GDPR (General Data Protection Regulation) er stadig en af verdens mest omfattende regler for databeskyttelse. Driver du en lille blog, en WooCommerce-shop eller en SaaS\u2014og behandler du personoplysninger om EU-borgere\u2014s\u00e5 er GDPR-compliance ikke valgfrit.<\/p>\n\n\n\n
Konsekvenserne ved manglende compliance kan v\u00e6re alvorlige: b\u00f8der p\u00e5 op til \u20ac20 millioner eller 4% af din globale \u00e5rlige oms\u00e6tning (alt efter hvad der er h\u00f8jest). Derfor giver det mening at arbejde med GDPR som et konkret s\u00e6t processer, dokumentation og tekniske kontroller\u2014noter i et Word-dokument.<\/p>\n\n\n\n
Nedenfor f\u00e5r du en komplet GDPR compliance checklist (inkl. artiklereferencer), plus praktiske implementeringstrin og WordPress-specifikke ting, du typisk skal tage stilling til som website-ejer.<\/p>\n\n\n\n
GDPR (General Data Protection Regulation) er en EU-forordning, der har v\u00e6ret h\u00e5ndh\u00e6vet siden 25. maj 2018. Den fasts\u00e6tter klare regler for, hvordan organisationer m\u00e5 indsamle, bruge, opbevare og dele personoplysninger.<\/p>\n\n\n\n
Reglerne g\u00e6lder ikke kun virksomheder i EU. Hvis din virksomhed er etableret uden for EU, men behandler personoplysninger om EU-borgere, kan GDPR stadig v\u00e6re relevant.<\/p>\n\n\n\n
F\u00f8r du kan lave en meningsfuld tjekliste, skal du vide, hvilken rolle du har i GDPR-sammenh\u00e6ng:<\/p>\n\n\n\n
Det er helt normalt at have begge roller p\u00e5 samme tid. Eksempel: Du er controller for dit eget website, men processor hvis du behandler data for en kunde i et drift- eller udviklingssetup.<\/p>\n\n\n\n
F\u00f8r vi g\u00e5r ned i punkter og processer, giver det mening at have de 7 grundprincipper p\u00e5 rygraden:<\/p>\n\n\n\n
G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Det her er en praktisk opg\u00f8relse over de faktiske datatyper (t\u00e6nk kolonner\/felter) du ligger inde med, fx navn, CPR-nummer, adresse. For hver type b\u00f8r du dokumentere kilde (hvordan du f\u00e5r data), deling (hvem der modtager det), form\u00e5l (hvorfor du har det), og retention (hvor l\u00e6nge du gemmer det).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Det kan v\u00e6re databaser (fx MySQL), men det kan ogs\u00e5 v\u00e6re offline opbevaring (papir), filservere, backups, tredjepartsv\u00e6rkt\u00f8jer osv. Det vigtige er, at du kan beskrive dataflowet: hvor data kommer ind, hvor det lagres, og hvor det sendes videre.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Din privacy policy b\u00f8r beskrive alle relevante processer for h\u00e5ndtering af personoplysninger, og den b\u00f8r indeholde (eller linke til) hvilke typer data du har, og hvor du opbevarer dem.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Du skal beskrive den juridiske begrundelse for behandlingen\u2014fx at behandlingen er n\u00f8dvendig for at opfylde en kontrakt.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n En DPO er kun et krav i tre situationer:<\/p>\n\n\n\n Hvis du skal have en DPO, skal personen b\u00e5de kende GDPR-retningslinjer og have indsigt i de interne processer, hvor personoplysninger indg\u00e5r.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n S\u00f8rg for at n\u00f8glepersoner og beslutningstagere har opdateret viden om databeskyttelsesreglerne, s\u00e5 \u201cprivacy by design\u201d ikke kun bliver et udvikleransvar.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Is\u00e6r for SaaS: brug sikkerhedstjeklister som baseline for, at relevante tekniske foranstaltninger faktisk er implementeret (og vedligeholdt).