Creșterea volumului DSAR: procesare în lot pentru conformitatea GDPR
Articolul 12 GDPR stabilește un termen de o lună. Organizațiile trebuie să răspundă la Cererile de Acces ale Persoanelor Vizate (DSAR) în termen de 30 de zile. Cazurile complexe beneficiază de o prelungire de 60 de zile. Termenul începe la primire. Nu există perioadă de grație. Depășirea termenului reprezintă prin ea însăși o încălcare.
În 2024, amenzile autorităților de protecție a datelor au făcut drepturile privind datele cunoscute pe scară largă. Comisia irlandeză pentru protecția datelor a amendat LinkedIn cu 310 milioane de euro pentru utilizarea publicității comportamentale fără consimțământ valid. A amendat Meta cu 251 milioane de euro pentru nenotificarea la timp a unei breșe de date. Fiecare amendă a generat o campanie de conștientizare. Mai mulți oameni au aflat că dețin drepturi. Volumul DSAR a crescut.
Cadrul de Aplicare Coordonată EDPB 2024 a vizat eșecurile în acordarea dreptului de acces. Organizațiile care nu pot demonstra evidențe curate ale DSAR se confruntă acum cu un control mai strict.
Consultați prezentarea generală a conformității și practicile noastre de securitate pentru modul în care sprijinim obligațiile GDPR.
Problema datelor personale ale terților
Răspunsurile la DSAR creează o problemă specifică: datele personale ale terților.
O persoană vizată solicită toate înregistrările despre ea. Acele înregistrări pot include alte persoane. O notă de asistență poate conține numărul de telefon al altui client. Un fir de e-mail poate dezvălui adresa unui coleg. O înregistrare de reclamație poate menționa un terț. Trimiterea acelor înregistrări expune datele altor persoane. Aceasta reprezintă o încălcare separată a drepturilor lor.
Trebuie să revizuiți fiecare document. Trebuie să eliminați referințele la terți înainte de expediere. O companie de telecomunicații cu 300 de DSAR pe lună are aproximativ 50 de documente per cerere. Aceasta înseamnă 15.000 de documente în fiecare lună — doar pentru conformitatea DSAR.
O echipă de trei persoane nu poate face asta. Revizuirea manuală nu se încadrează într-o fereastră de o lună la această scară.
Arhitectura procesării în lot
O presetare pentru răspunsuri DSAR rezolvă această problemă. Presetarea scanează fiecare document. Identifică toate numele de persoane, detaliile de contact și alți identificatori. Anonimizează fiecare potrivire, cu excepția celor aparținând persoanei solicitante. Introduceți numele acelei persoane și numărul de cont la începutul lucrării.
Alți clienți menționați în înregistrări sunt anonimizați. Angajații citați în notele de serviciu sunt anonimizați. Terții din e-mailuri sunt anonimizați. Toate acestea se întâmplă înainte ca pachetul de documente să fie asamblat.
Procesarea a 50 de documente durează minute — nu ore. Echipa de conformitate verifică rezultatele pentru cazuri-limită. Timpul de răspuns scade de la săptămâni la zile.
Vizitați pagina entităților pentru a vedea ce tipuri de date detectează implicit presetarea.
Ce contează pentru un flux de lucru defensibil
Trei lucruri fac un flux de lucru DSAR defensibil.
Viteza. Instrumentele de procesare în lot elimină blocajele care cauzează întârzieri la volume mari.
Acuratețea. Presetarea trebuie să elimine datele personale ale terților fără a atinge înregistrările proprii ale persoanei vizate. O presetare bine configurată gestionează această distincție.
Traseul de audit. Articolul 5(2) impune dovada conformității. Rulările în lot înregistrează ce documente au fost procesate, ce presetare a fost utilizată și când. Acel jurnal reprezintă dovada dvs.