2018년 5월 영국에서 시행될 EU의 GDPR(일반 데이터 보호 규정)은 1998년 데이터 보호법(DPA) 조항을 업데이트합니다. 이러한 변화는 조직에 더 큰 의무를 부과하며, 위반 시 최대 2천만 유로 또는 전 세계 매출의 4%에 달하는 벌금이 부과될 수 있습니다. 조직은 시스템 및 절차의 잠재적인 변화에 대비하기 위해 지금 행동해야 합니다.
다행히도 좋은 급여 소프트웨어는 규정 준수를 유지하기 위한 간단하고 기본적인 절차에 도움이 될 수 있습니다.
개인정보 보호 설계
개인정보 보호 및 데이터 보안은 소프트웨어 및 급여 절차의 핵심이어야 합니다. 처리자는 데이터를 볼 수 있는 권한을 가질 수 있지만 시스템의 기본 구성은 개인 데이터의 가시성을 제한하는 것이어야 합니다.
프로세서는 필요한 경우 데이터를 보기 위해 명시적으로 요청해야 합니다. 기밀 데이터를 볼 수 있는 타당한 정당성이 있는 경우 처리자가 컨트롤러 또는 데이터 보호 담당자로부터 데이터를 임대할 수 있어야 하며 요청을 고려할 수 있습니다.
또한 데이터 유출 조사를 쉽게 하기 위해 소프트웨어에서 누가 어떤 기밀 데이터를 보았는지, 언제 로그를 기록해야 하는지에 대한 로그입니다. 이 메커니즘은 데이터 누출을 방지하지만 발생하는 경우 이러한 로그를 통해 쉽게 조사할 수 있습니다. 조직은 조사 기관에 "Privacy by Design"을 증명할 수 있습니다.
개인 데이터 마스킹
마스킹은 프로세서에서 처리 중인 개인의 개인 데이터를 숨기는 지능적인 방법입니다. 프로세서는 처리를 수행하고 정보를 사용할 수 있지만 데이터를 볼 수 없어야 합니다. 예를 들어 처리자의 직원에게 급여 명세서를 이메일로 보낼 수 있지만 급여 명세서나 직원의 이메일 주소는 볼 수 없습니다.
데이터 암호화
암호 해독 키 또는 암호를 통해서만 액세스할 수 있는 방식으로 데이터를 암호화하여 시스템을 통해 필수 정보를 전송합니다. 암호화 이상으로 민감한 데이터는 자동으로 보관되거나 파기되어야 합니다. 이렇게 하면 데이터 손실 위험이 줄어듭니다. 개인 데이터도 보안 또는 암호화된 형식으로 저장해야 합니다.
정보에 대한 권리. 잊혀질 권리.
직원은 처리 중인 자신의 정보에 액세스할 권리가 있습니다. 직원 포털을 통해 직원은 자신의 모든 개인 데이터를 쉽게 조회하고, 데이터 변경을 요청하고, 문서를 조회하고, 개인 정보 삭제를 요청할 수도 있습니다.
중요한 문서 보호
필수 문서를 암호로 보호하고 목적을 달성한 후 자동으로 파기해야 하는 시스템. 프로세서/컨트롤러는 모든 문서를 업로드하고 필요한 기간 동안만 정보를 저장하고 나중에 자동으로 파기할 수 있어야 합니다. 직원은 프로세서를 중간에 두지 않고도 고용주가 보낸 필수 문서를 볼 수 있습니다. 컨트롤러는 프로세서와 공유할 수 있는 정보를 제어할 수 있으며 프로세서는 더 이상 필요하지 않은 데이터를 릴리스할 수 있습니다.
권한 제한
개인 정보를 유지하기 위해 처리자는 기밀 데이터를 볼 수 없도록 제한해야 합니다. 세분화된 역할과 권한이 있어야 합니다. 모든 사람이 데이터 보안 및 기밀성을 손상시키지 않으면서 보고자 하는 것을 볼 수 있음을 의미합니다. 예를 들어 작업표 프로세서는 급여 데이터를 볼 필요가 없습니다. 이러한 역할 및 권한 기능이 있는 소프트웨어는 소스에서 데이터 유출 위험을 줄일 수 있습니다.
투명하게 정보 캡처
소프트웨어는 컨트롤러 및/또는 직원으로부터 전자적으로 스타터 정보를 캡처할 수 있어야 합니다. 처리자는 관련 데이터만 보고 동시에 급여 처리 오류가 줄어들기 때문에 GDPR 준수가 증가합니다.
Brain Payroll은 5월 23~24일에 Accountex 131번 부스에서 진행됩니다.