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n G\u00e6lder for: Data Processor<\/em><\/p>\n\n\n\n Mange s\u00e5rbarheder handler om menneskelig faktor. Hvis medarbejdere har adgang til interne systemer, skal de kende risici og typiske angrebsvektorer (fx phishing) og vide, hvordan de h\u00e5ndterer data korrekt.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n G\u00e6lder for: Data Processor<\/em><\/p>\n\n\n\n Hvis du bruger underdatabehandlere (sub-processors), skal dine kunder informeres om det. I praksis betyder det typisk, at de accepterer det via din privacy policy.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Hvis din virksomhed er etableret uden for EU og indsamler data om EU-borgere, skal du udpege en repr\u00e6sentant i et EU-land. Repr\u00e6sentanten skal kunne h\u00e5ndtere sp\u00f8rgsm\u00e5l om behandlingen, og lokale myndigheder skal kunne kontakte vedkommende.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Databrud med personoplysninger skal anmeldes til relevant myndighed inden for 72 timer. Du b\u00f8r beskrive hvilke data der er l\u00e6kket\/tabt, konsekvenserne og hvilke modforanstaltninger du har taget. Medmindre de l\u00e6kkede data var krypteret, skal du ogs\u00e5 informere de personer, hvis data er kompromitteret.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n N\u00e5r du deler data med en processor, skal der v\u00e6re en kontrakt med eksplicitte instruktioner for opbevaring og\/eller behandling. Kontrakten skal beskrive emne og varighed, behandlings natur og form\u00e5l, type personoplysninger og kategorier af registrerede samt controllerens rettigheder og forpligtelser.<\/p>\n\n\n\n Eksempel: en aftale med din hostingudbyder. De samme kontraktkrav g\u00e6lder, n\u00e5r en processor bruger en sub-processor for at kunne levere behandlingsaktiviteter p\u00e5 vegne af controlleren.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du b\u00f8r have en tydeligt defineret proces til at h\u00e5ndtere indsigtsanmodninger.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Der skal v\u00e6re en mekanisme, s\u00e5 brugeren kan f\u00e5 rettet forkerte oplysninger.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Automatis\u00e9r sletning af data, du ikke l\u00e6ngere har brug for. Eksempel: slet data for kunder hvor kontrakten ikke er fornyet.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du skal kunne h\u00e5ndtere sletningsanmodninger (retten til at blive glemt) gennem en konkret proces.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Brugere har ret til at f\u00e5 begr\u00e6nset, hvordan deres data behandles.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Dataportabilitet betyder, at brugeren kan f\u00e5 sine data i et struktureret, almindeligt anvendt og maskinl\u00e6sbart format.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Det er kun relevant, hvis du laver profilering eller anden automatiseret beslutningstagning.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Hvis dit website indsamler personoplysninger, b\u00f8r du have et tydeligt synligt link til din privacy policy og f\u00e5 brugeren til at bekr\u00e6fte vilk\u00e5r. Samtykke kr\u00e6ver en aktiv handling\u2014afkrydsningsfelter m\u00e5 ikke v\u00e6re forudafkrydsede.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Teksten skal v\u00e6re enkel og tydelig og m\u00e5 ikke skjule hensigten. Hvis den er uklar, kan aftalen i praksis blive underkendt. Tilbyder du services til b\u00f8rn, skal policyen v\u00e6re skrevet s\u00e5 den ogs\u00e5 er til at forst\u00e5 for dem.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Withdrawal m\u00e5 ikke v\u00e6re en m\u00f8rk UX-pattern. Det skal v\u00e6re enkelt og tilg\u00e6ngeligt.