Politica privind exactitatea și calitatea PII

Politica privind exactitatea și calitatea PII definește modul în care o organizație menține exactitatea, caracterul complet, actualitatea, adecvarea și relevanța informațiilor de identificare personală prelucrate în cadrul Sistemului de management al informațiilor privind confidențialitatea. Scopul declarat este de a se asigura că PII utilizate de organizație rămân exacte și adecvate scopurilor de prelucrare înregistrate în PIMS și că PII inexacte, incomplete, depășite sau contestate sunt rectificate, sincronizate sau escaladate folosind dovezi controlate. Politica se aplică în contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită, obligațiile operatorului fiind tratate ca primare, iar obligațiile persoanei împuternicite sau ale persoanei subîmputernicite aplicându-se atunci când organizația sprijină rectificarea, sincronizarea sau instrucțiunile legate de exactitatea datelor ale operatorului. Politica este structurată în jurul unor controale operaționale practice, nu al unui program independent de calitate a datelor. Aceasta nu creează în mod expres un registru separat de calitate a datelor, o funcție de guvernanță a datelor principale, un cadru de calitate a datelor analitice sau un cadru de calitate a datelor de instruire pentru IA. În schimb, integrează cerințele privind exactitatea și calitatea în înregistrările și fluxurile de lucru PIMS existente. REG02 este utilizat pentru înregistrarea responsabilității pentru exactitatea datelor, a sursei autorizate, a marcajelor pentru înregistrare cu impact ridicat, a frecvenței revizuirii exactității datelor, a metodelor de verificare a exactității datelor, a interdependențelor sistemelor și a indicatorilor de date perimate. REG06 este utilizat pentru revendicările de rectificare inițiate de persoana vizată și pentru elementele de rectificare acceptate. REG08 sprijină alocările pentru operatori asociați, obligațiile de asistență pentru rectificare ale clienților, canalele autorizate de instrucțiuni, dovezile privind persoanele împuternicite și persoanele subîmputernicite, notificările către destinatari și confirmările în aval. REG12 consolidează starea monitorizării, lacunele, excepțiile, neconformitățile, acțiunile corective și dovezile privind revizuirea de management. O caracteristică centrală a politicii este conceptul de înregistrare cu impact ridicat. Politica definește acest concept ca o înregistrare PII utilizată pentru a acorda, refuza, modifica sau afecta semnificativ accesul la un serviciu, contract, aspect de angajare, rezultat financiar, rezultat legat de sănătate, decizie de eligibilitate, decizie privind identitatea, decizie de risc sau altă decizie în care PII inexacte ar putea afecta semnificativ o persoană vizată. Aceste înregistrări primesc controale specifice: trebuie clasificate în REG02 înainte de începerea prelucrării de către operator și apoi anual, trebuie revizuite cel puțin anual și trebuie verificate înainte de utilizare atunci când datele de revizuire sunt restante. Proprietarii de sistem trebuie să identifice indicatorii de date perimate pentru înregistrările de sistem cu impact ridicat înainte de intrarea în producție și în termen de 30 de zile de la o modificare semnificativă a sistemului. Atunci când problemele de exactitate cu impact ridicat rămân nerezolvate, reapar sau depășesc termenele-limită aprobate, politica impune escaladarea în REG12 și, atunci când este necesar, către Conducerea de vârf. Fluxul de lucru pentru rectificare conectează gestionarea drepturilor privind confidențialitatea, validarea operațională și implementarea tehnică. Revendicările de rectificare inițiate de persoana vizată sunt corelate din REG06 cu activitatea de prelucrare REG02 afectată în termen de cinci zile lucrătoare de la atribuire. Elementele de rectificare acceptate trebuie atribuite atât Proprietarului de proces sau Proprietarului afacerii, cât și Proprietarului de sistem sau Proprietarului de aplicație în termen de două zile lucrătoare de la intrarea în revizuirea de fond. Proprietarul de proces validează rectificările propuse în raport cu sursa autorizată, scopul prelucrării și înregistrarea REG02 curentă în termen de 10 zile lucrătoare, în timp ce Proprietarul de sistem implementează rectificările aprobate în sistemul sursă și înregistrează finalizarea în REG06 și REG02 în termen de cinci zile lucrătoare de la aprobare sau până la termenul-limită aprobat. Politica impune, de asemenea, consiliere documentată înainte de refuzul rectificării, închiderea unei situații contestate sau deciziile de rectificare cu impact ridicat și direcționează rezultatele care implică numai ștergerea, restricția de păstrare, ștergerea sau eliminarea către fluxul de lucru aferent atunci când rectificarea singură nu este rezultatul necesar. Sincronizarea și supravegherea sunt, de asemenea, tratate explicit. Înainte de implementarea unei rectificări aprobate, sistemele sursă relevante, aplicațiile conectate, replicile, interfețele și rapoartele trebuie identificate în REG02. Rectificările aprobate trebuie apoi sincronizate în toate sistemele incluse în domeniul de aplicare identificate, iar destinatarii, persoanele împuternicite sau părțile implicate în partajarea datelor sunt urmăriți prin REG08 atunci când sunt necesare actualizări în aval. Metricile trimestriale includ procentul activităților de prelucrare REG02 cu impact ridicat care au o revizuire curentă a exactității datelor, elementele de rectificare deschise și restante din REG06 și eșecurile de sincronizare nerezolvate din REG08 și REG12. Excepțiile trebuie solicitate, evaluate, limitate în timp la cel mult 90 de zile și închise sau reevaluate. Politica este revizuită anual și în termen de 30 de zile de la o modificare semnificativă de natură juridică, de prelucrare, de sistem sau a domeniului de certificare, modificările semnificative fiind aprobate de Conducerea de vârf înainte de publicare.