Politika přesnosti a kvality PII

Politika přesnosti a kvality PII stanoví, jak organizace udržuje přesnost, úplnost, aktuálnost, přiměřenost a relevanci osobně identifikovatelných údajů zpracovávaných v rámci systému řízení informací o soukromí. Jejím deklarovaným účelem je zajistit, aby PII používané organizací zůstaly přesné a vhodné pro účely zpracování zaznamenané v PIMS a aby nepřesné, neúplné, zastaralé nebo sporné PII byly opraveny, synchronizovány nebo eskalovány pomocí řízených důkazů. Politika se uplatňuje napříč kontexty správce, společného správce, zpracovatele a dílčího zpracovatele, přičemž povinnosti správce jsou považovány za primární a povinnosti zpracovatele nebo dílčího zpracovatele se použijí tam, kde organizace podporuje opravu, synchronizaci nebo pokyny správce související s přesností údajů. Politika je postavena na praktických provozních opatřeních, nikoli na samostatném programu kvality údajů. Výslovně nezavádí samostatný registr kvality údajů, funkci správy hlavních dat, rámec kvality analytických dat ani rámec kvality dat pro trénování AI. Místo toho začleňuje požadavky na přesnost a kvalitu do stávajících záznamů a pracovních postupů PIMS. REG02 se používá k zaznamenání vlastnictví přesnosti údajů, autoritativního zdroje, příznaků záznamu s významným dopadem, frekvence přezkumu přesnosti, metod kontroly přesnosti, vazeb systémů a ukazatelů zastaralých údajů. REG06 se používá pro nároky na opravu vznesené subjektem PII a pro přijaté položky oprav. REG08 podporuje rozdělení odpovědností mezi společnými správci, povinnosti zákazníka poskytovat součinnost při opravách údajů, autorizované kanály pokynů, důkazy zpracovatele a dílčího zpracovatele, oznámení příjemcům a navazující potvrzení. REG12 konsoliduje stav monitorování, mezery, výjimky, neshody, nápravná opatření a důkazy o přezkoumání vedením. Ústředním prvkem politiky je pojem záznam s významným dopadem. Politika jej definuje jako záznam PII používaný k udělení, odmítnutí, změně nebo významnému ovlivnění přístupu ke službě, smlouvy, pracovněprávní záležitosti, finančního výsledku, výsledku souvisejícího se zdravím, rozhodnutí o způsobilosti, rozhodnutí o identitě, rozhodnutí o riziku nebo jiného rozhodnutí, u něhož by nepřesné PII mohly významně ovlivnit subjekt PII. Na tyto záznamy se vztahují zvláštní opatření: musí být klasifikovány v REG02 před zahájením zpracování správcem a poté každoročně, musí být přezkoumávány alespoň jednou ročně a musí být zkontrolovány před použitím jako podklad, pokud jsou termíny přezkumu po lhůtě. Vlastníci systémů musí určit ukazatele zastaralých údajů pro systémové záznamy s významným dopadem před spuštěním do produkčního prostředí a do 30 dnů od významné změny systému. Pokud problémy s přesností údajů u záznamů s významným dopadem zůstávají nevyřešené, opakují se nebo překročí schválené termíny splnění, politika vyžaduje eskalaci do REG12 a v případě potřeby k vrcholovému vedení. Pracovní postup oprav propojuje vyřizování práv v oblasti ochrany soukromí, obchodní validaci a technickou implementaci. Nároky na opravu vznesené subjektem PII se do pěti pracovních dnů od přiřazení propojí z REG06 s dotčenou činností zpracování v REG02. Přijaté položky oprav musí být do dvou pracovních dnů od zahájení věcného přezkumu přiřazeny jak vlastníkovi procesu nebo vlastníkovi společnosti, tak vlastníkovi systému nebo vlastníkovi aplikace. Vlastník procesu validuje navrhované opravy vůči autoritativnímu zdroji, účelu zpracování a aktuálnímu záznamu REG02 do 10 pracovních dnů, zatímco vlastník systému implementuje schválené opravy ve zdrojovém systému a zaznamená dokončení v REG06 a REG02 do pěti pracovních dnů od schválení nebo do schváleného termínu splnění. Politika také vyžaduje dokumentované poradenství před odmítnutím opravy, sporným uzavřením nebo rozhodnutími o opravě s významným dopadem a směruje výsledky spočívající pouze ve výmazu, omezení uchovávání, smazání nebo likvidaci do souvisejícího pracovního postupu, pokud samotná oprava není požadovaným výsledkem. Výslovně je řešena také synchronizace a dohled. Před implementací schválené opravy musí být v REG02 identifikovány příslušné zdrojové systémy, propojené aplikace, repliky, rozhraní a reporty. Schválené opravy se poté musí synchronizovat napříč identifikovanými systémy v daném rozsahu, zatímco příjemci, zpracovatelé nebo strany, s nimiž jsou údaje sdíleny, jsou sledováni prostřednictvím REG08, pokud jsou vyžadovány navazující aktualizace. Čtvrtletní metriky zahrnují procento činností zpracování v REG02 s významným dopadem, které mají aktuální přezkum přesnosti údajů, otevřené a po lhůtě položky oprav z REG06 a nevyřešená selhání synchronizace z REG08 a REG12. Výjimky musí být vyžádány, posouzeny, časově omezeny nejvýše na 90 dnů a uzavřeny nebo znovu posouzeny. Politika je přezkoumávána každoročně a do 30 dnů od významné právní změny, změny zpracování, systému nebo rozsahu certifikace, přičemž významné změny před zveřejněním schvaluje vrcholové vedení.