Αύξηση DSARs: Μαζική Επεξεργασία για Συμμόρφωση GDPR
Το Άρθρο 12 GDPR ορίζει προθεσμία ενός μήνα. Οι οργανισμοί πρέπει να απαντούν σε Αιτήματα Πρόσβασης Υποκειμένων Δεδομένων εντός 30 ημερών. Σύνθετες υποθέσεις λαμβάνουν παράταση 60 ημερών. Η ώρα αρχίζει από την παραλαβή. Δεν υπάρχει περίοδος χάριτος. Η παράλειψη της προθεσμίας αποτελεί από μόνη της παραβίαση.
Το 2024, τα πρόστιμα των DPA έκαναν τα δικαιώματα δεδομένων ευρέως γνωστά. Η ιρλανδική DPC επέβαλε πρόστιμο €310 εκατομμυρίων στο LinkedIn για χρήση συμπεριφορικής διαφήμισης χωρίς έγκυρη συγκατάθεση. Επέβαλε επίσης πρόστιμο €251 εκατομμυρίων στη Meta για αποτυχία έγκαιρης γνωστοποίησης παραβίασης δεδομένων. Κάθε πρόστιμο συνοδεύτηκε από εκστρατεία ευαισθητοποίησης. Περισσότεροι άνθρωποι έμαθαν ότι έχουν δικαιώματα. Οι όγκοι DSAR αυξήθηκαν.
Το Πλαίσιο Συντονισμένης Επιβολής ΕΣΠΔ 2024 στόχευσε αποτυχίες δικαιώματος πρόσβασης. Οι οργανισμοί που δεν μπορούν να επιδείξουν καθαρά αρχεία DSAR αντιμετωπίζουν πλέον αυξημένο έλεγχο.
Δείτε την επισκόπηση συμμόρφωσής μας και τις πρακτικές ασφαλείας για το πώς υποστηρίζουμε τις υποχρεώσεις GDPR.
Το Πρόβλημα PII Τρίτων Μερών
Οι απαντήσεις DSAR δημιουργούν ένα συγκεκριμένο πρόβλημα: PII τρίτων μερών.
Ένα υποκείμενο δεδομένων ζητά όλα τα αρχεία που το αφορούν. Αυτά τα αρχεία μπορεί να αναφέρουν άλλα πρόσωπα. Μια σημείωση υποστήριξης μπορεί να περιέχει τον αριθμό τηλεφώνου άλλου πελάτη. Ένα νήμα email μπορεί να εμφανίζει τη διεύθυνση ενός συναδέλφου. Μια καταγραφή καταγγελίας μπορεί να αναφέρει ένα τρίτο μέρος. Η αποστολή αυτών των αρχείων εκθέτει τα δεδομένα άλλων ατόμων. Αυτό αποτελεί ξεχωριστή παραβίαση των δικαιωμάτων τους.
Πρέπει να ελέγχετε κάθε έγγραφο. Πρέπει να αφαιρείτε αναφορές τρίτων πριν από την αποστολή. Μια εταιρεία τηλεπικοινωνιών με 300 DSAR ανά μήνα έχει περίπου 50 έγγραφα ανά αίτημα. Αυτό αντιστοιχεί σε 15.000 έγγραφα κάθε μήνα — μόνο για τη συμμόρφωση DSAR.
Μια ομάδα τριών ατόμων δεν μπορεί να το κάνει αυτό. Η χειροκίνητη αναθεώρηση δεν χωράει σε παράθυρο ενός μήνα σε αυτή την κλίμακα.
Αρχιτεκτονική Μαζικής Επεξεργασίας
Μια προεπιλογή απόκρισης DSAR λύνει αυτό το πρόβλημα. Η προεπιλογή σαρώνει κάθε έγγραφο. Εντοπίζει όλα τα ονόματα προσώπων, στοιχεία επικοινωνίας και άλλα αναγνωριστικά. Ανωνυμοποιεί κάθε εντοπισμό εκτός από αυτά που ανήκουν στο αιτούν πρόσωπο. Εισάγετε το όνομα και τον αριθμό λογαριασμού αυτού του προσώπου στην αρχή της εργασίας.
Άλλοι πελάτες που αναφέρονται στα αρχεία ανωνυμοποιούνται. Υπάλληλοι που αναφέρονται σε σημειώσεις υπηρεσιών ανωνυμοποιούνται. Τρίτα μέρη σε email ανωνυμοποιούνται. Όλα αυτά συμβαίνουν πριν από τη συναρμολόγηση του πακέτου εγγράφων.
Η επεξεργασία 50 εγγράφων διαρκεί λεπτά — όχι ώρες. Η ομάδα συμμόρφωσης ελέγχει την έξοδο για ακραίες περιπτώσεις. Ο χρόνος απόκρισης μειώνεται από εβδομάδες σε ημέρες.
Επισκεφθείτε τη σελίδα οντοτήτων μας για να δείτε ποιοι τύποι δεδομένων εντοπίζει η προεπιλογή από προεπιλογή.
Τι Έχει Σημασία για μια Αποδεικτέα Ροή Εργασίας
Τρία πράγματα κάνουν μια ροή εργασίας DSAR αποδεικτέα.
Ταχύτητα. Τα εργαλεία μαζικής επεξεργασίας αφαιρούν το εμπόδιο που προκαλεί καθυστερήσεις σε μεγάλους όγκους.
Ακρίβεια. Η προεπιλογή πρέπει να αφαιρεί PII τρίτων χωρίς να αγγίζει τα δεδομένα του ίδιου του υποκειμένου δεδομένων. Μια καλά ρυθμισμένη προεπιλογή χειρίζεται αυτή τη διάκριση.
Ίχνος ελέγχου. Το Άρθρο 5(2) απαιτεί απόδειξη συμμόρφωσης. Οι μαζικές εκτελέσεις καταγράφουν ποια έγγραφα επεξεργάστηκαν, ποια προεπιλογή χρησιμοποιήθηκε και πότε. Αυτό το αρχείο καταγραφής είναι η απόδειξή σας.