Проблемът с обема на DSAR
GDPR Член 12 изисква организациите да отговарят на искания за достъп на субекти на данни в рамките на един месец, с възможно удължаване от два месеца за сложни искания. Едномесечният часовник е абсолютен — без гратисен период, без добросъвестно изключение. Неспазването на сроковете за отговор подлежи на независимо санкциониране, независимо от основните практики за защита на данните.
Големи действия по правоприлагане на DPA през 2024 г. — глоба от 310 милиона евро срещу LinkedIn на ирландския DPC за поведенческа реклама без валидно съгласие и 251 милиона евро срещу Meta за неуспешни уведомления за нарушение на данните — доведоха до значително повишаване на осведомеността на обществото относно правата на субектите на данни. След всяка голяма глоба DPA обикновено провеждат съпътстващи кампании за осведомяване и обемите на DSAR се увеличават, когато субектите на данни научават, че имат права да упражняват.
Рамката за координирано прилагане на EDPB за 2024 г. се фокусира върху неуспехите на правото на достъп — директно се отнася до качеството и навременността на отговорите на DSAR. Организациите, които не могат да демонстрират съвместима обработка на DSAR, са изложени на повишен риск, тъй като фокусът на правоприлагането на EDPB се измества към правата за достъп.
Проблемът с личните данни на трети страни
Подготовката на DSAR отговор има специфично усложнение, което умножава тежестта на ръчната работа: PII на трета страна.
Когато субект на данни поиска всички лични данни, съхранявани за него, организацията трябва да предостави информацията. Но записите, съхранявани за субекта на данните, може да съдържат препратки към други лица — бележки за обслужване на клиенти, в които се споменават други клиенти, имейл нишки, които включват данни за контакт на други служители, записи на жалби, които се позовават на трети страни. Предоставянето на тези записи на искащия субект на данни излага личните данни на трети страни в нарушение на техните права.
Съвместимият DSAR отговор изисква преглед на всеки документ в пакета с отговори за лична информация на трета страна и анонимизиране на тези препратки преди изпращане. За телекомуникационна компания с 300 DSAR на месец, всяка от които включва 50 бележки за услуги и съобщения, това означава преглед на 15 000 документа месечно за препратки към PII от трети страни — изключително за съответствие с DSAR.
Ръчният преглед в този мащаб не е осъществим в рамките на едномесечния прозорец по член 12. Екип за съответствие от трима не може да преглежда 15 000 документа месечно наред с другите си задължения. Единственият мащабируем подход е автоматизирана групова обработка с предварително конфигурирана настройка за премахване на PII от трети страни.
Архитектурата за пакетна обработка
Предварителна настройка „DSAR отговор“, конфигурирана за премахване на PII от трета страна: предварителната настройка открива всички имена на лица, информация за контакт и идентифициращи препратки в документите. Той прилага анонимизиране на всички открити референции, с изключение на тези, които изрично принадлежат на заявения субект на данни (идентифициран с име и номер на сметка в началото на пакетната работа). Други клиенти, посочени в записите, служители, посочени в служебните бележки, и трети страни, споменати в кореспонденцията, се анонимизират, преди да бъде съставен пакетът документи за отговор на субекта на данните.
Обработката на 50 документа на DSAR заявка отнема минути, а не часове. Екипът за съответствие преглежда анонимизирания изход за качество и крайни случаи, вместо да извършва първоначалния преглед. DSAR времето за реакция намалява от седмици на дни.
Източници: – [Ирландски DPC октомври 2024 г.: 310 милиона евро глоба срещу LinkedIn за поведенческа реклама без съгласие] (https://www.dataprotection.ie)
- [EDPB 2024: Координирана рамка за правоприлагане, фокус върху правото на достъп] (https://www.edpb.europa.eu/news/news/)
- [GDPR Член 12: Изисквания и времеви рамки за отговор на правата на субекта на данни] (https://gdpr-info.eu/art-12-gdpr/)