anonym.legal

By · Last updated 2026-05-24

กลับไปที่บล็อกGDPR & การปฏิบัติตาม

GDPR DSAR ในระดับขนาดใหญ่: 200 คำขอต่อเดือน

GDPR มาตรา 15 เรื่อง DSAR เพิ่มขึ้น 40-60% ต่อปี องค์กรได้รับคำขอหลายร้อยรายการต่อเดือน การปิดบัง PII แบบกลุ่มช่วยให้ประมวลผล DSAR ได้เร็วขึ้น 10 เท่า

May 24, 20268 อ่านประมาณ
DSAR processingGDPR Article 15data subject access requestright of accessbatch redaction

การปฏิบัติตาม GDPR DSAR ในระดับขนาดใหญ่: 200 คำขอต่อเดือน

อัปเดตสำหรับปี 2026

GDPR มาตรา 15 ให้สิทธิ์แก่บุคคลในการรับสำเนาข้อมูลของตน กำหนดเวลาตอบกลับ 30 วันเป็นข้อบังคับ สามารถขยายเวลาได้ถึง 90 วันสำหรับคำขอที่ซับซ้อน โทษปรับเกิดขึ้นจริง: Vodafone สเปนจ่าย €1.2 ล้านในปี 2021 บริษัทเยอรมันจ่าย €225,000 ในปี 2023 ทั้งสองถูกปรับเนื่องจากความล้มเหลวด้าน DSAR

ปริมาณ DSAR ยังคงเพิ่มขึ้นต่อเนื่อง กลุ่มด้านความเป็นส่วนตัวช่วยให้ผู้คนยื่นคำขอได้พร้อมกันในปริมาณมาก ส่วนขยายของเบราว์เซอร์ทำให้ง่ายต่อการส่งคำขอไปยังหลายบริษัทในคราวเดียว องค์กรที่เคยได้รับคำขอ 10 รายการต่อปีตอนนี้ได้รับ 200 รายการต่อเดือน เวิร์กโฟลว์แบบ manual ที่ออกแบบมาสำหรับ 10 รายการไม่สามารถรับมือกับ 200 รายการได้ เวลาของพนักงานที่ครอบคลุมภาระงานเบาไม่สามารถรองรับการเพิ่มขึ้น 20 เท่าได้ จำเป็นต้องมีระบบอัตโนมัติ ดูหน้า entities ของเราสำหรับรายการประเภทข้อมูลที่เราดำเนินการในนามของคุณ

ดู ภาพรวมการปฏิบัติตามกฎหมาย และ แนวปฏิบัติด้านความปลอดภัย เพื่อดูว่าเราสนับสนุน GDPR อย่างไร

สิ่งที่การประมวลผล DSAR เกี่ยวข้อง

มาตรา 15 ต้องการมากกว่าการบอกว่า "ใช่ เรามีข้อมูลของคุณ" คุณต้องส่งสำเนา มีสามขั้นตอนที่จำเป็น

ค้นหาข้อมูลส่วนบุคคลทั้งหมด ค้นหาทุกระบบ — CRM, อีเมล, ตั๋วสนับสนุน, เครื่องมือการตลาด, บันทึก HR ฝ่ายกฎหมายและ IT ต้องดำเนินการสืบค้นข้ามระบบร่วมกัน

ลบข้อมูลบุคคลที่สาม สำเนาที่คุณส่งต้องไม่แสดงข้อมูลส่วนบุคคลของผู้อื่น หากตั๋วสนับสนุนมีอีเมลของเจ้าหน้าที่ ให้ปิดบัง หากบันทึกคำสั่งซื้อแสดงชื่อลูกค้ารายอื่น ให้ลบออก สำหรับโปรแกรมที่มีปริมาณสูง ขั้นตอนการปิดบังข้อมูลบุคคลที่สามนี้คือจุดที่เครื่องมือประมวลผลแบบกลุ่มให้ประสิทธิภาพด้านเวลาสูงสุด

ปฏิบัติตามกฎรูปแบบและเวลา GDPR กำหนดให้ใช้รูปแบบอิเล็กทรอนิกส์ทั่วไป ทั้ง PDF และข้อความธรรมดาผ่านเกณฑ์นี้ นาฬิกาเริ่มเดินเมื่อคุณได้รับคำขอ การพลาดกำหนดเวลาเป็นสาเหตุหลักของการดำเนินการบังคับใช้

ตัวเลขการประมวลผล DSAR

ลองพิจารณาบริษัทอีคอมเมิร์ซในยุโรปที่มี DSAR 200 รายการต่อเดือน

คำขอแต่ละรายการมักเกี่ยวข้องกับ:

  • บันทึกคำสั่งซื้อ 8–12 รายการ
  • ตั๋วสนับสนุน 3–7 รายการ
  • บันทึกบัญชี 2–4 รายการ
  • เฉลี่ย: ประมาณ 18 เอกสารต่อคำขอ

นั่นคือเอกสาร 3,600 รายการต่อเดือนที่ต้องการการปิดบังข้อมูลบุคคลที่สาม

เวลาแบบ manual:

