Проблема объема DSAR
Статья 12 GDPR требует от организаций отвечать на Запросы на доступ к данным субъектов в течение одного месяца, с возможным двухмесячным продлением для сложных запросов. Одномесечные сроки являются абсолютными — нет льготного периода, нет исключений доброй воли. Невыполнение сроков ответа может быть независимо наказуемо, независимо от практик защиты данных.
Основные действия по принуждению DPA в 2024 году — штраф Ирландской DPC в размере 310 миллионов евро против LinkedIn за поведенческую рекламу без действительного согласия и 251 миллион против Meta за неисполнение уведомлений о нарушении данных — привели к значительному общественному осознанию прав субъектов данных. После каждого крупного штрафа DPA обычно проводят сопутствующие кампании по повышению осведомленности, и объемы DSAR увеличиваются, поскольку субъекты данных узнают о своих правах.
Координированная структура принуждения EDPB в 2024 году сосредоточилась на нарушениях прав доступа — напрямую касаясь качества и своевременности ответов на DSAR. Организации, которые не могут продемонстрировать соблюдение обработки DSAR, подвергаются повышенному риску, поскольку внимание EDPB переключается на права доступа.
Проблема PII третьих лиц
Подготовка ответа на DSAR имеет специфическую сложность, которая увеличивает нагрузку ручной работы: PII третьих лиц.
Когда субъект данных запрашивает все личные данные, хранящиеся о нем, организация должна предоставить информацию. Но записи, хранящиеся о субъекте данных, могут содержать ссылки на других лиц — заметки службы поддержки, в которых упоминаются другие клиенты, электронные переписки, включающие контактные данные других сотрудников, записи жалоб, в которых упоминаются третьи лица. Предоставление этих записей запрашивающему субъекту данных раскрывает личные данные третьих лиц, нарушая их права.
Соблюдение ответа на DSAR требует проверки каждого документа в пакете ответа на наличие PII третьих лиц и анонимизации этих ссылок перед отправкой. Для телекоммуникационной компании с 300 DSAR в месяц, каждая из которых включает 50 заметок и коммуникаций, это означает проверку 15,000 документов ежемесячно на наличие ссылок на PII третьих лиц — исключительно для соблюдения DSAR.
Ручная проверка в таких масштабах невозможна в рамках одномесячного окна статьи 12. Команда по соблюдению из трех человек не может проверять 15,000 документов ежемесячно наряду с другими обязательствами. Единственный масштабируемый подход — автоматизированная пакетная обработка с предустановкой, настроенной на удаление PII третьих лиц.
Архитектура пакетной обработки
"Ответ на DSAR" — предустановка, настроенная на удаление PII третьих лиц: предустановка обнаруживает все имена, контактную информацию и идентифицирующие ссылки в документах. Она применяет анонимизацию ко всем обнаруженным ссылкам, кроме тех, которые явно принадлежат запрашивающему субъекту данных (идентифицированному по имени и номеру счета в начале пакетной обработки). Другие клиенты, упомянутые в записях, сотрудники, упомянутые в заметках службы поддержки, и третьи лица, упомянутые в переписке, анонимизируются перед сборкой пакета документов для ответа субъекта данных.
Обработка 50 документов на запрос DSAR занимает минуты, а не часы. Команда по соблюдению проверяет анонимизированный результат на качество и крайние случаи, а не выполняет первоначальную проверку. Время ответа на DSAR сокращается с недель до дней.
Источники: