GDPR-compliance for internationale virksomheder i EU

Den praktiske GDPR-tjekliste: lovlige behandlingsgrundlag, DPO-krav, regler for tredjelandsoverførsler og bøderne, når virksomheder træder ved siden af.

Hvem GDPR gælder for

Databeskyttelsesforordningen gælder for enhver organisation, der behandler personoplysninger om EU-borgere — uanset hvor virksomheden er etableret. Ikke-EU-virksomheder, der målretter mod EU-kunder, skal udpege en EU-repræsentant efter artikel 27.

Kerneforpligtelser

Virksomheder skal identificere et lovligt behandlingsgrundlag for hver aktivitet, føre en fortegnelse over behandlingsaktiviteter (artikel 30), implementere privacy by design, efterkomme registreredes rettigheder inden for en måned og anmelde brud til tilsynsmyndigheden inden for 72 timer.

Databeskyttelsesrådgivere

En DPO er obligatorisk, hvor kerneaktiviteter omfatter omfattende systematisk overvågning eller omfattende behandling af særlige kategorier af oplysninger. DPO'en kan være ansat eller ekstern, men skal være uafhængig og referere til den øverste ledelse.

Overførsler og bøder

Overførsler ud af EØS kræver en tilstrækkelighedsafgørelse, standardkontraktbestemmelser med en overførselskonsekvensvurdering eller bindende virksomhedsregler. Maksimale bøder når EUR 20 mio. eller 4% af den globale årsomsætning — og håndhævelsen over for ikke-EU-virksomheder er steget støt siden 2023.