Политика за точност и качество на лично идентифициращата информация (PII)

Политиката за точност и качество на лично идентифициращата информация (PII) определя как организацията поддържа точността, пълнотата, актуалността, адекватността и релевантността на лично идентифицираща информация, обработвана в рамките на система за управление на неприкосновеността на личната информация. Заявената ѝ цел е да гарантира, че лично идентифициращата информация (PII), използвана от организацията, остава точна и подходяща за целите на обработването, записани в СУНЛИ, и че неточна, непълна, остаряла или оспорвана лично идентифицираща информация (PII) се коригира, синхронизира или ескалира чрез контролирани доказателства. Политиката се прилага в контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, като задълженията на администратора се третират като първични, а задълженията на обработващия лични данни или подизпълнителя по обработване се прилагат, когато организацията поддържа инструкции на администратора, свързани с корекция, синхронизация или точност. Политиката е структурирана около практически оперативни контроли, а не около самостоятелна програма за качество на данните. Тя изрично не създава отделен регистър за качество на данните, функция за управление на основни данни, рамка за качество на аналитични данни или рамка за качество на обучителни данни за изкуствен интелект. Вместо това тя вгражда изискванията за точност и качество в съществуващите записи и работни потоци на СУНЛИ. REG02 се използва за записване на собственост върху точността, официален източник, индикатори за запис с високо въздействие, честота на прегледа на точността, методи за проверка на точността, системни връзки и индикатори за остарели данни. REG06 се използва за искания за корекция, подадени от субект на данни, и за приети елементи за корекция. REG08 поддържа разпределения между съвместни администратори, задължения за подкрепа при корекции по нареждане на клиента, разрешени канали за инструкции, доказателства за обработващ лични данни и подизпълнител по обработване, уведомления до получатели и последващи потвърждения. REG12 консолидира статуса на мониторинг, пропуски, изключения, несъответствия, коригиращи действия и доказателства за прегледа от ръководството. Централна характеристика на политиката е понятието запис с високо въздействие. Политиката го определя като запис с лично идентифицираща информация (PII), използван за предоставяне, отказ, промяна или съществено засягане на достъп до услуга, договор, трудово правоотношение, финансов резултат, резултат, свързан със здравето, решение за допустимост, решение за идентичност, решение за риск или друго решение, при което неточна лично идентифицираща информация (PII) може съществено да засегне субект на данни. Тези записи получават специфични контроли: те трябва да бъдат класифицирани в REG02 преди започване на обработване от администратор и ежегодно след това, да се преглеждат най-малко ежегодно и да се проверяват преди използване като основание, когато датите за преглед са просрочени. Собствениците на системи трябва да идентифицират индикатори за остарели данни за системни записи с високо въздействие преди въвеждане в експлоатация и в срок до 30 дни след съществена промяна в системата. Когато проблеми с точността при високо въздействие остават нерешени, повтарят се или надхвърлят одобрените крайни срокове, политиката изисква ескалация в REG12 и, когато е необходимо, до висше ръководство. Работният поток за корекция свързва обработването на права във връзка с поверителността, бизнес валидирането и техническото прилагане. Исканията за корекция, подадени от субект на данни, се свързват от REG06 със засегнатата дейност по обработване в REG02 в срок до пет работни дни от възлагането. Приетите елементи за корекция трябва да бъдат възложени както на собственик на процес или собственик на бизнес, така и на собственик на система или собственик на приложение в срок до два работни дни след преминаване към съществен преглед. Собственикът на процес валидира предложените корекции спрямо официалния източник, целта на обработването и текущия запис в REG02 в срок до 10 работни дни, докато собственикът на система прилага одобрените корекции в изходната система и записва завършването в REG06 и REG02 в срок до пет работни дни от одобрението или до одобрения краен срок. Политиката също изисква документирано становище преди отказ за корекция, приключване на оспорван случай или решения за корекция с високо въздействие, и насочва резултати, свързани със заличаване, ограничаване на съхранението, изтриване или само унищожаване, към съответния работен поток, когато само корекцията не е необходимият резултат. Синхронизацията и надзорът също са изрично разгледани. Преди прилагане на одобрена корекция съответните изходни системи, свързани приложения, реплики, интерфейси и отчети трябва да бъдат идентифицирани в REG02. След това одобрените корекции трябва да се синхронизират във всички идентифицирани системи в обхвата, докато получатели, обработващи лични данни или страни при споделяне на данни се проследяват чрез REG08, когато са необходими последващи актуализации. Тримесечните показатели включват процента на дейностите по обработване в REG02 с високо въздействие и актуален преглед на точността, отворени и просрочени елементи за корекция от REG06, както и нерешени неуспехи на синхронизацията от REG08 и REG12. Изключенията трябва да бъдат поискани, оценени, ограничени във времето до не повече от 90 дни и приключени или повторно оценени. Политиката се преглежда ежегодно и в срок до 30 дни след съществена правна промяна, промяна в обработването, системата или обхвата на сертификацията, като съществени промени се одобряват от висше ръководство преди публикуване.