DSAR Hacmi Problemi
GDPR Madde 12, kuruluşların Veri Sahibi Erişim Taleplerine bir ay içinde yanıt vermesini gerektirir; karmaşık talepler için iki aylık bir uzatma mümkündür. Bir aylık süre kesindir - herhangi bir hoşgörü süresi yoktur, iyi niyet istisnası yoktur. Yanıt sürelerine uyulmaması, temel veri koruma uygulamalarından bağımsız olarak bağımsız bir şekilde yaptırıma tabi tutulabilir.
2024 yılında büyük DPA uygulama eylemleri - İrlanda DPC'nin LinkedIn'e geçerli onay olmadan davranışsal reklamcılık için 310 milyon EUR cezası ve Meta'ya veri ihlali bildirim başarısızlıkları için 251 milyon EUR cezası - veri sahibi hakları konusunda önemli bir kamu bilinci oluşturdu. Her büyük ceza sonrasında, DPA'lar genellikle eşlik eden farkındalık kampanyaları yürütür ve veri sahipleri haklarını kullanma konusunda bilgi sahibi oldukça DSAR hacimleri artar.
EDPB'nin 2024 Koordine Edilmiş Uygulama Çerçevesi, erişim hakkı ihlallerine odaklandı - DSAR yanıtlarının kalitesini ve zamanlamasını doğrudan ele alıyor. Uyumlu DSAR işleme gösteremeyen kuruluşlar, EDPB'nin uygulama odağı erişim haklarına kaydıkça daha yüksek risk altındadır.
Üçüncü Taraf PII Problemi
DSAR yanıt hazırlığı, manuel iş yükünü artıran özel bir karmaşıklığa sahiptir: üçüncü taraf PII.
Bir veri sahibi kendisi hakkında tutulan tüm kişisel verileri talep ettiğinde, kuruluş bu bilgiyi sağlamalıdır. Ancak, veri sahibi hakkında tutulan kayıtlar diğer bireylerle ilgili referanslar içerebilir - diğer müşterileri belirten müşteri hizmetleri notları, diğer çalışanların iletişim bilgilerini içeren e-posta dizileri, üçüncü tarafları referans alan şikayet kayıtları. Bu kayıtların talep eden veri sahibine sağlanması, üçüncü tarafların kişisel verilerini haklarını ihlal ederek açığa çıkarır.
Uyumlu bir DSAR yanıtı, yanıt paketindeki her belgeyi üçüncü taraf PII için incelemeyi ve gönderimden önce bu referansları anonimleştirmeyi gerektirir. Aylık 300 DSAR'ye sahip bir telekomünikasyon şirketi için, her biri 50 hizmet notu ve iletişim içeren bu, yalnızca DSAR uyumu için aylık 15,000 belgeyi üçüncü taraf PII referansları açısından incelemek anlamına gelir.
Bu ölçekle manuel inceleme, Madde 12'nin bir aylık penceresi içinde mümkün değildir. Üç kişilik bir uyum ekibi, diğer yükümlülükleriyle birlikte aylık 15,000 belgeyi inceleyemez. Tek ölçeklenebilir yaklaşım, üçüncü taraf PII kaldırma için yapılandırılmış bir ön ayar ile otomatik toplu işlemektir.
Toplu İşlem Mimarisi
Üçüncü taraf PII kaldırma için yapılandırılmış bir "DSAR yanıtı" ön ayarı: ön ayar, belgelerdeki tüm kişi isimlerini, iletişim bilgilerini ve tanımlayıcı referansları tespit eder. Talep eden veri sahibine ait olanlar (toplu işin başlangıcında isim ve hesap numarası ile tanımlanan) hariç, tespit edilen tüm referanslara anonimleştirme uygular. Kayıtlardaki diğer müşteriler, hizmet notlarında belirtilen çalışanlar ve yazışmalarda bahsedilen üçüncü taraflar, veri sahibinin yanıtı için belge paketi derlenmeden önce anonimleştirilir.
Her DSAR talebi için 50 belgenin işlenmesi dakikalar alır, saatler değil. Uyum ekibi, ilk inceleme yapmak yerine kalitesi ve kenar durumları için anonimleştirilmiş çıktıyı gözden geçirir. DSAR yanıt süresi haftalardan günlere düşer.
Kaynaklar: