PII-pontossági és minőségi szabályzat

A PII-pontossági és minőségi szabályzat meghatározza, hogyan tartja fenn a szervezet az adatvédelmi információirányítási rendszeren belül kezelt személyes azonosításra alkalmas információk pontosságát, teljességét, naprakészségét, megfelelőségét és relevanciáját. Kimondott célja annak biztosítása, hogy a szervezet által használt PII pontos maradjon és alkalmas legyen a PIMS-ben rögzített adatkezelési célokra, továbbá hogy a pontatlan, hiányos, elavult vagy vitatott PII-t szabályozott bizonyító anyagok alapján helyesbítsék, szinkronizálják vagy eszkalálják. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói helyzetekben is alkalmazandó; az adatkezelői kötelezettségek elsődlegesek, az adatfeldolgozói vagy al-adatfeldolgozói kötelezettségek pedig akkor alkalmazandók, amikor a szervezet adatkezelői helyesbítést, szinkronizálást vagy pontossággal kapcsolatos utasításokat támogat. A szabályzat gyakorlati működési kontrollokra épül, nem pedig önálló adatminőségi programra. Kifejezetten nem hoz létre külön adatminőségi nyilvántartást, törzsadat-irányítási funkciót, analitikai adatminőségi keretrendszert vagy AI-tanításiadat-minőségi keretrendszert. Ehelyett a pontossági és minőségi követelményeket a meglévő PIMS-nyilvántartásokba és munkafolyamatokba építi be. A REG02 rögzíti a pontosságért felelős személyt, a hiteles forrást, a nagy hatású rekord jelöléseit, a pontossági felülvizsgálat gyakoriságát, a pontosságellenőrzési módszereket, a rendszerkapcsolódásokat és az elavult adatok indikátorait. A REG06 a PII-alanytól származó helyesbítési igényekhez és az elfogadott helyesbítési tételekhez használatos. A REG08 támogatja a közös adatkezelői felosztásokat, az ügyfél-helyesbítéstámogatási kötelezettségeket, az engedélyezett utasítási csatornákat, az adatfeldolgozói és al-adatfeldolgozói bizonyító anyagokat, a címzetti értesítéseket és a továbbkapcsolódó visszaigazolásokat. A REG12 egységesíti a nyomon követési státuszt, a hiányosságokat, a kivételeket, a meg nem feleléseket, a helyesbítő intézkedéseket és a vezetőségi felülvizsgálat bizonyító anyagait. A szabályzat központi eleme a nagy hatású rekord fogalma. A szabályzat ezt olyan PII-rekordként határozza meg, amelyet szolgáltatáshoz, szerződéshez, munkaviszonnyal kapcsolatos ügyhöz, pénzügyi eredményhez, egészségügyi eredményhez, jogosultsági döntéshez, identitásdöntéshez, kockázati döntéshez vagy más olyan döntéshez való hozzáférés megadására, megtagadására, módosítására vagy lényeges befolyásolására használnak, ahol a pontatlan PII lényegesen érintheti a PII-alanyt. Ezekre a rekordokra külön kontrollok vonatkoznak: a REG02-ben kell őket besorolni az adatkezelői adatkezelés megkezdése előtt, majd ezt követően évente; legalább évente felül kell vizsgálni őket; és késedelmes felülvizsgálati dátum esetén a felhasználásuk előtt ellenőrizni kell őket. A rendszergazdáknak az éles indulás előtt és a lényeges rendszerváltozástól számított 30 napon belül azonosítaniuk kell a nagy hatású rendszerrekordokra vonatkozó elavultadat-indikátorokat. Ha a nagy hatású pontossági problémák rendezetlenek maradnak, ismétlődnek vagy túllépik a jóváhagyott határidőket, a szabályzat előírja a REG12-be, szükség esetén pedig a felső vezetéshez történő eszkalációt. A helyesbítési munkafolyamat összekapcsolja az adatvédelmi jogok kezelését, az üzleti ellenőrzést és a technikai végrehajtást. A PII-alanytól származó helyesbítési igényeket a hozzárendeléstől számított öt munkanapon belül a REG06-ból az érintett REG02 szerinti adatkezelési tevékenységhez kell kapcsolni. Az elfogadott helyesbítési tételeket az érdemi felülvizsgálat megkezdését követő két munkanapon belül hozzá kell rendelni a folyamatgazdához vagy üzlettulajdonoshoz, valamint a rendszergazdához vagy alkalmazástulajdonoshoz. A folyamatgazda 10 munkanapon belül ellenőrzi a javasolt helyesbítéseket a hiteles forrás, az adatkezelési cél és az aktuális REG02-rekord alapján, míg a rendszergazda a jóváhagyástól számított öt munkanapon belül vagy a jóváhagyott határidőig végrehajtja a jóváhagyott helyesbítéseket a forrásrendszerben, és rögzíti a teljesítést a REG06-ban és a REG02-ben. A szabályzat dokumentált szakmai álláspontot is előír helyesbítés megtagadása, vitatott lezárás vagy nagy hatású helyesbítési döntés előtt, és a törlési, megőrzési korlátozási, törlésre vagy kizárólag megsemmisítésre irányuló eredményeket a kapcsolódó munkafolyamatba irányítja, ha önmagában a helyesbítés nem a szükséges eredmény. A szinkronizálást és a felügyeletet a szabályzat szintén kifejezetten kezeli. Jóváhagyott helyesbítés végrehajtása előtt a REG02-ben azonosítani kell a releváns forrásrendszereket, kapcsolódó alkalmazásokat, replikákat, interfészeket és jelentéseket. A jóváhagyott helyesbítéseket ezt követően szinkronizálni kell az azonosított, alkalmazási körbe tartozó rendszerekben, míg a címzetteket, adatfeldolgozókat vagy adatmegosztásban részt vevő feleket a REG08-on keresztül kell nyomon követni, ha továbbkapcsolódó frissítések szükségesek. A negyedéves mutatók közé tartozik az aktuális pontossági felülvizsgálattal rendelkező nagy hatású REG02 adatkezelési tevékenységek százalékos aránya, a REG06 szerinti nyitott és lejárt helyesbítési tételek, valamint a REG08 és REG12 szerinti rendezetlen szinkronizálási hibák. A kivételeket kérelmezni és értékelni kell, időben legfeljebb 90 napra korlátozhatók, majd le kell zárni vagy újra kell értékelni őket. A szabályzatot évente, valamint lényeges jogi, adatkezelési, rendszer- vagy tanúsítási hatókört érintő változástól számított 30 napon belül felül kell vizsgálni; a lényeges változásokat a közzététel előtt a felső vezetés hagyja jóvá.