Hvad er maksimumstraffen?

4% af global omsætning eller 20 millioner EUR, det største af de to.

Hvad er forskellen på dataansvarlig og databehandler?

Du (webshopen) bestemmer formålet = dataansvarlig. WMS-leverandøren behandler data på dine vegne = databehandler.

For de fleste SMV-webshops: nej. Undtagelse: hvis du systematisk behandler store mængder følsomme persondata.

GDPR på lageret

Ordredata er persondata. Navn. Adresse. Telefonnummer. Email. Ordreindhold.

GDPR-bøde: op til 4% af global omsætning. For en webshop på 5 mio. kr./år = 200.000 kr. i maksimal bøde. For en webshop på 50 mio. kr./år = 2.000.000 kr.

Manglende databehandleraftale med dit WMS: 50.000-200.000 kr. i bøde. Databrud uden anmeldelse inden 72 timer: 100.000-500.000 kr.

Konsekvensen ved manglende GDPR-compliance:

Databrud uden anmeldelse: 100.000-500.000 kr. i bøde
Manglende databehandleraftale: 50.000-200.000 kr.
Maksimal bøde: 4% af global omsætning eller 20 mio. EUR

Hvad er persondata i lager-kontekst?

Enhver information der kan identificere en person er persondata under GDPR:

Kundens navn og adresse (leverings- og faktureringsadresse)
Telefonnummer (brugt til leveringsnotifikationer)
E-mailadresse
Ordreindhold (hvad kunden har købt)
IP-adresse og tracking-informationer
Returnerings-notater (kan indeholde personlige oplysninger)

👉 Har du samme udfordring? Se hvordan SmartPack løser det i praksis

Hvad koster manglende GDPR-compliance?

Scenario	Konsekvens	Kr./hændelse (estimat)
Databrud (5.000 kundedata eksponeret) uden anmeldelse	Bøde + erstatningskrav	100.000-500.000 kr.
Manglende databehandleraftale med WMS-leverandør	Bøde ved Datatilsynets kontrolbesøg	50.000-200.000 kr.
Ordredata gemmes i 15 år uden sletning	Bøde + krav om sletning	25.000-100.000 kr.

Databehandleraftale , et krav du ikke kan undgå

Bruger du et cloud-baseret WMS, er leverandøren din databehandler. Du er den dataansvarlige. GDPR kræver, at du indgår en skriftlig databehandleraftale (DPA) med alle systemer der behandler persondata på dine vegne.

Dette inkluderer:

Dit WMS (fx SmartPack)
Fragtleverandørerne (GLS, PostNord, Bring, de modtager adresser)
3PL-leverandøren (hvis du bruger 3PL)
Lagerstyring- og ERP-systemer

Krav til databehandleraftalen:

Formål og omfang af databehandling
Sikkerhedsforanstaltninger
Ret til audit
Procedure ved databrud
Sletningsrutiner

Hvad skal slettes , og hvornår?

Ordredata: Opbevar i 5 år af bogføringshensyn (regnskabsloven), men log-data og tracking kan slettes tidligere
Returdata: Slet personlige noter så snart returprocessen er afsluttet
Medarbejderdata: Egne regler for HR-data

Adgangsstyring på lageret

GDPR kræver at adgangen til persondata er begrænset til dem der har behov:

Lagermedarbejdere bør kun se den information de behøver (adresse, ordreindhold)
Administratorer bør have separat adgang med logging
Systemlog: hvem tilgik hvilke data hvornår?

Databrud: Hvad gør du?

Hvis persondata kompromitteres (fx systemindbrud, utilsigtet eksponering):

Vurder omfanget inden for 24 timer
Anmeld til Datatilsynet inden for 72 timer (hvis risiko for individers rettigheder)
Informér berørte kunder hvis risikoen er høj
Dokumentér hændelsen og din respons

Det opdager de fleste for sent

Datatilsynet checker din webshop i uge 22, de beder om databehandleraftale med dit WMS. Du har ingen. Bøde: 75.000 kr. + krav om aftale inden 30 dage.
Systemindbrud i uge 38, 5.000 kundedata eksponeres. Du opdager det efter 5 dage. Du anmelder ikke til Datatilsynet. 3 måneder senere: bøde 250.000 kr. + erstatningskrav fra kunder.
Tidligere medarbejder i uge 15, han har stadig adgang til WMS 6 måneder efter opsigelse. Han downloader 10.000 kundedata og sælger dem. Du opdager det for sent. Bøde: 150.000 kr. + erstatningskrav.

Typiske GDPR-fejl i lager-drift

Ingen databehandleraftale med WMS-leverandøren
Ordredata gemmes i usikret Excel på delt drev
Ingen adgangsstyring, alle medarbejdere ser alt
Ingen databrudsprocedure
Data slettes aldrig, ordredata fra 10+ år gemmes stadig

Gør det rigtigt nu

Kortlæg alle systemer der behandler persondata, lav data-mapping inden uge 16
Kræv og underskriv databehandleraftaler med alle leverandører, send email i dag
Implementér RBAC i dit WMS, begræns adgang per rolle
Lav en sletningspolitik og automatisér sletning, slet ordredata efter 5 år
Lav en databrudsprocedure og test den, hvem gør hvad inden for 24/72 timer?

SmartPack og GDPR

SmartPack-fordel: Leveres med databehandleraftale inkluderet. Data lagres i EU. Systemet understøtter RBAC og automatisk datahåndtering.

Brug denne artikel

✓ Underskriv databehandleraftale (DPA) med dit WMS og alle fragtleverandører
✓ Implementér rollebaseret adgangsstyring (RBAC) i dit lagersystem
✓ Lav en databrudsprocedure (72-timers regel til Datatilsynet)
✓ Opsut automatisk sletning af ordredata efter 5 år

GDPR på lageret: Hvad e-commerce virksomheder skal vide