“Er der styr på GDPR?”

Spørgsmålet er helt obligatorisk ved et salg af en SMV. Er svaret nej får sælger og sælgeres rådgivere travlt. Alternativt vil der sandsynligvis skulle skæres af købesummen samt tiltrædes endnu en garantiforpligtelse.

Men hvad er den aktuelle GDPR-temperatur og hvad kan du som virksomhedsejer med fordel gøre? Det har vi spurgt en ekspert om:

Nedenstående artikel er skrevet for Dealmaster M&A af GDPR rådgiver René Nørbjerg der står bag virksomheden “GDPR Regler Danmark”. Modtagere af Dealmaster M&A nyhedsbrevet er velkomne til at kontakte René Nørbjerg for en fortrolig, gratis og uforpligtende dialog. Se kontaktdata i bunden af denne artikel.

Baggrund for denne artikel

GDPR spiller en afgørende rolle i moderne virksomhedsledelse og er samtidig en naturlig del af ESG-arbejdet. GDPR integrerer sig i både (S)ocial, hvor fokus er på forbrugere, slutbrugere og egen værdikæde, samt (G)overnance, hvor det handler om virksomhedskultur og adfærd. For virksomheder, der har styr på deres GDPR, skaber dette en tryghed for kunder og interessenter, som kan bidrage til øget konkurrenceevne og markedsværdi.

Desuden er GDPR blevet en fast del af due diligence-processer i forbindelse med kapitalforhøjelse og salg. Investorer og potentielle købere stiller i stigende grad spørgsmål til en virksomheds GDPR-compliance for at sikre, at de ikke overtager risici i form af databrud eller negativ medieomtale.

Denne artikel belyser, hvordan styr på GDPR kan styrke din virksomhed og sætte den i en attraktiv position både operationelt og strategisk.

GDPR som en forsikring og konkurrencefordel

At have styr på GDPR er som at have en forsikring for din virksomhed. Når processer og opbevaring af persondata er i orden, reduceres risikoen for databrud, samtidig med at virksomheden fremstår professionel og ansvarlig. Dette gør virksomheden mere attraktiv for kunder, samarbejdspartnere og potentielle købere. Desuden giver det direktion og medarbejdere ro i sindet, når Datatilsynet melder sin ankomst.

GDPR er ikke kun et krav; det er en konkurrencefordel. Virksomheder med solid GDPR-compliance kan skille sig ud fra konkurrenterne og opnå en bedre position på markedet. Dette er især relevant, når virksomheden er i kontakt med investorer eller købere.

Tre scenarier, hvor GDPR bliver kritisk

Der er tre typiske situationer, hvor en virksomhed skal have styr på GDPR:

1. Datatilsynet melder sin ankomst

2. Virksomheden har brug for ny kapital

3. Virksomheden sættes til salg

Her er konkrete eksempler fra min erfaring:

• Case 1: Salg af stor virksomhed (500+ ansatte)
  En virksomhed, der var til salg, havde styr på GDPR, men købere ønskede en ekstern vurdering. Jeg leverede en statusrapport og en handlingsplan for mindre udeståender, som køberne accepterede. Salget blev gennemført til alles tilfredshed.

• Case 2: Opkøb af mellemstor virksomhed (100 ansatte)
  En virksomhed, jeg allerede arbejdede med, blev kontaktet af en potentiel køber. Her var GDPR-opgaven enkel, da grundarbejdet var på plads. Efter en hurtig opdatering blev salget gennemført inden for to måneder.

• Case 3: Datatilsynet varsler besøg (250 ansatte)
  En virksomhed blev varslet om et besøg fra Datatilsynet. Her omfattede opgaven både opdatering af interne fortegnelser og forberedelse af ledelsen til inspektionen. Resultatet var en problemfri proces, hvor mindre fejl blev rettet inden for en uge.

GDPR’s rolle i ESG

GDPR understøtter ESG-arbejdet ved at fremme ansvarlig datahåndtering, der styrker virksomhedens sociale og etiske profil. For eksempel kan kortlægning af persondata afsløre forbedringsmuligheder i hele organisationen, som kan integreres i en bredere ESG-strategi.

Desuden styrker GDPR governance ved at etablere klare retningslinjer og processer, der sikrer compliance og gennemsigtighed. Dette bidrager til en sund virksomhedskultur og styrker tilliden blandt interessenter.

De næste skridt for din virksomhed

For at sikre din virksomhed mod uforudsete krav om GDPR-compliance, anbefaler jeg at arbejde ud fra følgende punkter:

1. Skab et overblik over, hvor persondata opbevares.

2. Udarbejd en artikel 30/ intern fortegnelse.

3. Kortlæg og dokumenter GDPR-processer.

4. Uddan medarbejdere i GDPR-ansvar og compliance.

5. Implementér klare procedurer for databrud.

6. Forbered dig på et evt. besøg fra Datatilsynet.

Mange af disse opgaver er tidskrævende, men en struktureret tilgang kan reducere byrden og gøre arbejdet mere overskueligt. En god start er at inddrage flere afdelinger i kortlægningsfasen, så alle hjørner af virksomheden bliver afdækket.

Relevante links:

• Datatilsynets vejledning til artikel 30/ Intern fortegnelse

• GDPR Bøder uddelt i Danmark

• Vejledning i GDPR for små virksomheder

Artiklen er skrevet i december 2024 af René Nørbjerg, indehaver af GDPR-Regler.dk
René kan kontaktes via telefon +45 93 86 06 80 eller på mail rene@gdpr-regler.dk.