  • 7–15 นาทีต่อเอกสาร
  • เอกสาร 3,600 รายการ = 420–900 ชั่วโมงต่อเดือน
  • พนักงานเต็มเวลาประมาณ 3–6 คน เฉพาะสำหรับการปิดบัง

การประมวลผลแบบกลุ่ม:

  • อัปโหลดเอกสาร 3,600 รายการทั้งหมดพร้อมกัน
  • ใช้พรีเซ็ตการปิดบัง DSAR
  • ประมวลผลข้ามคืน: 4–8 ชั่วโมง
  • การตรวจสอบโดยมนุษย์ของกรณีพิเศษ (~10%): ประมาณ 90 ชั่วโมง
  • ความพยายามรวม: 150–200 ชั่วโมงต่อเดือน — ราวหนึ่งพนักงาน

นี่คือสาเหตุที่เครื่องมือแบบกลุ่มมีความสำคัญในระดับขนาดใหญ่ ดู หน้าราคา ของเราสำหรับแพ็กเกจแบบกลุ่ม

เข้ารหัสก่อน-แล้วปิดบัง สำหรับบันทึกภายใน

บางทีมต้องการบันทึกภายในที่กู้คืนได้แต่การตอบกลับภายนอกที่สะอาด แนวทางสองขั้นตอนแก้ปัญหานี้ได้

ขั้นที่ 1: จัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลเข้ารหัสด้วยคีย์ที่ควบคุม การเข้าถึงจำกัดเฉพาะผู้ใช้ที่ได้รับอนุญาต คุณสามารถกู้คืนข้อความต้นฉบับได้หากจำเป็น

ขั้นที่ 2: ใช้การปิดบังถาวรก่อนส่งการตอบกลับ DSAR บุคคลนั้นได้รับเอกสารที่สะอาดโดยไม่มีโทเค็นหรือเครื่องหมายใดๆ

วิธีนี้ช่วยให้บันทึกของคุณครบถ้วนในขณะที่ตอบสนองมาตรฐานทางกฎหมายสำหรับการตอบกลับภายนอกที่สะอาด คุณสามารถประมวลผลเอกสารใหม่ได้ทุกเมื่อหากกฎการปิดบังของคุณเปลี่ยนแปลง

เอกสารการปฏิบัติตาม

มาตรา 5(2) — กฎความรับผิดชอบ — หมายความว่าคุณต้องพิสูจน์ว่าปฏิบัติตาม คุณต้องมีบันทึก คำพูดไม่เพียงพอ สำหรับ DSAR แต่ละรายการ ให้บันทึก:

  • วันที่ได้รับและวิธีการตรวจสอบตัวตน
  • ระบบที่ค้นหาและสิ่งที่พบ
  • ประเภทการปิดบังและประเภท entity ที่ใช้
  • วันที่และรูปแบบของการตอบกลับ
  • วิธีจัดการกรณีพิเศษ

เครื่องมือแบบกลุ่มสร้างบันทึกการตรวจสอบโดยธรรมชาติ พวกมันบันทึกว่าเอกสารใดถูกประมวลผล การตั้งค่าที่ใช้ และเวลา สิ่งนี้ช่วยในการตรวจสอบภายในและคำถามจากหน่วยงานกำกับดูแล คำถามที่พบบ่อย ของเราครอบคลุมคำถามทั่วไปเกี่ยวกับกฎการตรวจสอบย้อนกลับ ดู คำศัพท์ สำหรับคำสำคัญเช่น "ผู้ควบคุม" และ "ผู้ประมวลผล"

ค่าใช้จ่ายจากความล้มเหลวด้าน DSAR

ค่าปรับ Vodafone สเปน (AEPD, 2021) มาจากการพลาดกำหนดเวลา การตอบกลับที่ไม่ครบถ้วน และการตรวจสอบตัวตนที่ไม่ดี องค์กรยังไม่ตอบกลับภายใน 30 วันในหลายกรณี ค่าปรับของเยอรมัน (Bavarian DPA, 2023) มาจากการตอบกลับล่าช้าและข้อมูลที่ขาดหาย บริษัทส่งการตอบกลับที่ไม่รวมบันทึกที่เกี่ยวข้องทั้งหมด

ทั้งสองกรณีแสดงให้เห็นว่าเกิดอะไรขึ้นเมื่อปริมาณเกินความสามารถของกระบวนการ manual ความล่าช้ากลายเป็นเรื่องปกติ ความล้มเหลวเชิงระบบตามมา ระบบอัตโนมัติลบคอขวดออก ไม่ได้ป้องกันความเสี่ยงทั้งหมด แต่แก้ไขช่องว่างความสามารถที่ทำให้เกิดการดำเนินการบังคับใช้ส่วนใหญ่ อ่าน แถลงการณ์ของผู้ก่อตั้ง เกี่ยวกับการสร้างการปฏิบัติตามโดยการออกแบบ

ความเสี่ยงจากระบบอัตโนมัติ

เครื่องมือแบบกลุ่มลดภาระงานแต่เพิ่มความเสี่ยงใหม่ รู้จักสิ่งเหล่านี้ก่อนที่คุณจะนำไปใช้งาน

ตรวจสอบความแม่นยำในการตรวจจับ

อัตราการพลาด 2% เป็นเรื่องเล็กน้อยในเอกสาร 100 รายการ ในคำขอประจำปี 50,000 รายการ หมายถึงข้อผิดพลาดนับพัน ทดสอบพรีเซ็ตของคุณกับตัวอย่างจริงก่อนเปิดใช้งาน

จัดทำแผนที่ห่วงโซ่ผู้ประมวลผลของคุณ

ระบบแบบกลุ่มมักใช้เครื่องมือ OCR, API NLP และพื้นที่จัดเก็บในคลาวด์ แต่ละอย่างเพิ่มหน้าที่ตามมาตรา 28 และอาจก่อให้เกิดปัญหาการพำนักข้อมูล จัดทำแผนที่การไหลของข้อมูลทั้งหมดก่อน

รักษามนุษย์ในกระบวนการ

มาตรา 22 จำกัดการตัดสินใจโดยอัตโนมัติที่มีผลทางกฎหมายต่อบุคคล หากระบบของคุณตัดสินว่าจะเปิดเผยหรือซ่อนอะไร ให้เพิ่มขั้นตอนการตรวจสอบโดยมนุษย์ สิ่งนี้หลีกเลี่ยงความเสี่ยงตามมาตรา 22

วางแผนสำหรับค่าใช้จ่ายการบริหาร

ระบบแบบกลุ่มต้องการการอัปเดต Records of Processing, แผนภาพการไหลของข้อมูลใหม่ และ DPA ของผู้ขาย ทีมส่วนใหญ่ประเมินงานนี้ต่ำเกินไป วางแผนล่วงหน้า

รายการตรวจสอบการนำไปใช้

ก่อนที่คุณจะทำให้เป็นอัตโนมัติ:

  • เขียนขั้นตอนการรับ DSAR ของคุณ
  • แสดงรายการระบบทั้งหมดที่เก็บข้อมูลส่วนบุคคล
  • สร้างแผนที่ข้อมูลสำหรับการสืบค้นข้ามระบบ

ขั้นตอนการตั้งค่า:

  • กำหนดค่าพรีเซ็ตการปิดบัง DSAR ด้วยประเภท entity ที่ถูกต้อง
  • ตั้งกฎสำหรับสิ่งที่กระตุ้นการตรวจสอบโดยมนุษย์
  • ทดสอบกับตัวอย่างคำขอ 5–10 รายการก่อน

อย่างต่อเนื่อง:

  • อัปโหลดเอกสารรายวันหรือตามคำขอ
  • ส่งรายการที่ถูกตั้งค่าสถานะไปยังคิวการตรวจสอบโดยมนุษย์
  • รวมผลลัพธ์เป็นการตอบกลับขั้นสุดท้าย
  • บันทึกวันที่ตอบกลับและรูปแบบ
  • ตรวจสอบบันทึกรายเดือนเพื่อระบุรูปแบบในกรณีพิเศษ
  • อัปเดต ROPA ของคุณเมื่อกระบวนการเปลี่ยนแปลง

ดู กรณีศึกษา ของเราเพื่อดูว่าองค์กรต่างๆ สร้างเวิร์กโฟลว์ DSAR ในระดับขนาดใหญ่อย่างไร

บทสรุป

ปริมาณ DSAR จะยังคงเพิ่มขึ้นต่อเนื่อง เครื่องมือด้านความเป็นส่วนตัว ส่วนขยายเบราว์เซอร์สำหรับการยื่นคำขอจำนวนมาก และการรายงานข่าวในสื่อล้วนทำให้มีคำขอมากขึ้น คาดว่าการเติบโตประจำปี 40–60% จะดำเนินต่อไป

กระบวนการ manual ไม่สามารถตามทัน เครื่องมือแบบกลุ่มจัดการงานการปิดบังเพื่อให้พนักงานมุ่งเน้นที่กรณีพิเศษและการจัดการการตอบกลับ นั่นคือรูปแบบที่ขยายขนาดได้ Manual เพียงอย่างเดียวไม่ใช่ องค์กรที่ลงทุนในระบบอัตโนมัติตอนนี้จะได้เปรียบเมื่อปริมาณเพิ่มขึ้น ผู้ที่รอจะเผชิญกับงานค้างที่เพิ่มขึ้นและความเสี่ยงค่าปรับที่สูงขึ้น

แหล่งที่มา

บทความที่เกี่ยวข้อง

GDPR & การปฏิบัติตาม

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & การปฏิบัติตาม

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & การปฏิบัติตาม

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

พร้อมที่จะปกป้องข้อมูลของคุณหรือยัง?

เริ่มทำให้ PII เป็นนิรนามด้วยประเภทเอนทิตีมากกว่า 285 ประเภทใน 48 ภาษา.

เริ่มทดลองใช้ฟรีดูฟีเจอร์

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.