Polityka prawidłowości i jakości PII

Polityka prawidłowości i jakości PII określa, w jaki sposób organizacja utrzymuje prawidłowość, kompletność, aktualność, adekwatność i relewantność danych osobowych umożliwiających identyfikację osoby przetwarzanych w ramach systemu zarządzania informacjami o prywatności. Jej celem jest zapewnienie, że PII wykorzystywane przez organizację pozostaje prawidłowe i odpowiednie do celów przetwarzania zapisanych w PIMS oraz że nieprawidłowe, niekompletne, nieaktualne lub kwestionowane PII jest sprostowane, zsynchronizowane lub eskalowane z wykorzystaniem kontrolowanych dowodów. Polityka ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, przy czym obowiązki administratora są traktowane jako podstawowe, a obowiązki podmiotu przetwarzającego lub podwykonawcy przetwarzania mają zastosowanie, gdy organizacja wspiera sprostowanie danych, synchronizację lub polecenia administratora związane z prawidłowością danych. Polityka jest oparta na praktycznych środkach kontrolnych operacyjnych, a nie na samodzielnym programie jakości danych. Wyraźnie nie tworzy odrębnego rejestru jakości danych, funkcji ładu danych podstawowych, ram jakości danych analitycznych ani ram jakości danych szkoleniowych AI. Zamiast tego wbudowuje wymagania dotyczące prawidłowości i jakości danych w istniejące zapisy i przepływy pracy PIMS. REG02 służy do zapisywania własności prawidłowości danych, autorytatywnego źródła, oznaczeń rekordów o istotnym wpływie, częstotliwości przeglądu prawidłowości danych, metod kontroli prawidłowości danych, powiązań systemowych i wskaźników nieaktualnych danych. REG06 jest wykorzystywany dla roszczeń o sprostowanie pochodzących od osoby, której dane dotyczą, oraz zaakceptowanych pozycji sprostowania danych. REG08 wspiera podziały obowiązków współadministratora, obowiązki klienta dotyczące wsparcia sprostowania danych, autoryzowane kanały poleceń, dowody dotyczące podmiotu przetwarzającego i podwykonawcy przetwarzania, powiadomienia odbiorców oraz dalsze potwierdzenia. REG12 konsoliduje status monitorowania, luki, wyjątki, niezgodności, działania korygujące i dowody przeglądu zarządzania. Centralnym elementem polityki jest pojęcie rekordu o istotnym wpływie. Polityka definiuje go jako rekord PII wykorzystywany do przyznania, odmowy, zmiany lub istotnego wpływu na dostęp do usługi, umowy, sprawy pracowniczej, wyniku finansowego, wyniku związanego ze zdrowiem, decyzji o kwalifikowalności, decyzji dotyczącej tożsamości, decyzji dotyczącej ryzyka lub innej decyzji, w której nieprawidłowe PII mogłoby istotnie wpłynąć na osobę, której dane dotyczą. Takie rekordy podlegają szczególnym środkom kontrolnym: muszą zostać sklasyfikowane w REG02 przed rozpoczęciem przetwarzania przez administratora, a następnie ponownie klasyfikowane co roku, przeglądane co najmniej raz w roku oraz sprawdzane przed poleganiem na nich, gdy terminy przeglądu zostały przekroczone. Właściciele systemów muszą zidentyfikować wskaźniki nieaktualnych danych dla rekordów systemowych o istotnym wpływie przed uruchomieniem produkcyjnym oraz w ciągu 30 dni od istotnej zmiany systemu. Gdy kwestie prawidłowości danych o istotnym wpływie pozostają nierozwiązane, powtarzają się lub przekraczają zatwierdzone terminy realizacji, polityka wymaga eskalacji do REG12 oraz, w razie potrzeby, do najwyższego kierownictwa. Proces sprostowania danych łączy obsługę praw w obszarze prywatności, walidację biznesową i techniczne wdrożenie. Roszczenia o sprostowanie pochodzące od osoby, której dane dotyczą, są łączone z REG06 z daną czynnością przetwarzania REG02 w ciągu pięciu dni roboczych od przypisania. Zaakceptowane pozycje sprostowania danych muszą zostać przypisane zarówno do właściciela procesu lub właściciela biznesowego, jak i do właściciela systemu lub właściciela aplikacji w ciągu dwóch dni roboczych od rozpoczęcia merytorycznego przeglądu. Właściciel procesu waliduje proponowane sprostowania względem autorytatywnego źródła, celu przetwarzania i bieżącego rekordu REG02 w ciągu 10 dni roboczych, natomiast właściciel systemu wdraża zatwierdzone sprostowania w systemie źródłowym i zapisuje zakończenie w REG06 i REG02 w ciągu pięciu dni roboczych od zatwierdzenia lub w zatwierdzonym terminie realizacji. Polityka wymaga również udokumentowanej porady przed odmową sprostowania, zamknięciem sprawy spornej lub decyzjami dotyczącymi sprostowania danych o istotnym wpływie, a także kieruje wyniki obejmujące usunięcie danych, ograniczenie retencji, usunięcie lub wyłącznie utylizację do powiązanego procesu, gdy samo sprostowanie nie jest wymaganym wynikiem. Synchronizacja i nadzór są również wyraźnie ujęte. Przed wdrożeniem zatwierdzonego sprostowania w REG02 należy zidentyfikować właściwe systemy źródłowe, powiązane aplikacje, repliki, interfejsy i raporty. Następnie zatwierdzone sprostowania muszą zostać zsynchronizowane we wszystkich zidentyfikowanych systemach objętych zakresem, natomiast odbiorcy, podmioty przetwarzające lub strony udostępniania danych są śledzone przez REG08, gdy wymagane są dalsze aktualizacje. Kwartalne wskaźniki obejmują odsetek czynności przetwarzania REG02 o istotnym wpływie z aktualnym przeglądem prawidłowości danych, otwarte i przeterminowane pozycje sprostowania danych z REG06 oraz nierozwiązane niepowodzenia synchronizacji z REG08 i REG12. Wyjątki muszą być wnioskowane, oceniane, ograniczone czasowo do nie więcej niż 90 dni oraz zamknięte lub ponownie ocenione. Polityka jest przeglądana corocznie oraz w ciągu 30 dni od istotnej zmiany prawnej, przetwarzania, systemu lub zakresu certyfikacji, przy czym istotne zmiany zatwierdza najwyższe kierownictwo przed publikacją.