EU’s General Data Protection Regulations (GDPR), som vil blive implementeret i Storbritannien i maj 2018, opdaterer bestemmelserne i Data Protection Act 1998 (DPA). Ændringerne pålægger organisationer større forpligtelser med potentielle bøder for overtrædelser så høje som €20 millioner eller 4 procent af den globale omsætning. Organisationer skal handle nu for at forberede sig på de potentielle ændringer i deres systemer og procedurer.
Heldigvis kan en god lønsoftware hjælpe med enkle og grundlæggende procedurer for at forblive kompatibel:
Privacy by Design
Privatliv og datasikkerhed bør være kernen i din software og lønprocedurer. En databehandler kan have tilladelse til at se dataene, men standardkonfigurationen af systemet bør være at begrænse synligheden af de personlige data.
Databehandleren skal fremsætte udtrykkelig anmodning om at få vist dataene, hvis det er nødvendigt. Anmodningen kan tages i betragtning, hvis der er en gyldig begrundelse for at se de fortrolige data, bør databehandleren være i stand til at leje dataene fra den dataansvarlige eller den databeskyttelsesansvarlige.
Desuden skal logfiler over, hvem der har set hvilke fortrolige data og hvornår, logges af softwaren for at gøre undersøgelse af datalækage let. Denne mekanisme forhindrer datalækage, men skulle det ske, gør disse logfiler det nemt at undersøge. Organisationer vil være i stand til at bevise "Privacy by Design" over for den undersøgende myndighed.
Maskning af personlige data
Maskering er en intelligent måde at skjule personoplysninger om en person, som behandles af databehandleren. Databehandleren kan udføre behandlingen og bruge oplysningerne, men han bør ikke være i stand til at se dataene. For eksempel kan de e-maile lønsedlen til en medarbejder hos processoren, men de kan ikke se lønsedlen eller medarbejderens e-mailadresse.
Datakryptering
Overfør væsentlig information gennem systemet ved at kryptere dataene på en sådan måde, at der kun kan tilgås via dekrypteringsnøgler eller adgangskode. Ud over kryptering skal de følsomme data automatisk arkiveres eller destrueres. Dette reducerer risikoen for tab af data. Personlige data bør også opbevares i det sikre eller krypterede format.
Ret til information. Ret til at blive glemt.
Medarbejdere har ret til at få adgang til deres oplysninger, der behandles. Gennem medarbejderportalen kan en medarbejder nemt se alle sine personlige data, anmode om dataændring, se dokumenter eller endda anmode om sletning af personlige oplysninger.
Beskyt vitale dokumenter
Et system, hvor væsentlige dokumenter skal beskyttes med adgangskode og automatisk destrueres, efter at det har tjent sit formål. Databehandler/controller bør kun kunne uploade alle dokumenter og opbevare oplysningerne i den nødvendige periode og senere ødelægge automatisk. Medarbejderen kan se væsentlige dokumenter sendt af arbejdsgiveren uden at få processoren ind imellem. Den dataansvarlige kan kontrollere, hvilke oplysninger der kan deles med databehandlerne, og databehandlerne kan frigive data, som de ikke længere har brug for.
Begræns rettigheder
For at bevare privatlivets fred bør databehandlere begrænses til at se alle fortrolige data. Der bør være en detaljeret roller og tilladelser. Betyder, at alle ser, hvad de har brug for at se, uden at kompromittere datasikkerheden og fortroligheden. For et eksempel behøver timeseddelprocessor ikke at se løndata. En software med sådanne roller og tilladelsesfunktioner kan reducere risikoen for databrud ved kilden.
Fang information gennemsigtigt
En software skal være i stand til at fange en starters information elektronisk fra controller og/eller medarbejdere. Dette øger GDPR-overholdelsen, fordi databehandleren kun ser de relevante data, og samtidig reduceres lønbehandlingsfejlene.
Brain Payroll vil være hos Accountex på stand 131 den 23.-24. maj.