Manglende persondatapolitik kan derudover føre til:

• Tab af brugertillid og negativ omtale
• Tabte forretningsaftalemuligheder med virksomheder, der stiller GDPR-krav til leverandører
• Kontraktbrud over for B2B-kunder, der kræver compliance

Ekstern databehandling: Hvad skal fremgå af politikken?

De fleste virksomheder anvender en eller flere cloud-tjenester, der behandler persondata:

• Mailchimp eller ActiveCampaign (e-mailmarketing)
• Zendesk eller Freshdesk (kundeservice)
• Stripe eller QuickPay (betalingsbehandling)
• HubSpot eller Salesforce (CRM)
• Google Workspace (e-mail, dokumenter)

Alle disse leverandører er databehandlere — din virksomhed er den dataansvarlige. Du er ansvarlig for, at disse leverandører behandler data korrekt, og du skal:

1. Indgå en databehandleraftale med dem (de fleste store udbydere tilbyder standardaftaler)

2. Oplyse brugerne om, at du bruger dem i din persondatapolitik

3. Angive, om der sker overførsler til tredjelande

Relaterede emner

Behandler du persondata fra samarbejdspartnere? Læs vores guide til [GDPR databehandleraftaler](/blog/gdpr-databehandleraftale-guide).

Har du en webshop? Læs om [handelsbetingelser for webshops](/blog/handelsbetingelser-webshop-guide).

Driver du en lille virksomhed og er usikker på GDPR-kravene? Læs vores guide til [GDPR for små virksomheder](/blog/gdpr-smaavirksomheder).

Opret din persondatapolitik med LegalDock

LegalDocks persondatapolitik-skabelon er tilpasset GDPR og dansk ret og indeholder alle de obligatoriske elementer. Du kan tilpasse skabelonen til din specifikke hjemmeside og datapraksis.

Brug juridisk verificerede skabeloner. [Opret din gratis konto](/dashboard) og kom i gang på under 10 minutter.

Se vores [prisoversigt](/priser) for information om pakker og abonnement.