DSAR 요청량 문제
GDPR 제12조는 조직이 데이터 주체 접근 요청에 대해 한 달 이내에 응답하도록 요구하며, 복잡한 요청에 대해서는 최대 두 달의 연장이 가능합니다. 한 달의 시계는 절대적이며 — 유예 기간이나 선의의 예외는 없습니다. 응답 시간 프레임을 준수하지 않는 것은 기본 데이터 보호 관행과 관계없이 독립적으로 제재될 수 있습니다.
2024년 주요 DPA 집행 조치 — 아일랜드 DPC의 LinkedIn에 대한 3억 1천만 유로의 벌금 (유효한 동의 없이 행동 광고를 위한) 및 Meta에 대한 2억 5천 1백만 유로의 벌금 (데이터 유출 통지 실패에 대한) —는 데이터 주체 권리에 대한 공공 인식을 크게 높였습니다. 주요 벌금이 부과된 후, DPA는 일반적으로 동반 인식 캠페인을 진행하며, 데이터 주체가 행사할 수 있는 권리를 알게 되면서 DSAR 요청량이 증가합니다.
EDPB의 2024년 조정된 집행 프레임워크는 접근 권한 실패에 초점을 맞추어 — DSAR 응답의 품질과 적시성을 직접적으로 다루고 있습니다. 준수 가능한 DSAR 처리를 입증할 수 없는 조직은 EDPB의 집행 초점이 접근 권한으로 전환됨에 따라 더 높은 위험에 처해 있습니다.
제3자 PII 문제
DSAR 응답 준비에는 수동 작업 부담을 증가시키는 특정 복잡성이 있습니다: 제3자 PII.
데이터 주체가 자신에 대한 모든 개인 데이터를 요청할 때, 조직은 해당 정보를 제공해야 합니다. 그러나 데이터 주체에 대한 기록은 다른 개인에 대한 참조를 포함할 수 있습니다 — 다른 고객을 언급하는 고객 서비스 노트, 다른 직원의 연락처가 포함된 이메일 스레드, 제3자를 언급하는 불만 기록 등이 있습니다. 이러한 기록을 요청하는 데이터 주체에게 제공하면 제3자의 개인 데이터가 노출되어 그들의 권리를 위반하게 됩니다.
준수 가능한 DSAR 응답은 응답 패키지의 모든 문서를 제3자 PII에 대해 검토하고, 전송하기 전에 이러한 참조를 익명화해야 합니다. 월 300건의 DSAR을 처리하는 통신 회사의 경우, 각 DSAR이 50개의 서비스 노트 및 통신을 포함하므로, 이는 매달 15,000개의 문서를 제3자 PII 참조에 대해 검토해야 함을 의미합니다 — DSAR 준수를 위해서만.
이 규모의 수동 검토는 제12조의 한 달 이내에 수행하기에는 비현실적입니다. 세 명의 준수 팀이 다른 의무와 함께 매달 15,000개의 문서를 검토할 수는 없습니다. 유일하게 확장 가능한 접근 방식은 제3자 PII 제거를 위해 구성된 자동 배치 처리입니다.
배치 처리 아키텍처
제3자 PII 제거를 위해 구성된 "DSAR 응답" 프리셋: 이 프리셋은 문서 내의 모든 인명, 연락처 정보 및 식별 참조를 감지합니다. 요청하는 데이터 주체에 명시적으로 속하지 않는 모든 감지된 참조에 익명화를 적용합니다 (배치 작업 시작 시 이름과 계좌 번호로 식별됨). 기록에 언급된 다른 고객, 서비스 노트에 언급된 직원 및 서신에 언급된 제3자는 데이터 주체의 응답을 위한 문서 패키지가 조립되기 전에 익명화됩니다.
DSAR 요청당 50개의 문서를 처리하는 데는 몇 분이 걸리며, 몇 시간이 걸리지 않습니다. 준수 팀은 초기 검토를 수행하는 대신 품질 및 엣지 케이스에 대해 익명화된 출력을 검토합니다. DSAR 응답 시간은 주에서 일로 단축됩니다.
출처: