DSAR-tilausmääräongelma
GDPR:n artikla 12 vaatii organisaatioita vastaamaan tietosuoja-asetuksen mukaisiin pyyntöihin kuukauden kuluessa, mahdollista kahden kuukauden jatkoaikaa monimutkaisille pyynnöille. Kuukauden aikaraja on ehdoton — ei armonaikaa, ei hyväntahtoista poikkeusta. Vastausaikojen noudattamatta jättäminen on itsenäisesti rangaistavaa riippumatta taustalla olevista tietosuojakäytännöistä.
Merkittävät DPA:n valvontatoimet vuonna 2024 — Irlannin DPC:n 310 miljoonan euron sakko LinkedInille käyttäytymismainonnasta ilman voimassa olevaa suostumusta ja 251 miljoonan euron sakko Metalle tietomurtoilmoitusten epäonnistumisista — lisäsivät merkittävästi julkista tietoisuutta tietosuojaoikeuksista. Jokaisen merkittävän sakon jälkeen DPA:t yleensä toteuttavat oheisia tietoisuuskampanjoita, ja DSAR-tilausmäärät kasvavat, kun tietosuoja-asetuksen alaiset henkilöt oppivat, että heillä on oikeuksia, joita käyttää.
EDPB:n vuoden 2024 koordinoitu valvontakehys keskittyi pääsyoikeuden epäonnistumisiin — käsitellen suoraan DSAR-vastausten laatua ja ajantasaisuutta. Organisaatiot, jotka eivät voi osoittaa noudattavansa DSAR-käsittelyä, ovat kohonneessa riskissä, kun EDPB:n valvontakeskittyminen siirtyy pääsyoikeuksiin.
Kolmannen osapuolen PII-ongelma
DSAR-vastausten valmistelussa on erityinen monimutkaisuus, joka moninkertaistaa manuaalisen työkuorman: kolmannen osapuolen PII.
Kun tietosuoja-asetuksen alainen henkilö pyytää kaikkia häntä koskevia henkilötietoja, organisaation on annettava tiedot. Mutta tietosuoja-asetuksen alaiselle henkilölle pidettävät tiedot saattavat sisältää viittauksia muihin henkilöihin — asiakaspalvelumuistiot, joissa mainitaan muita asiakkaita, sähköpostikeskustelut, jotka sisältävät muiden työntekijöiden yhteystiedot, valitustiedot, jotka viittaavat kolmansiin osapuoliin. Näiden tietojen antaminen pyytävälle tietosuoja-asetuksen alaiselle henkilölle paljastaa kolmansien osapuolten henkilötiedot heidän oikeuksiensa vastaisesti.
Noudattava DSAR-vastaus edellyttää, että jokainen asiakirja vastauspaketissa tarkastetaan kolmannen osapuolen PII:n varalta ja että nämä viittaukset anonymisoidaan ennen lähettämistä. Teleyritykselle, jolla on 300 DSAR:ia kuukaudessa, joista jokaisessa on 50 palvelumuistioita ja viestintää, tämä tarkoittaa 15 000 asiakirjan tarkastamista kuukausittain kolmannen osapuolen PII -viittausten varalta — yksinomaan DSAR-noudattamisen vuoksi.
Manuaalinen tarkastus tällä mittakaavalla ei ole mahdollista GDPR:n artiklan 12 kuukauden aikarajan puitteissa. Kolmen hengen noudattamistiimi ei voi tarkastaa 15 000 asiakirjaa kuukausittain muiden velvoitteidensa ohella. Ainoa skaalautuva lähestymistapa on automatisoitu eräkäsittely, jossa on asetettu kolmannen osapuolen PII:n poistamiseen tarkoitettu esiasetus.
Eräkäsittelyn arkkitehtuuri
"DSAR-vastaus" -esiasetus, joka on konfiguroitu kolmannen osapuolen PII:n poistamiseen: esiasetus havaitsee kaikki henkilön nimet, yhteystiedot ja tunnistavat viittaukset asiakirjoissa. Se soveltaa anonymisointia kaikkiin havaittuihin viittauksiin, paitsi niihin, jotka nimenomaisesti kuuluvat pyytävälle tietosuoja-asetuksen alaiselle henkilölle (tunnistettuna nimellä ja tilinumerolla erätyön alussa). Muut asiakkaina mainitut henkilöt, työntekijät, joita viitataan palvelumuistioissa, ja kolmannet osapuolet, joita mainitaan kirjeenvaihdossa, anonymisoidaan ennen asiakirjapaketin kokoamista tietosuoja-asetuksen alaisen henkilön vastausta varten.
50 asiakirjan käsittely jokaisessa DSAR-pyynnössä vie minuutteja eikä tunteja. Noudattamistiimi tarkastaa anonymisoidun tuotoksen laadun ja poikkeustapaukset sen sijaan, että se suorittaisi alkuperäisen tarkastuksen. DSAR-vastausaika lyhenee viikoista päiviksi.
Lähteet: