Asmenį identifikuojančios informacijos (AII) tikslumo ir kokybės politika

Asmenį identifikuojančios informacijos (AII) tikslumo ir kokybės politika apibrėžia, kaip organizacija palaiko privačios informacijos apsaugos valdymo sistemoje tvarkomos asmenį identifikuojančios informacijos tikslumą, išsamumą, aktualumą, tinkamumą ir reikšmingumą. Jos nurodytas tikslas – užtikrinti, kad organizacijos naudojama AII išliktų tiksli ir tinkama privačios informacijos apsaugos valdymo sistemoje užfiksuotiems tvarkymo tikslams, o netiksli, neišsami, pasenusi ar ginčijama AII būtų ištaisyta, sinchronizuota arba eskaluota naudojant kontroliuojamus įrodymus. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstams: duomenų valdytojo prievolės laikomos pirminėmis, o duomenų tvarkytojo arba subtvarkytojo prievolės taikomos tada, kai organizacija palaiko duomenų valdytojo koregavimo, sinchronizavimo arba su tikslumu susijusius nurodymus. Politika grindžiama praktinėmis operacinėmis kontrolės priemonėmis, o ne atskira duomenų kokybės programa. Ji aiškiai nesukuria atskiro duomenų kokybės registro, pagrindinių duomenų valdysenos funkcijos, analizės duomenų kokybės sistemos ar dirbtinio intelekto mokymo duomenų kokybės sistemos. Vietoje to tikslumo ir kokybės reikalavimai integruojami į esamus privačios informacijos apsaugos valdymo sistemos įrašus ir darbo eigas. REG02 naudojamas duomenų tikslumo savininkui, autoritetingam šaltiniui, didelio poveikio įrašų žymoms, tikslumo peržiūros dažniui, tikslumo patikros metodams, sistemų sąsajoms ir pasenusių duomenų indikatoriams registruoti. REG06 naudojamas duomenų subjekto inicijuotiems koregavimo teiginiams ir priimtiems koregavimo elementams. REG08 palaiko bendrų duomenų valdytojų paskirstymus, kliento koregavimo palaikymo prievoles, autorizuotus nurodymų kanalus, duomenų tvarkytojo ir subtvarkytojo įrodymus, gavėjų pranešimus ir tolesnius patvirtinimus. REG12 konsoliduoja stebėsenos būseną, spragas, išimtis, neatitiktis, korekcinius veiksmus ir vadovybės peržiūros įrodymus. Centrinė politikos sąvoka yra didelio poveikio įrašas. Politikoje jis apibrėžiamas kaip AII įrašas, naudojamas suteikti, atsisakyti suteikti, pakeisti arba iš esmės paveikti prieigą prie paslaugos, sutarties, darbo santykių klausimo, finansinio rezultato, su sveikata susijusio rezultato, tinkamumo sprendimo, tapatybės sprendimo, rizikos sprendimo ar kito sprendimo, kai netiksli AII galėtų reikšmingai paveikti duomenų subjektą. Šiems įrašams taikomos konkrečios kontrolės priemonės: jie turi būti klasifikuojami REG02 prieš pradedant duomenų valdytojo atliekamą tvarkymą ir vėliau kasmet, peržiūrimi bent kartą per metus, o kai peržiūros datos pradelstos – tikrinami prieš jais remiantis. Sistemų savininkai turi nustatyti pasenusių duomenų indikatorius didelio poveikio sistemos įrašams prieš paleidimą gamybinėje aplinkoje ir per 30 dienų nuo esminio sistemos pakeitimo. Kai didelio poveikio tikslumo klausimai lieka neišspręsti, kartojasi arba viršija patvirtintus įvykdymo terminus, politika reikalauja eskaluoti juos į REG12 ir, kai būtina, aukščiausiajai vadovybei. Koregavimo darbo eiga susieja privatumo teisių tvarkymą, verslo validavimą ir techninį įgyvendinimą. Duomenų subjekto inicijuoti koregavimo teiginiai per penkias darbo dienas nuo priskyrimo susiejami iš REG06 su paveikta REG02 tvarkymo veikla. Priimti koregavimo elementai per dvi darbo dienas po esminės peržiūros pradžios turi būti priskirti tiek proceso savininkui arba verslo savininkui, tiek sistemos savininkui arba taikomosios programos savininkui. Proceso savininkas per 10 darbo dienų validuoja siūlomus koregavimus pagal autoritetingą šaltinį, tvarkymo tikslą ir esamą REG02 įrašą, o sistemos savininkas įgyvendina patvirtintus koregavimus šaltinio sistemoje ir per penkias darbo dienas nuo patvirtinimo arba iki patvirtinto įvykdymo termino užregistruoja užbaigimą REG06 ir REG02. Politika taip pat reikalauja dokumentuotos konsultacijos prieš atsisakymą koreguoti, ginčijamą uždarymą arba didelio poveikio koregavimo sprendimus, o ištrynimo, saugojimo apribojimo, šalinimo arba tik sunaikinimo rezultatus nukreipia į susijusią darbo eigą, kai vien koregavimas nėra reikalingas rezultatas. Sinchronizavimas ir priežiūra taip pat aiškiai aptarti. Prieš įgyvendinant patvirtintą koregavimą, REG02 turi būti nustatytos susijusios šaltinio sistemos, susietos taikomosios programos, kopijos, sąsajos ir ataskaitos. Tada patvirtinti koregavimai turi būti sinchronizuojami visose nustatytose taikymo sričiai priklausančiose sistemose, o gavėjai, duomenų tvarkytojai arba duomenų dalijimosi šalys sekami per REG08, kai reikalingi tolesni atnaujinimai. Ketvirtiniai rodikliai apima didelio poveikio REG02 tvarkymo veiklų, turinčių aktualią tikslumo peržiūrą, procentinę dalį, atvirus ir pradelstus koregavimo elementus iš REG06 ir neišspręstas sinchronizavimo nesėkmes iš REG08 ir REG12. Išimtys turi būti prašomos, vertinamos, ribojamos laiku ne ilgiau kaip 90 dienų ir uždaromos arba pakartotinai įvertinamos. Politika peržiūrima kasmet ir per 30 dienų nuo esminio teisinio, tvarkymo, sistemos arba sertifikavimo taikymo srities pakeitimo, o esminius pakeitimus prieš paskelbimą patvirtina aukščiausioji vadovybė.