Politika presnosti a kvality osobne identifikovateľných údajov (PII)

Politika presnosti a kvality PII definuje, ako organizácia udržiava presnosť, úplnosť, aktuálnosť, primeranosť a relevantnosť osobne identifikovateľných informácií spracúvaných v rámci systému manažérstva informácií o súkromí. Jej deklarovaným účelom je zabezpečiť, aby PII používané organizáciou zostali presné a vhodné na účely spracúvania zaznamenané v PIMS a aby nepresné, neúplné, neaktuálne alebo sporné PII boli opravené, synchronizované alebo eskalované na základe riadených dôkazov. Politika sa uplatňuje v kontexte prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, pričom povinnosti prevádzkovateľa sa považujú za primárne a povinnosti sprostredkovateľa alebo ďalšieho sprostredkovateľa sa uplatňujú tam, kde organizácia podporuje opravu, synchronizáciu alebo pokyny súvisiace s presnosťou zo strany prevádzkovateľa. Politika je štruktúrovaná okolo praktických prevádzkových kontrol, nie ako samostatný program kvality údajov. Výslovne nezavádza samostatný register kvality údajov, funkciu správy a riadenia master dát, rámec kvality analytických údajov ani rámec kvality tréningových údajov pre AI. Namiesto toho začleňuje požiadavky na presnosť a kvalitu do existujúcich záznamov a pracovných tokov PIMS. REG02 sa používa na zaznamenanie vlastníctva zodpovednosti za presnosť, autoritatívneho zdroja, príznakov záznamu s vysokým dopadom, frekvencie preskúmania presnosti, metód kontroly presnosti, väzieb na systémy a ukazovateľov neaktuálnych údajov. REG06 sa používa pre nároky na opravu pochádzajúce od dotknutej osoby a prijaté položky opráv. REG08 podporuje rozdelenie zodpovedností medzi spoločnými prevádzkovateľmi, povinnosti zákazníka pri podpore opráv, autorizované kanály pokynov, dôkazy o sprostredkovateľoch a ďalších sprostredkovateľoch, oznámenia príjemcom a následné potvrdenia. REG12 konsoliduje stav monitorovania, medzery, výnimky, nezhody, nápravné opatrenia a dôkazy pre preskúmanie manažmentom. Ústredným prvkom politiky je pojem záznam s vysokým dopadom. Politika ho definuje ako záznam PII používaný na udelenie, zamietnutie, zmenu alebo podstatné ovplyvnenie prístupu k službe, zmluve, pracovnoprávnej veci, finančnému výsledku, výsledku súvisiacemu so zdravím, rozhodnutiu o oprávnenosti, rozhodnutiu o identite, rozhodnutiu o riziku alebo inému rozhodnutiu, pri ktorom by nepresné PII mohli podstatne ovplyvniť dotknutú osobu. Na tieto záznamy sa vzťahujú osobitné kontroly: musia byť klasifikované v REG02 pred začatím spracúvania prevádzkovateľom a následne raz ročne, musia byť preskúmané aspoň raz ročne a musia byť skontrolované pred použitím, ak sú termíny preskúmania po lehote. Vlastníci systémov musia identifikovať ukazovatele neaktuálnych údajov pre systémové záznamy s vysokým dopadom pred spustením do produkčného prostredia a do 30 dní od podstatnej zmeny systému. Ak problémy s presnosťou pri záznamoch s vysokým dopadom zostávajú nevyriešené, opakujú sa alebo prekročia schválené lehoty plnenia, politika vyžaduje eskaláciu do REG12 a v prípade potreby aj na vrcholový manažment. Pracovný tok opravy prepája vybavovanie práv v oblasti ochrany súkromia, vecnú validáciu a technickú implementáciu. Nároky na opravu pochádzajúce od dotknutej osoby sa do piatich pracovných dní od pridelenia prepoja z REG06 s dotknutou spracovateľskou činnosťou v REG02. Prijaté položky opráv musia byť do dvoch pracovných dní po vstupe do vecného preskúmania pridelené vlastníkovi procesu alebo vlastníkovi organizácie a vlastníkovi systému alebo vlastníkovi aplikácie. Vlastník procesu validuje navrhované opravy voči autoritatívnemu zdroju, účelu spracúvania a aktuálnemu záznamu REG02 do 10 pracovných dní, zatiaľ čo vlastník systému implementuje schválené opravy v zdrojovom systéme a zaznamená dokončenie v REG06 a REG02 do piatich pracovných dní od schválenia alebo do schválenej lehoty plnenia. Politika zároveň vyžaduje zdokumentované stanovisko pred odmietnutím opravy, sporným uzavretím alebo rozhodnutiami o oprave záznamov s vysokým dopadom a smeruje výsledky spočívajúce výlučne vo výmaze, obmedzení uchovávania, vymazaní alebo likvidácii do súvisiaceho pracovného toku, ak samotná oprava nie je požadovaným výsledkom. Synchronizácia a dohľad sú tiež výslovne upravené. Pred implementáciou schválenej opravy musia byť v REG02 identifikované relevantné zdrojové systémy, prepojené aplikácie, repliky, rozhrania a reporty. Schválené opravy sa následne musia synchronizovať vo všetkých identifikovaných systémoch v príslušnom rozsahu, zatiaľ čo príjemcovia, sprostredkovatelia alebo strany zdieľania údajov sa sledujú prostredníctvom REG08, ak sú potrebné následné aktualizácie. Štvrťročné metriky zahŕňajú percento spracovateľských činností REG02 s vysokým dopadom, ktoré majú aktuálne preskúmanie presnosti, otvorené položky opráv a položky opráv po lehote z REG06 a nevyriešené zlyhania synchronizácie z REG08 a REG12. Výnimky musia byť vyžiadané, posúdené, časovo obmedzené najviac na 90 dní a uzavreté alebo opätovne posúdené. Politika sa preskúmava raz ročne a do 30 dní od podstatnej právnej zmeny, zmeny spracúvania, systému alebo rozsahu certifikácie, pričom podstatné zmeny pred zverejnením schvaľuje vrcholový manažment.