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n For b\u00f8rn under 16 skal du sikre, at en for\u00e6lder\/v\u00e6rge har givet samtykke. Hvis samtykket gives via dit website, b\u00f8r du fors\u00f8ge at sikre, at det faktisk er v\u00e6rgen (og ikke barnet), der har godkendt.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Fx via email om kommende \u00e6ndringer, hvor du forklarer i simple termer, hvad der er \u00e6ndret.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n GDPR-compliance er ikke en engangs\u00f8velse. Du skal f\u00f8lge op p\u00e5 best practices og \u00e6ndringer i b\u00e5de dine egne processer og de jurisdiktioner, data sendes til.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n G\u00e6lder for: Data Controller<\/em><\/p>\n\n\n\n Det her er relevant ved fx behandling i stor skala, profilering og andre aktiviteter med h\u00f8j risiko for personers rettigheder og frihedsrettigheder. I de situationer skal du lave en Data Protection Impact Assessment (DPIA).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n G\u00e6lder for: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Hvis du overf\u00f8rer data p\u00e5 tv\u00e6rs af gr\u00e6nser, skal du ogs\u00e5 oplyse det i din privacy policy. Ved overf\u00f8rsel til lande uden \u201cadequacy\u201d skal du bruge Standard Contractual Clauses (SCCs) eller Binding Corporate Rules (BCRs).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n F\u00f8lgende rettigheder g\u00e6lder for alle Data Subjects<\/strong> (de personer, hvis data du behandler):<\/p>\n\n\n\n Controlleren skal tage passende skridt til at give information om behandling i en kortfattet, gennemsigtig, forst\u00e5elig og let tilg\u00e6ngelig form, med klart og enkelt sprog\u2014s\u00e6rligt hvis informationen er m\u00e5lrettet et barn. Informationen skal gives skriftligt eller p\u00e5 anden m\u00e5de, inkl. elektronisk hvor relevant.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 12<\/p>\n\n\n\n N\u00e5r du indsamler personoplysninger direkte fra den registrerede, skal du som minimum give f\u00f8lgende information:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 13<\/p>\n\n\n\n Hvis du f\u00e5r personoplysninger fra andre kilder end den registrerede, skal du give tilsvarende information, inkl. hvilke kategorier af personoplysninger det drejer sig om, samt kilden til data.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 14<\/p>\n\n\n\n Den registrerede har ret til at f\u00e5 bekr\u00e6ftet, om du behandler personoplysninger om vedkommende, og f\u00e5 adgang til bl.a.:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 15<\/p>\n\n\n\n Den registrerede kan kr\u00e6ve forkerte oplysninger rettet uden un\u00f8dig forsinkelse, og ufuldst\u00e6ndige data suppleret.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 16<\/p>\n\n\n\n Den registrerede kan kr\u00e6ve sletning af personoplysninger n\u00e5r:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 17<\/p>\n\n\n\n Den registrerede kan kr\u00e6ve begr\u00e6nsning af behandling n\u00e5r:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 18<\/p>\n\n\n\n Controlleren skal kommunikere enhver berigtigelse, sletning eller begr\u00e6nsning af behandling til hver modtager, som data er blevet videregivet til, medmindre det er umuligt eller kr\u00e6ver uforholdsm\u00e6ssig stor indsats.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 19<\/p>\n\n\n\n Den registrerede har ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinl\u00e6sbart format, og ret til at overf\u00f8re dem til en anden controller uden hindring.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 20<\/p>\n\n\n\n Den registrerede kan g\u00f8re indsigelse mod behandling baseret p\u00e5 legitime interesser eller offentlig interesse\u2014inkl. profilering\u2014af grunde, der relaterer til vedkommendes s\u00e6rlige situation.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 21<\/p>\n\n\n\n Den registrerede har ret til ikke at v\u00e6re underlagt en afg\u00f8relse, der udelukkende er baseret p\u00e5 automatiseret behandling (inkl. profilering), hvis afg\u00f8relsen har retlige virkninger eller p\u00e5 tilsvarende vis p\u00e5virker vedkommende v\u00e6sentligt.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 22<\/p>\n\n\n\n GDPR handler ogs\u00e5 om sikkerhed i praksis. En god baseline er at f\u00e5 f\u00f8lgende p\u00e5 plads:<\/p>\n\n\n\n Hvis dit website bruger ikke-n\u00f8dvendige cookies, skal du have eksplicit samtykke, f\u00f8r de aktiveres.<\/p>\n\n\n\n Dit cookie-banner skal kunne f\u00f8lgende:<\/p>\n\n\n\n Scroll eller passiv adf\u00e6rd (ikke at g\u00f8re noget) t\u00e6ller ikke som samtykke.<\/p>\n\n<\/div>\n\n\n\n Alle formularer, der indsamler personoplysninger, skal v\u00e6re GDPR-compliant. Typisk betyder det:<\/p>\n\n\n\n Email-marketing kr\u00e6ver, at du er disciplineret med samtykke og dokumentation:<\/p>\n\n\n\n Databrud er ikke kun et \u201chvis\u201d, men ofte et \u201chvorn\u00e5r\u201d. S\u00f8rg for at kunne:<\/p>\n\n\n\n Hvis du k\u00f8rer WordPress, kommer der nogle meget konkrete \u201cklassiske\u201d GDPR-arbejdsopgaver oveni:<\/p>\n\n\n\n GDPR opererer med to b\u00f8deniveauer:<\/p>\n\n\n\n Ud over b\u00f8der kan myndigheder ogs\u00e5 udstede advarsler, forbyde behandling midlertidigt eller permanent, p\u00e5l\u00e6gge sletning af data og begr\u00e6nse dataoverf\u00f8rsler.<\/p>\n\n\n\n En GDPR compliance checklist er en liste over konkrete handlinger, du skal gennemf\u00f8re for at leve op til GDPR. Den hj\u00e6lper med at finde huller i dine processer, din dokumentation og din tekniske h\u00e5ndtering af personoplysninger.<\/p>\n\n\n\n Data controlleren (typisk website- eller virksomhedsejeren) har det prim\u00e6re ansvar. Data processors har dog ogs\u00e5 selvst\u00e6ndige compliance-forpligtelser.<\/p>\n\n\n\n Ja\u2014hvis virksomheden behandler personoplysninger om EU-borgere, uanset hvor virksomheden er etableret.<\/p>\n\n\n\n Op til \u20ac20 millioner eller 4% af den \u00e5rlige globale oms\u00e6tning, alt efter hvad der er h\u00f8jest.<\/p>\n\n\n\n Ja, hvis dit website bruger ikke-n\u00f8dvendige cookies og du har bes\u00f8gende fra EU.<\/p>\n\n\n\n Kun hvis: (1) du er en offentlig myndighed\/et offentligt organ, (2) dine kerneaktiviteter kr\u00e6ver stor-skala, regelm\u00e6ssig og systematisk monitorering af personer, eller (3) du behandler f\u00f8lsomme data i stor skala.<\/p>\n\n\n\n Denne tjekliste er en generel guide og skal ikke opfattes som juridisk r\u00e5dgivning. S\u00f8g professionel juridisk r\u00e5dgivning til din konkrete situation.<\/p>\n\n<\/div>\n\n\nDu har en liste over alle steder, hvor personoplysninger opbevares \u2013 og hvordan data flyder imellem dem<\/h4>\n\n\n\n
Du har en offentligt tilg\u00e6ngelig privacy policy, der beskriver alle processer omkring personoplysninger<\/h4>\n\n\n\n
Din privacy policy angiver et lovligt grundlag (lawful basis) for, hvorfor du behandler personoplysninger<\/h4>\n\n\n\n
Accountability & management<\/h3>\n\n\n\n
Du har udpeget en Data Protection Officer (DPO)<\/h4>\n\n\n\n
\n\n
Du skaber awareness hos beslutningstagere om GDPR-retningslinjer<\/h4>\n\n\n\n
Din tekniske sikkerhed er opdateret<\/h4>\n\n\n\n
Du tr\u00e6ner medarbejdere i databeskyttelse<\/h4>\n\n\n\n
Du har en liste over sub-processors, og din privacy policy n\u00e6vner brugen af dem<\/h4>\n\n\n\n
Hvis din virksomhed er uden for EU, har du udpeget en repr\u00e6sentant i EU<\/h4>\n\n\n\n
Du indrapporterer databrud til myndighed og ber\u00f8rte personer (data subjects)<\/h4>\n\n\n\n
Du har en kontrakt (DPA) med alle databehandlere, som du deler data med<\/h4>\n\n\n\n
Nye rettigheder (som dine brugere\/kunder kan ud\u00f8ve)<\/h3>\n\n\n\n
Dine kunder kan nemt anmode om adgang til deres personoplysninger<\/h4>\n\n\n\n
Dine kunder kan nemt opdatere egne oplysninger for at holde dem korrekte<\/h4>\n\n\n\n
Du sletter automatisk data, n\u00e5r din virksomhed ikke l\u00e6ngere har et form\u00e5l med dem<\/h4>\n\n\n\n
Dine kunder kan nemt anmode om sletning af deres personoplysninger<\/h4>\n\n\n\n
Dine kunder kan nemt anmode om, at du stopper behandlingen af deres data<\/h4>\n\n\n\n
Dine kunder kan nemt anmode om at f\u00e5 udleveret deres data til sig selv eller en tredjepart<\/h4>\n\n\n\n
Dine kunder kan nemt g\u00f8re indsigelse mod profilering eller automatiske afg\u00f8relser, der kan p\u00e5virke dem<\/h4>\n\n\n\n
Samtykke (Consent)<\/h3>\n\n\n\n
Hvis behandlingen bygger p\u00e5 samtykke, skal samtykket v\u00e6re frivilligt, specifikt, informeret og kunne tr\u00e6kkes tilbage<\/h4>\n\n\n\n
Din privacy policy skal v\u00e6re skrevet klart og forst\u00e5eligt<\/h4>\n\n\n\n
Det skal v\u00e6re lige s\u00e5 nemt at tr\u00e6kke samtykke tilbage, som det var at give det<\/h4>\n\n\n\n
Hvis du behandler b\u00f8rns data, skal du verificere alder og indhente samtykke fra v\u00e6rge<\/h4>\n\n\n\n
N\u00e5r du opdaterer din privacy policy, informerer du eksisterende kunder<\/h4>\n\n\n\n
Opf\u00f8lgning<\/h3>\n\n\n\n
Du gennemg\u00e5r l\u00f8bende policies for \u00e6ndringer, effekt, \u00e6ndret datah\u00e5ndtering og \u00e6ndringer i forholdene i andre lande, som dine data flyder til<\/h4>\n\n\n\n
Special cases<\/h3>\n\n\n\n
Du ved, hvorn\u00e5r du skal lave en DPIA ved h\u00f8jrisiko-behandling (s\u00e6rligt ved f\u00f8lsomme data)<\/h4>\n\n\n\n
Du overf\u00f8rer kun data uden for EU til lande med et passende beskyttelsesniveau<\/h4>\n\n\n\n
Brugerrettigheder (Data Subject Rights) \u2013 det du skal kunne underst\u00f8tte i praksis<\/h2>\n\n\n\n
Ret til gennemsigtig information<\/h3>\n\n\n\n
Ret til specifik information n\u00e5r data indsamles direkte<\/h3>\n\n\n\n
\n\n
Ret til specifik information n\u00e5r data ikke indsamles direkte<\/h3>\n\n\n\n
Ret til indsigt (access)<\/h3>\n\n\n\n
\n\n
Ret til berigtigelse (rectification)<\/h3>\n\n\n\n
Ret til sletning (“right to be forgotten”)<\/h3>\n\n\n\n
\n\n
Ret til begr\u00e6nsning af behandling<\/h3>\n\n\n\n
\n\n
Ret til at blive underrettet ved berigtigelse, sletning eller begr\u00e6nsning<\/h3>\n\n\n\n
Ret til dataportabilitet<\/h3>\n\n\n\n
Ret til indsigelse<\/h3>\n\n\n\n
Ret til ikke at v\u00e6re underlagt automatiske afg\u00f8relser<\/h3>\n\n\n\n
Praktiske implementeringstrin (det du faktisk kan g\u00f8re p\u00e5 dit website)<\/h2>\n\n\n\n
1) Sikr dit website<\/h3>\n\n\n\n
\n\n
2) Tilf\u00f8j et cookie consent banner (og g\u00f8r det rigtigt)<\/h3>\n\n\n\n
\n\n
Vigtigt om samtykke<\/h4>\n\n\n
3) Gennemg\u00e5 dine webformularer<\/h3>\n\n\n\n
\n\n
4) Indhent samtykke til marketing emails<\/h3>\n\n\n\n
\n\n
5) Forbered dig p\u00e5 databrud<\/h3>\n\n\n\n
\n\n
WordPress-specifikke overvejelser<\/h2>\n\n\n\n
\n\n
GDPR-b\u00f8der og \u00f8vrige sanktioner<\/h2>\n\n\n\n
\n\n
FAQ<\/h2>\n\n\n\n
Hvad er en GDPR compliance checklist?<\/h3>\n\n\n\n
Hvem er ansvarlig for GDPR-compliance?<\/h3>\n\n\n\n
G\u00e6lder GDPR for amerikanske virksomheder?<\/h3>\n\n\n\n
Hvad er den maksimale straf for manglende compliance?<\/h3>\n\n\n\n
Skal jeg have et cookie-banner?<\/h3>\n\n\n\n
Skal jeg have en Data Protection Officer (DPO)?<\/h3>\n\n\n\n
Disclaimer<\/h4>\n\n\n