EU:s allmänna dataskyddsförordningar (GDPR), som kommer att implementeras i Storbritannien i maj 2018, uppdaterar bestämmelserna i Data Protection Act 1998 (DPA). Förändringarna lägger större skyldigheter på organisationer, med potentiella böter för överträdelser så höga som 20 miljoner euro eller 4 procent av den globala omsättningen. Organisationer måste agera nu för att förbereda sig för potentiella förändringar av deras system och procedurer.

Lyckligtvis kan en bra löneprogramvara hjälpa till med enkla och grundläggande procedurer för att hålla sig kompatibla:

Privacy by Design

Sekretess och datasäkerhet bör vara kärnan i din programvara och dina löneförfaranden. En processor kan ha tillstånd att se uppgifterna, men standardkonfigurationen för systemet bör vara att begränsa synligheten för personuppgifterna.

Databehandlaren måste göra en uttrycklig begäran om att få se uppgifterna vid behov. Begäran kan övervägas, om det finns en giltig motivering för att se de konfidentiella uppgifterna, bör databehandlaren kunna hyra ut uppgifterna från registeransvarig eller dataskyddsombud.

Dessutom måste loggar över vem som har tittat på vilken konfidentiell data och när loggas av programvaran för att göra det enkelt att undersöka dataläckor. Denna mekanism förhindrar dataläckor, men skulle det hända gör dessa loggar det enkelt att undersöka. Organisationer kommer att kunna bevisa "Privacy by Design" för utredande myndighet.

Maskning av personuppgifter

Maskering är ett intelligent sätt att dölja alla personuppgifter om en individ som behandlas av processorn. Bearbetaren kan göra bearbetningen och använda informationen men han bör inte kunna se uppgifterna. Till exempel kan de e-posta lönebeskedet till en anställd hos processorn, men de kan inte se lönebeskedet eller den anställdes e-postadress.

Datakryptering

Överför viktig information genom systemet genom att kryptera data på ett sådant sätt som endast kan nås genom dekrypteringsnycklarna eller lösenordet. Utöver kryptering måste den känsliga informationen automatiskt arkiveras eller förstöras. Detta minskar risken för dataförlust. Personuppgifter bör också lagras i det säkra eller krypterade formatet.

Rätt till information. Rätt att bli bortglömd.

Anställda har rätt att få tillgång till deras information som behandlas. Genom medarbetarportalen kan en anställd enkelt se alla sina personuppgifter, begära dataändring, se dokument eller till och med begära radering av personlig information, med lätthet.

Skydda viktiga dokument

Ett system där viktiga dokument bör lösenordsskyddas och automatiskt förstöras efter att det har tjänat sitt syfte. Behandlare/kontrollant ska kunna ladda upp alla dokument och lagra informationen endast under den tid som krävs och senare förstöra automatiskt. Anställd kan se viktiga dokument som skickats av arbetsgivaren utan att få processorn emellan. Den personuppgiftsansvarige kan kontrollera vilken information som kan delas med processorerna och processorerna kan lämna ut data som de inte längre behöver.

  Begränsa rättigheter

För att upprätthålla integriteten bör processorer begränsas till att se alla konfidentiella uppgifter. Det bör finnas detaljerade roller och behörigheter. Betyder att alla ser vad de behöver se, utan att kompromissa med datasäkerheten och konfidentialitet. För ett exempel behöver tidrapportprocessorn inte se lönedata. En programvara med sådana roller och behörighetsfunktioner kan minska riskerna för dataintrång vid källan.

  Fånga information på ett transparent sätt

En mjukvara ska kunna fånga en nybörjarinformation elektroniskt från kontrollant och/eller anställda. Detta ökar GDPR-efterlevnaden eftersom processorn bara ser relevant data och samtidigt minskar lönehanteringsfelen.

Brain Payroll kommer att finnas på Accountex på monter 131 den 23–24 maj.