DSaR: Nový regulačný záväzok
Data Subject Access Request (DSaR), známa aj ako "žiadosť o prístup" alebo "právo byť informovaný", je čl. 15 GDPR. Fyzické osoby majú právo:
- Vedieť, či sa ich údaje spracovávajú
- Dostať kopiu všetkých svojich údajov
- Vedieť, ako sa ich údaje spracovávajú
- Vedieť, kto má prístup k ich údajom
- Vedieť, ako dlho sa údaje uchováváajú
Organizácia musí reagovať na DSaR do 30 dní (s možnosťou predĺženia o 60 dní).
V roku 2024-2025 sa počet DSaR zvýšil:
- 2022: V priemere 500-1 000 DSaR za rok na organizáciu
- 2024: V priemere 2 000-5 000 DSaR za rok
- 2025: Prognóza 5 000-10 000 DSaR za rok
Príčiny nárastu:
- Ľudia vedia o svojich právach
- Sociálne siete (TikTok, Meta) zvýšili povedomie
- Regulátori vynúťujú pokuty za nereagovanie
Výzvy so spracovaním DSaR v dávkach
Spracovávanie 100 DSaR za mesiac je logistickou nočnou morou bez automatizácie:
Problém 1: Rozdelené databázy
Údaje používateľa sú často uložené v 5-10 rôznych systémoch:
- CRM (Salesforce)
- E-mailový systém (Marketo)
- Webové servery (log)
- Cloudové úložiště (S3)
- Starých databázach
Zbieranie údajov z každého systému je manuálne a pomaly.
Problém 2: Relevancia a filtrovanie
Keď zbierates všetky údaje z CRM pre konkrétneho používateľa, dostaneš 10 GB dát:
- E-mailové rozhovory
- Telefonické poznámky
- Interné záznamy
Ale len 10% je relevantné pre konkrétneho používateľa. Musíte manuálne odseparovať relevantné údaje od ostatných.
Problém 3: Bezpečnosť a súkromie
Keď posielate údaje používateľovi po DSaR, musíte:
- Zašifrovať prenos
- Skontrolovať identitu požiadavcu
- Vytvoriť audit trail
- Dodržovať bezpečnostné normy
Riešenie: Dávkové spracovanie s automatizáciou
Nástroje na DSaR automatizáciu (ako OneTrust, TrustArc, atď.) pomáhajú:
- Automaticky zhromažďovať údaje z viacerých systémov cez API
- Anonymizovať nerelev relevantné údaje pred vrátením
- Zabalovať údaje do bezpečného formátu (PDF, CSV, JSON)
- Sledovať deadline a automaticky upozorňovať tímom