Ръст на исканията DSAR: Пакетна обработка за спазване на GDPR
Член 12 от GDPR определя едномесечен краен срок. Организациите трябва да отговорят на исканията за достъп на субектите на данни (DSAR) в рамките на 30 дни. Сложните случаи получават удължаване от 60 дни. Часовникът тръгва от момента на получаване. Няма гратисен период. Пропускането на крайния срок само по себе си е нарушение.
През 2024 г. глобите на надзорните органи направиха правата върху данните широко известни. Ирландската DPC глоби LinkedIn с 310 милиона евро за използване на поведенческа реклама без валидно съгласие. Глоби Meta с 251 милиона евро за неуведомяване навреме за нарушение на данните. Всяка глоба доведе до информационна кампания. Все повече хора научиха, че имат права. Обемите на DSAR нараснаха.
Координираната рамка за прилагане на EDPB от 2024 г. бе насочена към нарушения при правото на достъп. Организациите, които не могат да демонстрират чисти записи по DSAR, вече са обект на по-строг контрол.
Вижте нашия преглед на съответствието и практиките за сигурност за това как поддържаме задълженията по GDPR.
Проблемът с личните данни на трети страни
Отговорите на DSAR създават един специфичен проблем: личните данни на трети страни.
Субектът на данни иска всички записи, свързани с него. Тези записи могат да съдържат имена на други хора. Бележка от поддръжката може да включва телефонния номер на друг клиент. Имейл кореспонденция може да разкрие адреса на колега. Рекламация може да споменава трета страна. Изпращането на тези записи излага данните на другите хора. Това е отделно нарушение на техните права.
Трябва да прегледате всеки документ. Трябва да премахнете препратките към трети страни преди изпращането. Телекомуникационна компания с 300 DSAR месечно обработва около 50 документа на искане. Това прави 15 000 документа на месец -- само за съответствие с DSAR.
Екип от трима души не може да се справи с това. Ръчният преглед не се вписва в едномесечен прозорец при такъв мащаб.
Архитектура за пакетна обработка
Предварителна настройка за отговор на DSAR решава проблема. Настройката сканира всеки документ. Открива всички имена на лица, данни за контакт и други идентификатори. Анонимизира всяко съвпадение с изключение на тези, принадлежащи на заявителя. Въвеждате името и номера на акаунта на това лице в началото на задачата.
Другите клиенти, споменати в записите, се анонимизират. Служителите, цитирани в бележките за обслужване, се анонимизират. Третите страни в имейлите се анонимизират. Всичко това се случва преди сглобяването на пакета с документи.
Обработката на 50 документа отнема минути -- не часове. Екипът за съответствие проверява изхода за гранични случаи. Времето за отговор спада от седмици на дни.
Посетете нашата страница за обекти, за да видите кои видове данни настройката открива по подразбиране.
Какво прави работния процес защитим
Три неща правят работния процес за DSAR защитим.
Скорост. Инструментите за пакетна обработка премахват тесното място, което причинява закъснения при голям обем.
Точност. Настройката трябва да премахва личните данни на трети страни, без да засяга собствените записи на субекта. Добре конфигурирана настройка се справя с това разграничение.
Одитна следа. Член 5(2) изисква доказателство за съответствие. Пакетните изпълнения регистрират кои документи са обработени, коя настройка е използвана и кога. Този дневник е вашето доказателство.