Nárůst počtu DSAR: dávkové zpracování pro soulad s GDPR
Článek 12 GDPR stanoví lhůtu jeden měsíc. Organizace musí odpovídat na žádosti subjektů o přístup k údajům (DSAR) do 30 dnů. Složité případy dostávají prodloužení o 60 dnů. Počítání začíná okamžikem přijetí žádosti. Žádná ochranná lhůta neexistuje. Nedodržení termínu je samo o sobě porušením.
V roce 2024 zvýšily pokuty dozorových úřadů obecné povědomí o datových právech. Irský Úřad pro ochranu osobních údajů uložil společnosti LinkedIn pokutu 310 milionů EUR za používání behaviorální reklamy bez platného souhlasu. Poté sankcionoval Meta pokutou 251 milionů EUR za opožděné oznámení porušení zabezpečení dat. Každá pokuta spustila osvětové kampaně. Stále více lidí zjistilo, že mají práva. Objemy DSAR rostou.
Koordinovaná kontrolní akce EDPB z roku 2024 se zaměřila na nedostatky v právu na přístup. Organizace, které nejsou schopny prokázat správné zpracování DSAR, jsou nyní pod větším dohledem.
Viz náš přehled souladu s předpisy a bezpečnostní postupy pro pochopení toho, jak podporujeme povinnosti podle GDPR.
Problém osobních údajů třetích osob
Odpovědi na DSAR vytvářejí specifický problém: osobní údaje třetích stran.
Subjekt požaduje veškeré záznamy, které se ho týkají. Tyto záznamy mohou jmenovat jiné osoby. Poznámka z technické podpory může obsahovat telefonní číslo jiného zákazníka. E-mail může odhalit adresu kolegy. Zpráva o stížnosti může uvádět třetí stranu. Odeslání těchto dokumentů znamená zpřístupnění dat jiných osob — samostatné porušení jejich práv.
Každý dokument je nutné před odesláním zkontrolovat a odstranit z něj odkazy na třetí strany. Telekomunikační společnost zpracovávající 300 DSAR měsíčně musí prověřit přibližně 50 dokumentů na žádost — tedy 15 000 dokumentů měsíčně, pouze kvůli souladu s DSAR.
Tým tří lidí to nezvládne. Ruční přezkum není slučitelný s měsíční lhůtou při těchto objemech.
Architektura dávkového zpracování
Předvolba pro odpovědi na DSAR tento problém řeší. Předvolba analyzuje každý dokument, identifikuje jména osob, kontaktní údaje a další identifikátory a anonymizuje každou shodu s výjimkou těch, které se vztahují k osobě, jež žádost podala — jejíž jméno a číslo účtu jsou zadány na začátku procesu.
Další zákazníci jmenovaní v dokumentech jsou anonymizováni. Zaměstnanci uvedení v servisních poznámkách jsou anonymizováni. Třetí strany v e-mailech jsou anonymizovány. To vše probíhá před sestavením dokumentového balíčku.
Zpracování 50 dokumentů trvá minuty, nikoli hodiny. Tým pro soulad s předpisy ověří výstup pro hraniční případy. Doba odezvy se zkrátí z týdnů na dny.
Navštivte naši stránku o entitách a zjistěte, které typy dat předvolba standardně detekuje.
Co dělá postup hájitelným
Tři prvky dělají postup DSAR hájitelným.
Rychlost. Dávkové nástroje odstraňují úzké hrdlo, které způsobuje zpoždění ve velkém měřítku.
Přesnost. Předvolba musí odstranit osobní data třetích stran, aniž by se dotkla záznamů žadatele. Správně nakonfigurovaná předvolba tento rozdíl zvládá.
Auditní stopa. Článek 5 odst. 2 vyžaduje důkaz souladu. Dávková zpracování zaznamenávají, které dokumenty byly zpracovány, jaká předvolba byla použita a kdy. Tento záznam je vaší důkazní dokumentací.