Policy för personuppgifters korrekthet och kvalitet

Policyn för personuppgifters korrekthet och kvalitet definierar hur en organisation upprätthåller korrekthet, fullständighet, aktualitet, adekvans och relevans för personligt identifierbar information som behandlas inom ledningssystem för hantering av integritetsinformation. Dess angivna syfte är att säkerställa att personuppgifter som används av organisationen förblir korrekta och lämpliga för de behandlingsändamål som registrerats i PIMS, och att felaktiga, ofullständiga, inaktuella eller bestridda personuppgifter rättas, synkroniseras eller eskaleras med kontrollerat underlag. Policyn gäller i sammanhang med personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde, där skyldigheter för personuppgiftsansvarig behandlas som primära och skyldigheter för personuppgiftsbiträde eller underbiträde gäller när organisationen stödjer instruktioner från personuppgiftsansvarig avseende rättelse, synkronisering eller korrekthet. Policyn är uppbyggd kring praktiska operativa kontroller i stället för ett fristående datakvalitetsprogram. Den skapar uttryckligen inte ett separat datakvalitetsregister, en funktion för masterdatastyrning, ett ramverk för kvalitet i analysdata eller ett ramverk för kvalitet i AI-träningsdata. I stället bäddar den in krav på korrekthet och kvalitet i befintliga PIMS-poster och arbetsflöden. REG02 används för att registrera ägarskap för korrekthet, auktoritativ källa, markeringar för post med hög påverkan, frekvens för granskning av korrekthet, metoder för korrekthetskontroll, systemkopplingar och indikatorer på inaktuella uppgifter. REG06 används för rättelseanspråk från registrerade och accepterade rättelseposter. REG08 stödjer ansvarsfördelningar mellan gemensamt personuppgiftsansvariga, skyldigheter för stöd vid kundrättelse, auktoriserade instruktionskanaler, underlag för personuppgiftsbiträde och underbiträde, aviseringar till mottagare och nedströms bekräftelser. REG12 konsoliderar övervakningsstatus, luckor, undantag, avvikelser, korrigerande åtgärder och underlag för ledningens genomgång. Ett centralt inslag i policyn är begreppet post med hög påverkan. Policyn definierar detta som en personuppgiftspost som används för att bevilja, neka, ändra eller väsentligt påverka åtkomst till en tjänst, ett avtal, ett anställningsärende, ett finansiellt resultat, ett hälsorelaterat resultat, ett behörighetsbeslut, ett identitetsbeslut, ett riskbeslut eller annat beslut där felaktiga personuppgifter väsentligt kan påverka en registrerad. Dessa poster omfattas av särskilda kontroller: de ska klassificeras i REG02 innan behandling som personuppgiftsansvarig inleds och därefter årligen, granskas minst årligen och kontrolleras före tillit när granskningsdatum är försenade. Systemägare ska identifiera indikatorer på inaktuella uppgifter för systemposter med hög påverkan före produktionssättning och inom 30 dagar efter en väsentlig systemändring. När korrekthetsproblem med hög påverkan förblir olösta, återkommer eller passerar godkända förfallodagar kräver policyn eskalering till REG12 och, vid behov, till högsta ledningen. Arbetsflödet för rättelse kopplar samman hantering av integritetsrättigheter, verksamhetsvalidering och tekniskt genomförande. Rättelseanspråk från registrerade kopplas från REG06 till den berörda behandlingsaktiviteten i REG02 inom fem arbetsdagar från tilldelning. Accepterade rättelseposter ska tilldelas både Process Owners eller verksamhetsägare och systemägare eller applikationsägare inom två arbetsdagar efter att sakgranskning har inletts. Process Owners validerar föreslagna rättelser mot auktoritativ källa, behandlingsändamål och aktuell REG02-post inom 10 arbetsdagar, medan systemägare genomför godkända rättelser i källsystemet och registrerar slutförande i REG06 och REG02 inom fem arbetsdagar efter godkännande eller senast på godkänd förfallodag. Policyn kräver även dokumenterad rådgivning före avslag på rättelse, stängning av bestridd post eller rättelsebeslut med hög påverkan, och styr radering, begränsning av bevarande, borttagning eller resultat som endast avser bortskaffning till det relaterade arbetsflödet när rättelse i sig inte är det nödvändiga resultatet. Synkronisering och tillsyn behandlas också uttryckligen. Innan en godkänd rättelse genomförs ska relevanta källsystem, kopplade applikationer, repliker, gränssnitt och rapporter identifieras i REG02. Godkända rättelser ska därefter synkroniseras över identifierade system inom omfattningen, medan mottagare, personuppgiftsbiträden eller parter i datadelning spåras genom REG08 när nedströms uppdateringar krävs. Kvartalsvisa mätetal omfattar andelen REG02-behandlingsaktiviteter med hög påverkan som har aktuell korrekthetsgranskning, öppna och försenade rättelseposter från REG06 samt olösta synkroniseringsfel från REG08 och REG12. Undantag ska begäras, bedömas, tidsbegränsas till högst 90 dagar och stängas eller omprövas. Policyn granskas årligen och inom 30 dagar efter en väsentlig ändring av rättsliga krav, behandling, system eller certifieringsomfattning, med väsentliga ändringar som godkänns av högsta ledningen före publicering.