PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka määrittää pakolliset vaatimukset henkilötietojen hallintajärjestelmän dokumentoidun tiedon koko elinkaaren hallintaan. Sen soveltamisala kattaa PIMS-tallenteiden luomisen, hyväksynnän, versioinnin, suojauksen, säilytyksen, haun, kääntämisen, käytöstä poistamisen ja todentamisen. Politiikkaa sovelletaan PIMS-politiikkoihin, rekistereihin, dokumentoituihin hyväksyntöihin, todentavan aineiston tallenteisiin, auditointinäyttöön, johdon katselmoinnin tallenteisiin, korjaavien toimenpiteiden todentavaan aineistoon ja hallittuihin käännöksiin, joita käytetään PIMS-vaatimustenmukaisuuden osoittamiseen. Se on laadittu rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöihin, joten sitä voidaan soveltaa eri rooleihin, joita organisaatiolla voi olla henkilötietoja käsitellessään. Politiikan keskeinen piirre on, että se perustuu kanonisiin PIMS-näyttöobjekteihin REG01–REG12 eikä luo erillistä asiakirjojen ohjausrekisteriä. Politiikassa todetaan, että dokumentoidun tiedon hallintaa koskeva todentava aineisto ylläpidetään näiden näyttöobjektien avulla. REG03- ja REG12-objekteja käytetään erityisesti hallintakeinojen soveltuvuuteen, auditointiin, poikkeamiin, korjaaviin toimenpiteisiin ja parantamiseen liittyvänä todentavana aineistona. Tämän lähestymistavan tarkoituksena on välttää tarpeetonta asiakirjahallinnan byrokratiaa ja samalla säilyttää valmius auditointia varten sertifiointia, asiakkaiden varmentamista ja jatkuvaa parantamista varten. REG12:ta käytetään laajasti dokumentoidun tiedon indeksin, pääsytasojen, arkaluonteisuusluokitusten, hyväksynnän tilan, versiohistorian, hakupyyntöjen, luovutusten hyväksyntöjen, säilytysluokkien, käytöstä poistamisen tilan, poikkeusten ja korjaavien toimenpiteiden seurannan hallintaan. Politiikka asettaa yksityiskohtaiset kontrollit luomiselle, hyväksynnälle, versioinnille ja julkaisulle. Ennen PIMS:n dokumentoidun tiedon julkaisemista tietosuojavastaavan / PIMS-päällikön tulee määrittää asiakirjatunniste, omistaja, versionumero, hyväksynnän tila, voimaantulopäivä ja katselmointipäivä REG12:ssa. Ylimmän johdon tulee hyväksyä keskeiset PIMS-politiikat ja olennaiset politiikkamuutokset ennen julkaisua, kun taas tietosuojavastaava / PIMS-päällikkö hyväksyy todentavan aineiston mallipohjat tai rekistereihin upotetut osiot ennen operatiivista käyttöä. Politiikka edellyttää myös, että versiohistoria ja muutoksen perustelu kirjataan ennen julkaisua ja että hyväksyttyjen muutosten viestintä kirjataan REG11:een 30 päivän kuluessa julkaisusta. Todentavan aineiston laatu ja jäljitettävyys käsitellään operatiivisina vaatimuksina eikä valinnaisina dokumentointitehtävinä. Tietosuojavastaavan / PIMS-päällikön tulee määrittää todentavan aineiston nimeämiskäytännöt, täsmäyttää REG03:n kontrolliviitteet politiikan todentavan aineiston tallenteisiin neljännesvuosittain ja ennen ulkoista auditointia sekä soveltaa hyväksyttyä viennin nimeämiskäytäntöä ennen kuin todentavaa aineistoa jaetaan sertifiointiauditointia, asiakkaiden varmentamista tai sääntelyyn vastaamista varten. Prosessien omistajien / liiketoimintavastaavien tulee varmistaa, että käsittelyä koskeva todentava aineisto sisältää todentavan aineiston omistajan, päivämäärän, käsittelytoimen viitteen, päätöksen tilan ja hyväksynnän tilan ennen kuin siihen tukeudutaan auditoinnissa. Sisäisen tarkastuksen / vaatimustenmukaisuuden katselmoijien tulee kirjata puutteet täydellisyydessä, täsmällisyydessä tai jäljitettävyydessä suunniteltujen auditointien tai vaatimustenmukaisuuskatselmusten aikana. Politiikka määrittää myös kontrollit pääsylle, suojaukselle, haulle, luovutukselle, säilytykselle, käytöstä poistamiselle, arkistoinnille, hävittämiselle ja monikieliselle versionhallinnalle. Tietovaraston pääsyrajoitukset tulee kirjata ennen pääsyn myöntämistä ja katselmoida neljännesvuosittain, ja pääsy henkilötietoja sisältävään PIMS:n todentavaan aineistoon tulee hyväksyä ennen sen myöntämistä. Todentavan aineiston luovutukset ulkoisille auditoijille, asiakkaille, henkilötietojen käsittelijöille, rekisterinpitäjille, valvontaviranomaisille tai muille ulkoisille osapuolille edellyttävät hyväksynnän ja luovutuksen soveltamisalan kirjaamista. Vanhentuneet versiot tulee poistaa käytöstä määritellyissä määräajoissa, aiemmat hyväksytyt politiikkaversiot tulee säilyttää, eikä arkistointia tai poistamista saa tehdä ennen kuin auditointia koskeva säilytys, oikeudellinen säilytysvelvoite, poikkeamatutkinta tai korjaavien toimenpiteiden riippuvuudet on tarkistettu. Mittarit, poikkeusten käsittely, soveltaminen ja vuosittaiset katselmointivaatimukset varmistavat, että dokumentoitu tieto pysyy ajantasaisena, haettavissa, suojattuna ja PIMS-vaatimustenmukaisuuden tarpeisiin yhdenmukaisena.