Nárast DSAR: dávkové spracovanie pre súlad s GDPR
Clanok 12 GDPR stanovuje jednomesacny termin. Organizácie musia odpovedát na ziadosti dotknutych osôb o prístup k udajom (DSAR) do 30 dní. Zlozité prípady dostávaju 60-denné predlzenie. Odpocítavanie zacína pri príjme. Neexistuje ochranná lehota. Zmeškanie termínu je samo o sebe porusením.
V roku 2024 pokuty DPA siroко spreznámili práva dotknutych osôb. Írsky DPC pokutoval LinkedIn sumou 310 miliónov eur za pouzívanie behaviorálnej reklamy bez platného súhlasu. Pokutoval Meta sumou 251 miliónov eur za vecasné oznamenie narusenia udajov. Kazda pokuta priniesla informacnú kampan. Viac ludí sa dozvedelo o svojich právach. Objem DSAR vzrástol.
Koordinovany vynucovací rámec EDPB z roku 2024 sa zameral na zlyhania práva na prístup. Organizácie, ktore nemôzu preukázat cisté záznamy DSAR, teraz celja väcsiemu dohládu.
Pozrite nasu prehladnu stranku o kompliancii a bezpecnostné postupy pre to, ako podporujeme povinnosti GDPR.
Problémy s PII tretích strán
Odpovede DSAR vytvárajú jeden konkrétny problém: PII tretích strán.
Dotknutá osoba pozaduje vsetky záznamy o nej. Tieto záznamy môzu menovat iné osoby. Poznámka podpory môze obsahovat telefonne cislo ineho zákazníka. E-mailová vlákno môze ukazovat adresu kolegu. Zaznam saznosti môze spomiínat tretiu stranu. Odoslanie tychto záznamov odhalí udaje inych ludí. To je samostatné porusenie ich práv.
Musíte prehladat kazdy dokument. Pred odoslaním musíte odstránit referencie tretích strán. Telekomunikacna firma so 300 DSAR mesacne má priblizne 50 dokumentov na ziadost. To je 15 000 dokumentov kazdy mesiac - iba pre súlad s DSAR.
Tím troch na to nestaci. Manuálne preskúmanie sa nezmestí do jednomesacneho okna v takomto meradle.
Architektúra dávkoveho spracovania
Prednastavenie pre odpoveď na DSAR toto riesí. Prednastavenie prehlada kazdy dokument. Najde vsetky mená osôb, kontaktné údaje a iné identifikatory. Anonymizuje kazdy záznam okrem tych, ktore patria žiadajúcej osobe. Meno tejto osoby a cislo konta zadáte na zaciatku úlohy.
Iní zákazníci menovaní v záznamoch sú anonymizovaní. Zamestnanci citovaní v poznámkach k sluzbám sú anonymizovaní. Tretie strany v e-mailoch sú anonymizované. Vsetko sa deje pred zostavením balíka dokumentov.
Spracovanie 50 dokumentov trvá minuty - nie hodiny. Tim pre kompliancia skontroluje vystup na okrajové prípady. Cas odpovede sa skráti z tyzdnov na dni.
Navstívte nasu stranku o entitách, aby ste videli, ktore typy udajov prednastavenie predvolene detekuje.
Co je dolezite pre obhájitelny pracovny postup
Tri veci robia pracovny postup DSAR obhájitelnym.
Rychlost. Dávkové nastroje odstranuju bottleneck, ktory spôsobuje meskania pri väcsom objeme.
Presnost. Prednastavenie musí odstránit PII tretích strán bez dotyku vlastnych záznamov dotknutej osoby. Dobre nakonfigurovane prednastavenie zvládá toto rozlisenie.
Auditná stopa. Clanok 5(2) vyzaduje dôkaz súladu. Dávkové behy zaznamenávajú, ktore dokumenty boli spracovane, ktore prednastavenie bolo pouzite a kedy. Tento záznam je vasím dôkazom.