Problem Wolumenu DSAR
Artykuł 12 GDPR wymaga od organizacji odpowiedzi na Wnioski o Dostęp do Danych Osobowych w ciągu jednego miesiąca, z możliwym dwumiesięcznym przedłużeniem dla skomplikowanych wniosków. Jednomiesięczny termin jest bezwzględny — brak okresu łaski, brak wyjątku w dobrej wierze. Nieprzestrzeganie terminów odpowiedzi jest niezależnie sankcjonowane, niezależnie od podstawowych praktyk ochrony danych.
Główne działania egzekucyjne DPA w 2024 roku — kara w wysokości 310 milionów EUR nałożona na LinkedIn za reklamy behawioralne bez ważnej zgody oraz 251 milionów EUR nałożone na Meta za niepowiadomienie o naruszeniu danych — zwiększyły znacząco publiczną świadomość praw osób, których dane dotyczą. Po każdej dużej karze DPA zazwyczaj prowadzą towarzyszące kampanie informacyjne, a wolumeny DSAR rosną, gdy osoby, których dane dotyczą, dowiadują się, że mają prawa do egzekwowania.
Koordynowany Ramowy Program Egzekucji EDPB w 2024 roku skoncentrował się na nieprawidłowościach w zakresie prawa dostępu — bezpośrednio odnosząc się do jakości i terminowości odpowiedzi na DSAR. Organizacje, które nie mogą wykazać zgodnego przetwarzania DSAR, są narażone na zwiększone ryzyko, ponieważ skupienie egzekucji EDPB przesuwa się na prawa dostępu.
Problem PII Stron Trzecich
Przygotowanie odpowiedzi na DSAR ma specyficzną komplikację, która mnoży obciążenie pracą ręczną: PII stron trzecich.
Gdy osoba, której dane dotyczą, żąda wszystkich danych osobowych, które są o niej przechowywane, organizacja musi dostarczyć te informacje. Jednak dokumenty przechowywane o osobie, której dane dotyczą, mogą zawierać odniesienia do innych osób — notatki z obsługi klienta, które wspominają o innych klientach, wątki e-mailowe, które zawierają dane kontaktowe innych pracowników, zapisy skarg, które odnoszą się do stron trzecich. Udostępnienie tych dokumentów osobie składającej wniosek narusza prawa danych osobowych stron trzecich.
Zgodna odpowiedź na DSAR wymaga przeglądania każdego dokumentu w pakiecie odpowiedzi pod kątem PII stron trzecich i anonimizacji tych odniesień przed wysłaniem. Dla firmy telekomunikacyjnej z 300 DSAR miesięcznie, z każdym wnioskiem obejmującym 50 notatek serwisowych i komunikacji, oznacza to przeglądanie 15 000 dokumentów miesięcznie pod kątem odniesień do PII stron trzecich — wyłącznie w celu zgodności z DSAR.
Ręczny przegląd w takiej skali nie jest wykonalny w ramach jednomiesięcznego okna artykułu 12. Zespół ds. zgodności składający się z trzech osób nie może przeglądać 15 000 dokumentów miesięcznie obok swoich innych obowiązków. Jedynym skalowalnym podejściem jest automatyczne przetwarzanie wsadowe z ustawieniem skonfigurowanym do usuwania PII stron trzecich.
Architektura Przetwarzania Wsadowego
Ustawienie "odpowiedzi na DSAR" skonfigurowane do usuwania PII stron trzecich: ustawienie to wykrywa wszystkie imiona i nazwiska, dane kontaktowe oraz identyfikujące odniesienia w dokumentach. Stosuje anonimizację do wszystkich wykrytych odniesień, z wyjątkiem tych, które wyraźnie należą do osoby składającej wniosek (zidentyfikowanej po imieniu i numerze konta na początku zadania wsadowego). Inni klienci wymienieni w dokumentach, pracownicy wspomniani w notatkach serwisowych i strony trzecie wspomniane w korespondencji są anonimizowane przed złożeniem pakietu dokumentów w odpowiedzi dla osoby, której dane dotyczą.
Przetwarzanie 50 dokumentów na wniosek DSAR zajmuje minuty, a nie godziny. Zespół ds. zgodności przegląda anonimizowane wyniki pod kątem jakości i przypadków granicznych, zamiast przeprowadzać wstępny przegląd. Czas odpowiedzi na DSAR skraca się z tygodni do dni.
Źródła: