GDPR & Compliance

Privatlivspolitik: Hvad skal den indeholde?

Praktisk guide til privatlivspolitikken under GDPR. Lær hvad der er lovpligtigt, hvordan du undgår de typiske fejl, og få en tjekliste du kan bruge i dag.

8 min læsning

Hvad er en privatlivspolitik?

En privatlivspolitik – også kaldet persondatapolitik – er det offentligt tilgængelige dokument, hvor du fortæller besøgende, kunder, ansøgere og ansatte, hvordan din virksomhed behandler deres personoplysninger. Den er et krav efter GDPR (databeskyttelsesforordningen) artikel 13 og 14, og den skal være formuleret i et klart og letforståeligt sprog.

For de fleste danske SMV'er er privatlivspolitikken den vigtigste kundekontakt med GDPR: det er her, du dokumenterer, at du har styr på data, og det er den første ting en besøgende tjekker, hvis der opstår mistillid. Den er også ét af de få GDPR-dokumenter, Datatilsynet kan læse direkte fra din hjemmeside, inden de overhovedet kontakter dig.

Vigtigt: Privatlivspolitikken er en informationspligt – ikke et samtykke. Du bruger den til at fortælle, hvad du gør. Samtykke (f.eks. til nyhedsbrev eller markedsføring) indhentes separat, typisk via en afkrydsningsboks.

Hvem skal have en privatlivspolitik?

Stort set alle virksomheder med en hjemmeside, en e-mailadresse eller ansatte skal have en privatlivspolitik. Hvis du behandler personoplysninger – og det gør du allerede, hvis du sender en ordrebekræftelse, modtager en CV eller bruger Google Analytics – er du omfattet.

Typiske situationer, hvor en privatlivspolitik er nødvendig:

  • Webshop eller hjemmeside med kontaktformular
  • Nyhedsbrev eller e-mailmarketing
  • Rekruttering (modtagelse af CV'er og ansøgninger)
  • Bogføring, fakturering og kundekartotek
  • Videoovervågning eller adgangskontrol
  • CRM-systemer, Mailchimp, HubSpot m.fl.

Har du ansatte, skal du desuden have en intern privatlivspolitik for medarbejdere, som beskriver behandlingen af personalefiler, lønoplysninger og performance-data. Den kan være i samme dokument eller separat.

Hvad skal privatlivspolitikken indeholde?

GDPR artikel 13 og 14 oplister 10–12 obligatoriske punkter. De kan virke som en teknisk pligtøvelse, men det er præcis de oplysninger, dine kunder forventer at kunne finde. Her er, hvad der som minimum skal med:

Punkt Hvad skal du skrive?
Dataansvarlig Virksomhedens fulde navn, CVR, adresse og kontakt-e-mail. Navn på ejer eller GDPR-ansvarlig er en god tilføjelse.
Formål Hvorfor behandler du data? F.eks. ordrebehandling, levering, markedsføring, rekruttering.
Retsgrundlag For hvert formål – aftale (art. 6(1)(b)), samtykke (art. 6(1)(a)), lovkrav (art. 6(1)(c)) eller legitim interesse (art. 6(1)(f)).
Kategorier af data Hvilke typer data – navn, e-mail, IP, betalingsoplysninger, CPR (kun hvis nødvendigt), billeder osv.
Modtagere Hvem får adgang? Databehandlere som Stripe, Mailchimp, Google, bogholder og eksterne rådgivere.
Tredjelande Overføres data uden for EU/EØS (f.eks. til USA via Google Workspace)? Nævn overførselsgrundlag (SCC, adequacy decision).
Opbevaringsperiode Hvor længe gemmer du data? Konkret for hvert formål – f.eks. "bogføringsbilag i 5 år, jf. bogføringsloven".
Rettigheder Henvisning til de registreredes rettigheder (se næste afsnit) og hvordan man udøver dem.
Klageadgang Oplysning om ret til at klage til Datatilsynet, med link til datatilsynet.dk.
Kildeangivelse Hvis du ikke har indsamlet data direkte fra den registrerede – f.eks. ved køb af lead-lister – skal kilden oplyses (art. 14).
Praktisk eksempel: Du driver en lille webshop og bruger Shopify, Stripe og Mailchimp. Din privatlivspolitik skal nævne alle tre som databehandlere, angive at Stripe overfører data til USA under EU-US Data Privacy Framework, og at Mailchimp anvender SCC'er. Den skal også forklare, hvor længe ordrehistorik opbevares (typisk 5 år, jf. bogføringsloven §12), og hvor længe nyhedsbrevsabonnenter bliver, indtil samtykke trækkes tilbage.

De registreredes rettigheder

GDPR giver dine kunder og ansatte en række konkrete rettigheder, som din privatlivspolitik skal beskrive. Du behøver ikke at opfinde nye procedurer, men du skal kunne efterleve dem inden for 1 måned efter en anmodning.

1. Ret til indsigt (art. 15)

Den registrerede kan bede om en kopi af alle personoplysninger, du behandler om vedkommende, samt information om formål, opbevaring og modtagere.

2. Ret til berigtigelse (art. 16)

Urigtige oplysninger skal rettes uden unødig forsinkelse.

3. Ret til sletning (art. 17)

"Retten til at blive glemt" gælder, når formålet er opfyldt, samtykket er trukket tilbage, eller behandlingen var ulovlig. Lovpligtig opbevaring (f.eks. bogføring) går dog forud.

4. Ret til begrænsning (art. 18)

Midlertidig "pause" i behandlingen, mens korrekthed eller lovlighed undersøges.

5. Ret til dataportabilitet (art. 20)

Den registrerede kan få sine data i et maskinlæsbart format (CSV, JSON) og overføre dem til en anden dataansvarlig.

6. Ret til indsigelse (art. 21)

Særligt vigtig ved direkte markedsføring og behandling baseret på legitim interesse.

7. Ret til ikke at være genstand for automatiske afgørelser (art. 22)

Gælder ved profilering og automatiske beslutninger med retsvirkning – f.eks. automatisk kreditvurdering.

8. Ret til at trække samtykke tilbage

Hvis du behandler data på samtykkegrundlag, skal det være lige så nemt at trække samtykket tilbage, som det var at give det.

Privatlivspolitik vs. cookiepolitik vs. databehandleraftale

Disse tre dokumenter forveksles ofte, men de dækker forskellige formål:

Dokument Hvad dækker det? Til hvem?
Privatlivspolitik Hvordan du behandler alle personoplysninger – kunder, ansøgere, medarbejdere Offentligt tilgængelig
Cookiepolitik Hvilke cookies og tracking-teknologier der bruges, og samtykke til disse Besøgende på hjemmesiden
Databehandleraftale (DPA) Juridisk kontrakt der regulerer tredjeparts behandling af data på dine vegne Leverandører (Stripe, Shopify, Mailchimp m.fl.)

Ofte henviser privatlivspolitikken til cookiepolitikken og omvendt. Læs mere i vores komplette guide til GDPR for SMV'er og guide til databehandleraftaler.

5 typiske fejl i privatlivspolitikken

Fejl 1: Kopieret fra en udenlandsk skabelon

En amerikansk "Privacy Policy" overholder typisk CCPA, ikke GDPR. Den mangler retsgrundlag, klageadgang til Datatilsynet og konkret opbevaringsperiode efter dansk ret. Kopiering giver falsk tryghed og kan i sig selv udgøre et brud.

Fejl 2: "Vi bruger dine data til at forbedre tjenesten"

For vag. Hvert formål skal være specifikt – f.eks. "statistisk analyse af besøgsadfærd for at optimere checkout-flowet". Generiske formuleringer er ikke gyldige under GDPR's princip om formålsbegrænsning.

Fejl 3: Ingen konkret opbevaringsperiode

Mange skriver "så længe det er nødvendigt". Det er ikke godt nok. Angiv konkrete perioder: "5 år efter sidste kundeinteraktion jf. bogføringsloven §12" eller "indtil samtykket trækkes tilbage".

Fejl 4: Glemte databehandlere

Du skal oplyse om modtagere af data. Hvis du bruger Google Workspace, Microsoft 365, en ekstern bogholder eller et CRM, skal de nævnes (ikke nødvendigvis ved navn, men som kategori eller liste). Datatilsynet tjekker ofte dette.

Fejl 5: Ingen dato eller versionsnummer

Privatlivspolitikken skal have en tydelig "sidst opdateret"-dato. Ændrer du den væsentligt, skal eksisterende brugere typisk orienteres – f.eks. via e-mail eller en notifikation.

Tjekliste til din privatlivspolitik

Brug denne tjekliste til at sikre, at din privatlivspolitik overholder GDPR artikel 13–14:

Obligatorisk indhold

Dataansvarliges navn, CVR, adresse og kontakt-e-mail
Formål for behandlingen (konkrete, ikke generiske)
Retsgrundlag for hvert formål (aftale, samtykke, lovkrav, legitim interesse)
Kategorier af personoplysninger
Modtagere eller kategorier af modtagere (databehandlere)
Overførsler til tredjelande og overførselsgrundlag
Opbevaringsperioder (konkrete, ikke "så længe det er nødvendigt")
Beskrivelse af de registreredes rettigheder
Ret til at trække samtykke tilbage (hvis relevant)
Klageadgang til Datatilsynet med link
Eventuel profilering og automatiske afgørelser
Dato for sidst opdateret + versionsnummer

Praktiske krav

Skrevet på dansk (hvis målgruppen er dansk)
Klart og letforståeligt sprog – ingen advokat-jargon
Let tilgængelig fra alle sider på hjemmesiden (typisk i footer)
Link fra checkout og kontaktformularer
Separat cookiepolitik (hvis relevant)

Opret din privatlivspolitik med LovBot

LovBot genererer en privatlivspolitik tilpasset din virksomheds konkrete datastrømme – med alle GDPR-krav dækket og klart dansk sprog.

GDPR artikel 13 & 14 Tilpasset din virksomhed Klar på 5 minutter

Opret privatlivspolitik gratis →

Relaterede guides

Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.