Politika točnosti in kakovosti osebno določljivih podatkov

Politika točnosti in kakovosti osebno določljivih podatkov določa, kako organizacija vzdržuje točnost, popolnost, ažurnost, ustreznost in relevantnost osebno določljivih podatkov, obdelanih v okviru sistema upravljanja informacij o zasebnosti. Njen navedeni namen je zagotoviti, da osebno določljivi podatki, ki jih uporablja organizacija, ostanejo točni in primerni za namene obdelave, evidentirane v PIMS, ter da se netočni, nepopolni, zastareli ali sporni osebno določljivi podatki popravijo, sinhronizirajo ali eskalirajo z uporabo nadzorovanih dokazil. Politika se uporablja v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, pri čemer se obveznosti upravljavca obravnavajo kot primarne, obveznosti obdelovalca ali podobdelovalca pa se uporabljajo, kadar organizacija podpira navodila upravljavca glede popravka, sinhronizacije ali točnosti. Politika je zasnovana okrog praktičnih operativnih kontrol in ne kot samostojen program kakovosti podatkov. Izrecno ne vzpostavlja ločenega registra kakovosti podatkov, funkcije upravljanja glavnih podatkov, okvira kakovosti podatkov za analitiko ali okvira kakovosti podatkov za podatke za usposabljanje umetne inteligence. Namesto tega zahteve glede točnosti in kakovosti vgrajuje v obstoječe evidence in delovne tokove PIMS. REG02 se uporablja za evidentiranje nosilca odgovornosti za točnost, avtoritativnega vira, oznak zapisov z velikim vplivom, pogostosti pregledov točnosti, metod preverjanja točnosti, povezav med sistemi in indikatorjev zastarelih podatkov. REG06 se uporablja za zahtevke za popravek, ki jih vloži posameznik, na katerega se nanašajo osebno določljivi podatki, in za sprejete postavke popravkov. REG08 podpira razdelitev nalog med skupnimi upravljavci, obveznosti naročnika glede podpore pri popravku podatkov, pooblaščene kanale za navodila, dokazila obdelovalca in podobdelovalca, obvestila prejemnikom in nadaljnje potrditve. REG12 združuje status spremljanja, vrzeli, izjeme, neskladnosti, korektivne ukrepe in dokazila za pregled vodstva. Osrednja značilnost politike je pojem zapisa z velikim vplivom. Politika ga opredeljuje kot zapis osebno določljivih podatkov, ki se uporablja za odobritev, zavrnitev, spremembo ali bistveno vplivanje na dostop do storitve, pogodbe, zadeve v zvezi z zaposlitvijo, finančnega izida, izida, povezanega z zdravjem, odločitve o upravičenosti, odločitve o identiteti, odločitve o tveganju ali druge odločitve, pri kateri bi netočni osebno določljivi podatki lahko bistveno vplivali na posameznika, na katerega se nanašajo osebno določljivi podatki. Za te zapise veljajo posebne kontrole: razvrščeni morajo biti v REG02 pred začetkom obdelave pri upravljavcu in nato enkrat letno, pregledani najmanj enkrat letno ter preverjeni pred zanašanjem nanje, kadar so datumi pregleda prekoračeni. Lastniki sistemov morajo za zapise sistemov z velikim vplivom opredeliti indikatorje zastarelih podatkov pred prehodom v produkcijo in v 30 dneh po bistveni spremembi sistema. Kadar vprašanja točnosti pri zapisih z velikim vplivom ostanejo nerešena, se ponavljajo ali presežejo odobrene roke, politika zahteva eskalacijo v REG12 in, kadar je potrebno, do najvišjega vodstva. Delovni tok popravkov povezuje obravnavo zahtev za uveljavljanje pravic na področju zasebnosti, poslovno validacijo in tehnično izvedbo. Zahtevki za popravek, ki jih vloži posameznik, na katerega se nanašajo osebno določljivi podatki, se iz REG06 povežejo z zadevno dejavnostjo obdelave v REG02 v petih delovnih dneh od dodelitve. Sprejete postavke popravkov morajo biti dodeljene lastniku procesa ali lastniku poslovnega procesa ter lastniku sistema ali lastniku aplikacije v dveh delovnih dneh po začetku vsebinskega pregleda. Lastnik procesa predlagane popravke validira glede na avtoritativni vir, namen obdelave in veljavni zapis REG02 v 10 delovnih dneh, lastnik sistema pa izvede odobrene popravke v izvornem sistemu ter evidentira dokončanje v REG06 in REG02 v petih delovnih dneh od odobritve ali do odobrenega roka. Politika zahteva tudi dokumentirano mnenje pred zavrnitvijo popravka, spornim zapiranjem ali odločitvami o popravku z velikim vplivom ter usmerja izbris, omejitev hrambe, brisanje ali izide, omejene zgolj na odstranjevanje, v povezani delovni tok, kadar popravek sam ni zahtevani izid. Izrecno sta obravnavana tudi sinhronizacija in nadzor. Pred izvedbo odobrenega popravka morajo biti v REG02 opredeljeni ustrezni izvorni sistemi, povezane aplikacije, replike, vmesniki in poročila. Odobreni popravki se morajo nato sinhronizirati v vseh opredeljenih sistemih, zajetih v obseg, prejemniki, obdelovalci ali strani, s katerimi se delijo podatki, pa se spremljajo prek REG08, kadar so potrebne nadaljnje posodobitve. Četrtletni kazalniki vključujejo odstotek dejavnosti obdelave REG02 z velikim vplivom, ki imajo veljaven pregled točnosti, odprte in zapadle postavke popravkov iz REG06 ter nerešene napake pri sinhronizaciji iz REG08 in REG12. Izjeme morajo biti zahtevane, ocenjene, časovno omejene na največ 90 dni ter zaprte ali ponovno ocenjene. Politika se pregleda letno in v 30 dneh po bistveni spremembi zakonodaje, obdelave, sistema ali obsega certifikacije, pri čemer bistvene spremembe pred objavo odobri najvišje vodstvo.