DSAR मात्रा समस्या
GDPR अनुच्छेद 12 संगठनों को डेटा विषय पहुंच अनुरोधों का उत्तर एक महीने के भीतर देने की आवश्यकता होती है, जटिल अनुरोधों के लिए दो महीने का विस्तार संभव है। एक महीने की घड़ी निरपेक्ष है - कोई ग्रेस अवधि नहीं, कोई अच्छे विश्वास का अपवाद नहीं। उत्तर समयसीमाओं का अनुपालन न करना स्वतंत्र रूप से दंडनीय है, चाहे अंतर्निहित डेटा संरक्षण प्रथाएँ कैसी भी हों।
2024 में प्रमुख DPA प्रवर्तन कार्यवाही - आयरिश DPC का LinkedIn पर व्यवहारिक विज्ञापन के लिए बिना वैध सहमति के €310 मिलियन का जुर्माना और Meta पर डेटा उल्लंघन सूचना विफलताओं के लिए €251 मिलियन - डेटा विषय अधिकारों के प्रति महत्वपूर्ण सार्वजनिक जागरूकता को बढ़ावा दिया। प्रत्येक प्रमुख जुर्माने के बाद, DPA आमतौर पर संबंधित जागरूकता अभियान चलाते हैं, और डेटा विषयों को यह पता चलता है कि उनके पास अधिकार हैं।
EDPB का 2024 समन्वित प्रवर्तन ढांचा पहुंच अधिकार विफलताओं पर केंद्रित था - सीधे DSAR उत्तरों की गुणवत्ता और समयबद्धता को संबोधित करता है। संगठन जो अनुपालन DSAR प्रसंस्करण प्रदर्शित नहीं कर सकते, वे बढ़ते जोखिम में हैं क्योंकि EDPB का प्रवर्तन ध्यान पहुंच अधिकारों की ओर स्थानांतरित होता है।
तीसरे पक्ष का PII समस्या
DSAR उत्तर तैयारी में एक विशिष्ट जटिलता है जो मैनुअल कार्यभार को बढ़ा देती है: तीसरे पक्ष का PII।
जब एक डेटा विषय अपने बारे में रखे गए सभी व्यक्तिगत डेटा का अनुरोध करता है, तो संगठन को जानकारी प्रदान करनी होती है। लेकिन डेटा विषय के बारे में रखे गए रिकॉर्ड में अन्य व्यक्तियों के संदर्भ हो सकते हैं - ग्राहक सेवा नोट्स जो अन्य ग्राहकों का उल्लेख करते हैं, ईमेल थ्रेड्स जो अन्य कर्मचारियों के संपर्क विवरण शामिल करते हैं, शिकायत रिकॉर्ड जो तीसरे पक्ष का संदर्भ देते हैं। इन रिकॉर्ड्स को अनुरोध करने वाले डेटा विषय को प्रदान करना तीसरे पक्ष के व्यक्तिगत डेटा को उनके अधिकारों का उल्लंघन करते हुए उजागर करता है।
अनुपालन DSAR उत्तर के लिए उत्तर पैकेज में तीसरे पक्ष के PII के लिए प्रत्येक दस्तावेज़ की समीक्षा करना और भेजने से पहले उन संदर्भों को अज्ञात करना आवश्यक है। एक दूरसंचार कंपनी के लिए जिसमें प्रति माह 300 DSAR हैं, प्रत्येक में 50 सेवा नोट्स और संचार शामिल हैं, इसका मतलब है कि तीसरे पक्ष के PII संदर्भों के लिए प्रति माह 15,000 दस्तावेज़ों की समीक्षा करना - केवल DSAR अनुपालन के लिए।
इस पैमाने पर मैनुअल समीक्षा अनुच्छेद 12 के एक महीने की विंडो के भीतर संभव नहीं है। तीन लोगों की अनुपालन टीम प्रति माह 15,000 दस्तावेज़ों की समीक्षा नहीं कर सकती है, साथ ही उनकी अन्य जिम्मेदारियों के साथ। एकमात्र स्केलेबल दृष्टिकोण तीसरे पक्ष के PII हटाने के लिए पूर्व निर्धारित स्वचालित बैच प्रसंस्करण है।
बैच प्रसंस्करण आर्किटेक्चर
तीसरे पक्ष के PII हटाने के लिए कॉन्फ़िगर किया गया "DSAR उत्तर" पूर्व निर्धारित: पूर्व निर्धारित सभी व्यक्ति नामों, संपर्क जानकारी और दस्तावेजों के भीतर पहचान करने वाले संदर्भों का पता लगाता है। यह अनुरोध करने वाले डेटा विषय (बैच कार्य की शुरुआत में नाम और खाता संख्या द्वारा पहचाने गए) से स्पष्ट रूप से संबंधित संदर्भों को छोड़कर सभी पहचाने गए संदर्भों पर अज्ञातता लागू करता है। रिकॉर्ड में नामित अन्य ग्राहक, सेवा नोट्स में संदर्भित कर्मचारी, और पत्राचार में उल्लेखित तीसरे पक्ष को डेटा विषय के उत्तर के लिए दस्तावेज़ पैकेज को इकट्ठा करने से पहले अज्ञात किया जाता है।
प्रत्येक DSAR अनुरोध के लिए 50 दस्तावेज़ों को संसाधित करने में मिनट लगते हैं, घंटे नहीं। अनुपालन टीम गुणवत्ता और किनारे के मामलों के लिए अज्ञात आउटपुट की समीक्षा करती है, न कि प्रारंभिक समीक्षा करती है। DSAR उत्तर समय सप्ताहों से दिनों में कम हो जाता है।
स्रोत: