Problemet med DSAR-volumen
GDPR Artikel 12 kræver, at organisationer reagerer på anmodninger om adgang til data inden for en måned, med en mulig forlængelse på to måneder for komplekse anmodninger. Den en-måneders tidsfrist er absolut — ingen graceperiode, ingen godtroende undtagelse. Manglende overholdelse af tidsrammer for svar kan uafhængigt sanktioneres uanset de underliggende databeskyttelsespraksisser.
Store DPA-håndhævelsesaktioner i 2024 — den irske DPC's €310 millioner bøde mod LinkedIn for adfærdsmæssig reklame uden gyldigt samtykke og €251 millioner mod Meta for manglende underretning om databrud — har øget den offentlige bevidsthed om dataemners rettigheder. Efter hver større bøde kører DPA'er typisk ledsagende oplysningskampagner, og DSAR-volumenerne stiger, efterhånden som dataemnerne lærer, at de har rettigheder, de kan udnytte.
EDPB's 2024 Koordinerede Håndhævelsesramme fokuserede på mangler ved adgangsrettigheder — direkte adressering af kvaliteten og rettidigheden af DSAR-svar. Organisationer, der ikke kan demonstrere overholdelse af DSAR-behandling, er i øget risiko, da EDPB's håndhævelsesfokus skifter til adgangsrettigheder.
Problemet med tredjeparts PII
Forberedelse af DSAR-svar har en specifik komplikation, der forstærker den manuelle arbejdsbyrde: tredjeparts PII.
Når et dataemne anmoder om alle personoplysninger, der opbevares om dem, skal organisationen give oplysningerne. Men de optegnelser, der opbevares om dataemnet, kan indeholde referencer til andre personer — kundeservicenotater, der nævner andre kunder, e-mail-tråde, der inkluderer kontaktoplysninger fra andre medarbejdere, klageregistre, der refererer til tredjeparter. At give disse optegnelser til det anmodende dataemne udsætter de tredjeparts personoplysninger i strid med deres rettigheder.
Overholdelse af DSAR-svar kræver, at man gennemgår hvert dokument i svarpakken for tredjeparts PII og anonymiserer disse referencer, før de sendes. For et teleselskab med 300 DSAR'er om måneden, hvor hver involverer 50 servicenotater og kommunikationer, betyder det, at man skal gennemgå 15.000 dokumenter månedligt for referencer til tredjeparts PII — udelukkende for DSAR-overholdelse.
Manuel gennemgang i denne skala er ikke gennemførlig inden for Artikel 12's en-måneders vindue. Et compliance-team på tre kan ikke gennemgå 15.000 dokumenter månedligt ved siden af deres andre forpligtelser. Den eneste skalerbare tilgang er automatiseret batchbehandling med en forudindstillet konfiguration til fjernelse af tredjeparts PII.
Batchbehandlingsarkitekturen
En "DSAR-svar" forudindstilling konfigureret til fjernelse af tredjeparts PII: forudindstillingen registrerer alle personnavne, kontaktoplysninger og identificerende referencer inden for dokumenterne. Den anvender anonymisering på alle registrerede referencer undtagen dem, der eksplicit tilhører det anmodende dataemne (identificeret ved navn og kontonummer i starten af batchjobbet). Andre kunder nævnt i optegnelserne, medarbejdere nævnt i servicenotater og tredjeparter nævnt i korrespondance anonymiseres, før dokumentpakken samles til dataemnets svar.
Behandling af 50 dokumenter pr. DSAR-anmodning tager minutter i stedet for timer. Compliance-teamet gennemgår den anonymiserede output for kvalitet og grænsetilfælde i stedet for at udføre den indledende gennemgang. DSAR-svarstiden reduceres fra uger til dage.
Kilder: