Foto: persondataforordning
Den nye persondataforordning skal være implementeret i din virksomhed til maj 2018.

Hvad betyder persondataforordningen for din virksomhed?

Opdateret 08.05.18 |
Af:
Mia Winther-Queen

Foto: KONTRAFRAME

Få et overblik over nogle af de vigtigste ting, du som rådgivervirksomhed skal have styr på inden den nye persondataforordning træder i kraft i 2018. Danske Arkitektvirksomheder arrangerer kursus til efteråret. 

Som arkitektvirksomhed vil du typisk ligge inde med oplysninger, som er omfattet af persondataforordningen. Den nye persondataforordning er udstedt af EU og erstatter den gældende persondatalov i Danmark. Reglerne i forordningen favner bredt, og som udgangspunkt vil alle virksomheder skulle forholde sig til de nye regler.

Det er vigtigt, at man som virksomhed, inden ordningen træder i kraft, finder ud af, hvilke slags data man sidder med, til hvilket formål, hvem i virksomheden der arbejder med dataene, og hvordan man arbejder med oplysningerne. 

Det  er vigtigt at have in mente, at alle virksomheder som behandler persondata - uanset størrelse - skal overholde persondataforordningen. Alle virksomheder, der får, arbejder med og opbevarer personoplysninger skal dokumentere, at kravene i persondataforordningen bliver overholdt.  

Danske Arkitektvirksomheder forsøger her at give dig og din virksomhed et overblik over, hvad I skal tage højde for. Guidelinen nedenfor er ikke fyldestgørende og dækker ikke alle områder af persondataforordningen, men den er en god rettesnor, så I kommer godt fra start. Der tages forbehold for, at større virksomheder kan have behov for ekstern rådgivning. 

Foto: Persondataforordning
Grafikken giver et overblik over de første par step i arbejdet med den nye persondataforordning. Punkterne er forklaret i artiklen.

Opstartsfasen

Virksomheden udpeger de relevante personer til projektet. Det vil især være relevant for mellemstore og store medlemmer. 

Analyse

  • Vurder i hvilket omfang I sidder med almindelige personoplysninger som fx navn, adresse, telefonnummer, e-mail, fødselsdato osv. Eller om der tale om følsomme oplysninger som fx oplysninger om race, politisk- eller religiøs overbevisning, fagforeningsforhold eller seksuel orientering. 

Arkitektvirksomheder vil oftest sidde med almindelige personoplysninger. Oplysningerne vil man fx komme i besiddelse af, hvis virksomheden modtager en jobansøgning (HR-delen) eller ved indgåelse af en kontrakt med en privat bygherre (den kommercielle del). Nogen virksomheder vil være besiddelse af begge typer oplysninger, og andre kun den ene slags oplysninger.

  • Hvem i virksomheden behandler oplysningerne? Det er vigtigt, at finde ud af, hvem i virksomheden, der har ansvaret for oplysningerne, og om oplysningerne bliver sendt ud af huset - både nationalt og internationalt. En dataansvarlig sidder med det overordnede ansvar, hvor en databehandler arbejder med oplysningerne. Rollerne kan være opdelt mellem flere eller fx i enkeltmandsvirksomheder kan det være den samme person, der har begge roller. 
  • Hvad skal oplysningerne bruges til? Som virksomhed skal I have et lovligt formål med at have oplysningerne. Bruger I oplysningerne, fordi I skal udarbejde en kontrakt? Har I oplysningerne, fordi i skal ansætte eller fordi personen er ansat hos jer? Man må som udgangspunkt ikke bruge oplysningerne til andet end det oprindelige formål. 
  • Hvordan behandler I personoplysningerne? Som virksomhed skal I være sikker på, at I behandler personoplysningerne korrekt og sikkert. Modtager I fx en jobansøgning, så må I ikke uden videre gemme ansøgningen efter, at I fx har ansat en anden person. Det kræver samtykke at gemme personoplysninger, som I ikke længere skal bruge til et specifikt formål. Det kræver eksplicit samtykke at bruge personoplysningerne til andet end det oprindelige formål. Med de nye regler kan en person til en hver tid kræve at få informeret hvilke informationer virksomheden sidder inde med og at disse bliver slettet. 

Lav en handlingsplan

Når virksomheden har kortlagt alle relevante oplysninger, skal I bagefter udarbejde en handlingsplan. Handlingsplanen skal indeholde en beskrivelse af de nye processer og politikker, som sikrer, at forordningen bliver overholdt. I skal fx tage stilling til, hvordan I vil beskytte og opbevare persondata, herunder ansættelsesaftaler, indhentning af samtykkeerklæringer, privacy policy på hjemmesiden m.m. Dertil skal virksomheden vurdere, hvordan man vil beskytte persondata fx ved at begrænse adgangen til oplysningerne ved hjælp af kodeord, kryptering og andre tilpasninger af jeres it-systemer.

Implementering og løbende vedligeholdelse

Når handlingsplanen er udarbejdet, så skal denne implementeres i virksomhedens daglige virke, hvor man sørger for at de fastlagte politikker og procedurer i handlingsplanen bliver fulgt. Det er vigtigt, at handlingsplanen er tilgængelig og forståelig, og at I hele tiden følger op på processerne og uddanner medarbejdere til overholde det fastlagte regelsæt.

Find vejledninger og skabeloner til at implementere persondataforordningen