Henkilötietojen tarkkuus- ja laatupolitiikka

Henkilötietojen tarkkuus- ja laatupolitiikka määrittää, miten organisaatio ylläpitää henkilötietojen hallintajärjestelmässä käsiteltävien henkilötietojen tarkkuutta, täydellisyyttä, ajantasaisuutta, riittävyyttä ja merkityksellisyyttä. Sen tarkoituksena on varmistaa, että organisaation käyttämät henkilötiedot pysyvät tarkkoina ja soveltuvat PIMS:ään kirjattuihin käsittelyn tarkoituksiin ja että epätarkat, puutteelliset, vanhentuneet tai kiistetyt henkilötiedot korjataan, synkronoidaan tai eskaloidaan hallitun todentavan aineiston perusteella. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa siten, että rekisterinpitäjän velvoitteita pidetään ensisijaisina ja henkilötietojen käsittelijän tai alikäsittelijän velvoitteita sovelletaan, kun organisaatio tukee rekisterinpitäjän korjausta, synkronointia tai tarkkuuteen liittyviä ohjeita. Politiikka rakentuu käytännön operatiivisten kontrollien varaan eikä erillisen tietojen laatuohjelman varaan. Se ei nimenomaisesti luo erillistä tietojen laatua koskevaa rekisteriä, master data -hallinnointitoimintoa, analytiikkatietojen laatuviitekehystä tai tekoälyn koulutusdatan laatuviitekehystä. Sen sijaan se sisällyttää tarkkuus- ja laatuvaatimukset olemassa oleviin PIMS-tallenteisiin ja työnkulkuihin. REG02:ta käytetään tarkkuuden omistajuuden, ajantasaisen lähteen, vaikutuksiltaan merkittävien tallenteiden merkintöjen, tarkkuuskatselmoinnin tiheyden, tarkkuustarkastusten menetelmien, järjestelmäkytkentöjen ja vanhentuneen datan indikaattorien kirjaamiseen. REG06:ta käytetään rekisteröidyn tekemiin korjausvaatimuksiin ja hyväksyttyihin korjauskohteisiin. REG08 tukee yhteisrekisterinpitäjien vastuunjakoa, asiakkaan korjaustukivelvoitteita, hyväksyttyjä ohjekanavia, henkilötietojen käsittelijää ja alikäsittelijää koskevaa todentavaa aineistoa, vastaanottajailmoituksia ja jatkoketjun kuittauksia. REG12 kokoaa seurantatilan, puutteet, poikkeukset, poikkeamat, korjaavat toimenpiteet ja johdon katselmoinnin todentavan aineiston. Politiikan keskeinen käsite on vaikutuksiltaan merkittävä tallenne. Politiikka määrittää tämän henkilötietotallenteeksi, jota käytetään palveluun, sopimukseen, työsuhdeasiaan, taloudelliseen lopputulokseen, terveyteen liittyvään lopputulokseen, kelpoisuuspäätökseen, identiteettipäätökseen, riskipäätökseen tai muuhun päätökseen liittyvän pääsyn myöntämiseen, epäämiseen, muuttamiseen tai siihen olennaisesti vaikuttamiseen tilanteessa, jossa epätarkat henkilötiedot voisivat vaikuttaa olennaisesti rekisteröityyn. Näihin tallenteisiin sovelletaan erityisiä kontrolleja: ne tulee luokitella REG02:ssa ennen rekisterinpitäjän käsittelyn aloittamista ja sen jälkeen vuosittain, katselmoida vähintään vuosittain ja tarkastaa ennen niiden käyttämistä perusteena, jos katselmointipäivämäärät ovat ylittyneet. Järjestelmäomistajien tulee tunnistaa vaikutuksiltaan merkittävien järjestelmätallenteiden vanhentuneen datan indikaattorit ennen tuotantokäyttöönottoa ja 30 päivän kuluessa olennaisesta järjestelmämuutoksesta. Kun vaikutuksiltaan merkittävät tarkkuusongelmat jäävät ratkaisematta, toistuvat tai ylittävät hyväksytyt määräpäivät, politiikka edellyttää eskalointia REG12:een ja tarvittaessa ylimmälle johdolle. Korjaustyönkulku yhdistää tietosuojaoikeuksien käsittelyn, liiketoiminnallisen validoinnin ja teknisen toteutuksen. Rekisteröidyn tekemät korjausvaatimukset linkitetään REG06:ssa asianomaiseen REG02:n käsittelytoimeen viiden liiketoimintapäivän kuluessa tehtävän osoittamisesta. Hyväksytyt korjauskohteet tulee osoittaa sekä prosessin omistajalle tai liiketoimintavastaavalle että järjestelmäomistajalle tai sovellusomistajalle kahden liiketoimintapäivän kuluessa varsinaiseen tarkasteluun siirtymisestä. Prosessin omistaja validoi ehdotetut korjaukset ajantasaista lähdettä, käsittelyn tarkoitusta ja voimassa olevaa REG02-tallennetta vasten 10 liiketoimintapäivän kuluessa, kun taas järjestelmäomistaja toteuttaa hyväksytyt korjaukset lähdejärjestelmässä ja kirjaa valmistumisen REG06:een ja REG02:een viiden liiketoimintapäivän kuluessa hyväksynnästä tai hyväksyttyyn määräpäivään mennessä. Politiikka edellyttää myös dokumentoitua neuvontaa ennen korjauksen epäämistä, kiistetyn asian sulkemista tai vaikutuksiltaan merkittäviä korjauspäätöksiä, ja se ohjaa poistamisen, säilytyksen rajoittamisen, poistamisen tai pelkkään hävittämiseen johtavat lopputulokset liittyvään työnkulkuun, kun pelkkä korjaus ei ole vaadittu lopputulos. Myös synkronointi ja valvonta käsitellään nimenomaisesti. Ennen hyväksytyn korjauksen toteuttamista asiaankuuluvat lähdejärjestelmät, linkitetyt sovellukset, replikat, rajapinnat ja raportit tulee tunnistaa REG02:ssa. Hyväksytyt korjaukset tulee sen jälkeen synkronoida tunnistettuihin soveltamisalaan kuuluviin järjestelmiin, ja vastaanottajia, henkilötietojen käsittelijöitä tai tietojen jakamisen osapuolia seurataan REG08:n kautta, kun jatkoketjun päivityksiä vaaditaan. Neljännesvuosittaisiin mittareihin sisältyvät niiden vaikutuksiltaan merkittävien REG02:n käsittelytoimien prosenttiosuus, joissa on ajantasainen tarkkuuskatselmointi, REG06:n avoimet ja myöhässä olevat korjauskohteet sekä REG08:n ja REG12:n ratkaisemattomat synkronoinnin epäonnistumiset. Poikkeukset tulee pyytää, arvioida, rajata ajallisesti enintään 90 päivään ja sulkea tai arvioida uudelleen. Politiikka katselmoidaan vuosittain ja 30 päivän kuluessa olennaisesta laki-, käsittely-, järjestelmä- tai sertifioinnin soveltamisalan muutoksesta, ja ylin johto hyväksyy olennaiset muutokset ennen julkaisemista.