Рост числа запросов субъектов данных: пакетная обработка в соответствии с GDPR
Статья 12 GDPR устанавливает месячный срок. Организации обязаны отвечать на запросы субъектов данных (DSAR) в течение 30 дней. Для сложных случаев предусмотрено продление до 60 дней. Отсчёт начинается с момента получения запроса. Льготного периода нет. Нарушение сроков само по себе является нарушением требований.
В 2024 году крупные штрафы существенно повысили осведомлённость граждан об их правах. Ирландский орган по защите данных оштрафовал LinkedIn на 310 млн евро — за использование поведенческой рекламы без надлежащего согласия. Meta была оштрафована на 251 млн евро — за несвоевременное уведомление об утечке данных. Каждый из этих штрафов сопровождался широкой огласки. Всё больше людей узнали о своих правах. Количество запросов субъектов данных возросло.
Скоординированное надзорное мероприятие EDPB 2024 года было направлено против нарушений права на доступ к данным. Организации, не способные представить чистую документацию по DSAR, теперь сталкиваются с усиленным контролем.
Подробнее о нашей поддержке обязательств по GDPR — в обзоре соответствия требованиям и разделе практик безопасности.
Проблема персональных данных третьих лиц
При подготовке ответов на DSAR возникает одна специфическая сложность: персональные данные третьих лиц.
Субъект данных запрашивает все записи о себе. Эти записи могут содержать сведения о других людях. В заметке службы поддержки может фигурировать номер телефона другого клиента. В цепочке переписки может быть указан адрес коллеги. В жалобе может упоминаться третье лицо. Отправка таких записей раскрывает данные посторонних людей — это отдельное нарушение их прав.
Каждый документ необходимо проверять и удалять ссылки на третьих лиц перед отправкой. Телекоммуникационная компания с 300 запросами DSAR в месяц обрабатывает около 50 документов на один запрос. Это 15 000 документов ежемесячно — только для соблюдения требований DSAR.
Команда из трёх человек с этим не справится. Ручная проверка при таком масштабе не укладывается в месячный срок.
Архитектура пакетной обработки
Проблему решает пресет ответа на DSAR. Пресет сканирует каждый документ, находит все имена, контактные данные и иные идентификаторы и анонимизирует все совпадения, кроме принадлежащих заявителю. Имя заявителя и номер его счёта вводятся в начале задания.
Другие клиенты, упомянутые в записях, анонимизируются. Сотрудники, упомянутые в сервисных заметках, анонимизируются. Третьи лица в переписке — тоже. Всё это происходит до формирования пакета документов.
Обработка 50 документов занимает минуты, а не часы. Команда по соответствию требованиям проверяет результат на предмет нестандартных случаев. Время подготовки ответа сокращается с нескольких недель до нескольких дней.
Полный список типов данных, определяемых пресетом по умолчанию, — на нашей странице сущностей.
Требования к защищаемому рабочему процессу
Три фактора делают рабочий процесс DSAR юридически защищённым.
Скорость. Инструменты пакетной обработки устраняют узкое место, из-за которого возникают задержки при большом объёме запросов.
Точность. Пресет должен удалять персональные данные третьих лиц, не затрагивая данные самого заявителя. Правильно настроенный пресет обеспечивает это разграничение.
Журнал аудита. Статья 5(2) требует доказательств соответствия. Пакетные задания фиксируют, какие документы были обработаны, какой пресет использовался и когда. Этот журнал — ваша доказательная база.