Problemet med DSAR-volymen
GDPR Artikel 12 kräver att organisationer svarar på begärningar om tillgång till personuppgifter inom en månad, med en möjlig förlängning på två månader för komplexa förfrågningar. Denna enmånadsperiod är absolut — ingen nådperiod, ingen god tro-undantag. Bristande efterlevnad av tidsramar för svar är oberoende sanktionerbar oavsett de underliggande dataskyddspraxis.
Stora DPA-verkställighetsåtgärder 2024 — den irländska DPC:s 310 miljoner EUR böter mot LinkedIn för beteendeannonsering utan giltigt samtycke och 251 miljoner EUR mot Meta för brister i meddelande om dataintrång — ökade den offentliga medvetenheten om rättigheter för registrerade. Efter varje stor bötesbelopp genomför DPA:er vanligtvis följande medvetenhetskampanjer, och DSAR-volymerna ökar när registrerade får veta att de har rättigheter att utöva.
EDPB:s 2024 Koordinerade verkställighetsram fokuserade på brister i tillgångsrättigheter — som direkt adresserar kvaliteten och tidsramarna för DSAR-svar. Organisationer som inte kan visa att de följer DSAR-behandlingen är i ökad risk när EDPB:s fokus på verkställighet skiftar till tillgångsrättigheter.
Problemet med tredje parts PII
Förberedelse för DSAR-svar har en specifik komplikation som multiplicerar den manuella arbetsbördan: tredje parts PII.
När en registrerad begär all personlig information som hålls om dem, måste organisationen tillhandahålla informationen. Men de register som hålls om den registrerade kan innehålla referenser till andra individer — kundservicenoteringar som nämner andra kunder, e-posttrådar som inkluderar kontaktuppgifter till andra anställda, klagomålsregister som refererar till tredje parter. Att tillhandahålla dessa register till den begärande registrerade exponerar tredje parters personuppgifter i strid med deras rättigheter.
Ett korrekt DSAR-svar kräver att varje dokument i svarspaketet granskas för tredje parts PII och att dessa referenser anonymiseras innan de skickas. För ett telekommunikationsföretag med 300 DSAR per månad, där varje involverar 50 servicemeddelanden och kommunikationer, innebär detta att man granskar 15 000 dokument månatligen för referenser till tredje parts PII — uteslutande för DSAR-efterlevnad.
Manuell granskning i denna skala är inte genomförbar inom Artikel 12:s enmånadsfönster. Ett efterlevnadsteam med tre personer kan inte granska 15 000 dokument månatligen parallellt med sina andra åtaganden. Den enda skalbara metoden är automatiserad batchbehandling med en förinställning konfigurerad för borttagning av tredje parts PII.
Batchbehandlingsarkitekturen
En "DSAR-svar" förinställning konfigurerad för borttagning av tredje parts PII: förinställningen upptäcker alla personnamn, kontaktinformation och identifierande referenser inom dokumenten. Den tillämpar anonymisering på alla upptäckta referenser förutom de som uttryckligen tillhör den begärande registrerade (identifierad med namn och kontonummer i början av batchjobbet). Andra kunder som nämns i registren, anställda som refereras i servicemeddelanden och tredje parter som nämns i korrespondens anonymiseras innan dokumentpaketet sammanställs för den registrerades svar.
Att behandla 50 dokument per DSAR-förfrågan tar minuter snarare än timmar. Efterlevnadsteamet granskar den anonymiserade utdata för kvalitet och gränsfall snarare än att utföra den initiala granskningen. DSAR-svarstiden minskar från veckor till dagar.
Källor: