Зростання DSAR: пакетна обробка для відповідності GDPR
Стаття 12 GDPR встановлює місячний дедлайн. Організації повинні відповідати на Запити суб'єктів даних на доступ протягом 30 днів. Складні справи отримують продовження на 60 днів. Відлік починається з моменту отримання. Пільгового періоду немає. Пропуск дедлайну сам по собі є порушенням.
У 2024 році штрафи органів захисту даних широко розповсюдили знання про права. Ірландський орган захисту даних оштрафував LinkedIn на 310 мільйонів євро за використання поведінкової реклами без дійсної згоди. Він оштрафував Meta на 251 мільйон євро за несвоєчасне повідомлення про витік даних. Кожен штраф супроводжувався інформаційною кампанією. Більше людей дізналися про свої права. Обсяги DSAR зросли.
Скоординоване правозастосовче середовище EDPB 2024 було спрямоване на порушення права доступу. Організації, які не можуть продемонструвати чисті записи щодо DSAR, тепер зазнають більш ретельної перевірки.
Ознайомтеся з нашим оглядом відповідності та практиками безпеки щодо того, як ми підтримуємо зобов'язання GDPR.
Проблема персональних даних третіх осіб
Відповіді на DSAR створюють одну конкретну проблему: персональні дані третіх осіб.
Суб'єкт даних запитує всі записи про нього. Ці записи можуть містити згадки про інших людей. Службова нотатка може включати номер телефону іншого клієнта. Ланцюжок електронних листів може показувати адресу колеги. Запис скарги може згадувати третю сторону. Надсилання цих записів розкриває дані інших людей. Це є окремим порушенням їхніх прав.
Ви повинні перевірити кожен документ. Ви повинні видалити посилання на треті сторони перед надсиланням. Телекомунікаційна компанія з 300 DSAR на місяць має приблизно 50 документів на запит. Це 15 000 документів щомісяця — лише для відповідності вимогам DSAR.
Команда з трьох осіб не може з цим впоратися. Ручна перевірка не вписується в місячне вікно при такому масштабі.
Архітектура пакетної обробки
Пресет для відповіді на DSAR вирішує це. Пресет сканує кожен документ. Він знаходить усі імена осіб, контактні дані та інші ідентифікатори. Він анонімізує кожне відповідне значення, крім тих, що належать особі, яка зробила запит. Ви вводите ім'я цієї особи та номер рахунку на початку завдання.
Інші клієнти, згадані у записах, анонімізуються. Співробітники, згадані в нотатках про обслуговування, анонімізуються. Треті особи в електронних листах анонімізуються. Все це відбувається до того, як пакет документів буде зібрано.
Обробка 50 документів займає хвилини — а не години. Команда з питань відповідності перевіряє вивід на предмет граничних випадків. Час відповіді скорочується з тижнів до днів.
Відвідайте нашу сторінку сутностей, щоб побачити, які типи даних пресет виявляє за замовчуванням.
Що важливо для захищеного робочого процесу
Три речі роблять робочий процес DSAR захищеним.
Швидкість. Інструменти пакетної обробки усувають вузьке місце, яке спричиняє затримки при великих обсягах.
Точність. Пресет повинен видаляти персональні дані третіх осіб, не торкаючись власних записів суб'єкта даних. Правильно налаштований пресет обробляє цю відмінність.
Журнал аудиту. Стаття 5(2) вимагає доказів відповідності. Пакетні запуски записують, які документи були оброблені, який пресет використовувався та коли. Цей журнал є вашим доказом.