SAR Requests: cum am salvat o companie de o amendă de 6 milioane de euro

Ce este un SAR și de ce conteazăWhat is a SAR and why it matters

Un Subject Access Request (SAR) este dreptul legal al oricărei persoane de a cere unei organizații să îi furnizeze toate datele pe care le deține despre ea. Sub GDPR | atât în UK, cât și în UE | acest drept este absolut. Nu poți refuza, nu poți amâna la nesfârșit, nu poți livra ceva incomplet fără consecințe.

A Subject Access Request (SAR) is the legal right of any individual to ask an organisation for all the data it holds about them. Under GDPR | both in the UK and the EU | this right is absolute. You can't refuse, you can't delay indefinitely, and you can't deliver something incomplete without consequences.

Compania are o lună să răspundă. Poate extinde termenul la 3 luni, dar numai cu o justificare scrisă transmisă persoanei în prima lună. Dacă nu răspunzi corect și la timp, intri pe radarul autorității de supraveghere | în UK este ICO (Information Commissioner's Office), în România este ANSPDCP.

The company has one month to respond. It can extend to 3 months, but only with a written justification sent to the person within the first month. Fail to respond correctly and on time, and you're on the regulator's radar | in the UK that's the ICO, in Romania it's ANSPDCP.

Situația reală: 3 SAR-uri în 4 luniThe real situation: 3 SARs in 4 months

În cei peste 5 ani de activitate în MSP nu văzusem niciun SAR materializat. Erau o obligație teoretică despre care știam că există, dar care nu se întâmpla niciodată în practică. Apoi, la un singur client, au venit 3 în aproximativ 4-5 luni. Nu pot dezvălui contextul specific | confidențialitate | dar pot spune exact cum le-am tratat și de ce am reușit.

In 5+ years of MSP work I'd never actually seen a SAR land. They were a theoretical obligation I knew existed but that never materialised in practice. Then, for one client, 3 arrived in the space of 4-5 months. I can't share the specific context | confidentiality | but I can tell you exactly how we handled them and why we succeeded.

Vestea bună era că acel client era full cloud pe Microsoft 365: email în Exchange Online, documente în OneDrive și SharePoint, comunicații în Teams. Asta a transformat o potențială catastrofă logistică într-un exercițiu metodic de câteva zile.

The good news was that this client was fully cloud on Microsoft 365: email in Exchange Online, documents in OneDrive and SharePoint, communications in Teams. That transformed a potential logistical nightmare into a methodical few-day exercise.

„Dacă datele tale sunt împrăștiate pe NAS-uri, PC-uri locale și email de hosting, ai 30 de zile să faci ceea ce altora le ia luni. Și nu vei reuși." "If your data is spread across NAS drives, local PCs and hosting email, you have 30 days to do what takes others months. And you won't manage it."

Cum am rezolvat: Microsoft eDiscoveryHow we solved it: Microsoft eDiscovery

Microsoft 365 include un tool numit eDiscovery, disponibil din Microsoft Purview Compliance Portal. Cu el poți căuta simultan în toate resursele cloud ale organizației: emailuri Exchange, fișiere SharePoint și OneDrive, chat-uri Teams. Totul dintr-un singur loc, cu criterii precise și export complet.

Microsoft 365 includes a tool called eDiscovery, available from the Microsoft Purview Compliance Portal. With it you can search simultaneously across all cloud resources: Exchange emails, SharePoint and OneDrive files, Teams chats. Everything from one place, with precise criteria and complete export.

Procesul pe care l-am urmat:

The process we followed:

Am creat un case dedicat cu număr unic de referință pentru audit trail
Created a dedicated case with a unique reference number for the audit trail
Am definit criteriile: numele persoanei, adresa de email, orice identificatori relevanți
Defined criteria: the person's name, email address, any relevant identifiers
Am setat un timeframe specific | nu toată istoria companiei, ci intervalul relevant
Set a specific timeframe | not all company history, just the relevant period
Am limitat căutarea la anumiți useri | cei care aveau interacțiuni cu persoana respectivă
Scoped the search to specific users | those who had interactions with the data subject
Am exportat, am revizuit manual, am redactat informații despre terți
Exported, reviewed manually, redacted third-party information
Am documentat fiecare decizie | audit trail complet
Documented every decision | complete audit trail

Asta e esențial: nu e suficient să găsești datele. Trebuie să poți demonstra că ai căutat peste tot, că ai aplicat criterii corecte, că ai exclus date irelevante în mod justificat. ICO sau ANSPDCP nu vor doar răspunsul | vor dovada procesului.

This is critical: it's not enough to find the data. You need to be able to demonstrate that you searched everywhere, applied correct criteria, and excluded irrelevant data with justification. The ICO or ANSPDCP don't just want the response | they want proof of the process.

De ce a funcționat

Toată infrastructura era în Microsoft 365. Un singur tool, o singură căutare, un singur export. Dacă datele ar fi fost pe NAS-uri locale sau în Gmail, am fi avut 30 de zile să facem manual ceea ce eDiscovery face în 20 de minute.

All infrastructure was in Microsoft 365. One tool, one search, one export. If the data had been on local NAS drives or in Gmail, we'd have had 30 days to do manually what eDiscovery does in 20 minutes.

Scriptul PowerShell pentru fișiere localeThe PowerShell script for local files

Nu toată lumea are datele exclusiv în cloud. Mulți clienți mai au servere de fișiere locale, NAS-uri, sau documente pe PC-uri. Pentru aceste situații am adaptat un script PowerShell care face un lucru simplu dar valoros: caută în fișiere text și Office (.docx, .xlsx, .pptx) după doi termeni simultan și exportă un CSV cu toate rezultatele.

Not everyone has data exclusively in the cloud. Many clients still have local file servers, NAS drives, or documents on PCs. For these situations I adapted a PowerShell script that does one simple but valuable thing: searches text and Office files (.docx, .xlsx, .pptx) for two terms simultaneously and exports a CSV with all results.

Logica scriptului: Grupul A conține identificatorii persoanei (nume, email, CNP). Grupul B conține termeni de context (departament, proiect, perioadă). Un fișier apare în rezultate doar dacă conține cel puțin un termen din A și cel puțin un termen din B. Output-ul este un CSV cu path, dată modificare, dimensiune și ce termeni s-au potrivit | exact ce îți trebuie pentru audit trail.

The script's logic: Group A contains the person's identifiers (name, email, ID number). Group B contains context terms (department, project, time period). A file appears in results only if it contains at least one term from A and at least one from B. The output is a CSV with path, modification date, size and matched terms | exactly what you need for an audit trail.

Notă importantă

Scriptul este un punct de plecare, nu o soluție completă. Nu caută în emailuri, baze de date sau aplicații. Este util pentru servere de fișiere și documente locale ca prim pas de identificare. Rezultatele trebuie revizuite manual înainte de a fi incluse într-un răspuns SAR.

The script is a starting point, not a complete solution. It doesn't search emails, databases or applications. It's useful for file servers and local documents as a first identification step. Results must be manually reviewed before inclusion in a SAR response.

Cât costă o greșeală?What does a mistake cost?

Sub GDPR (UK și UE), amenzile pentru nerespectarea drepturilor persoanei vizate pot ajunge la 17.5 milioane de lire sau 4% din cifra de afaceri globală | oricare este mai mare. Dar suma maximă nu e cel mai important lucru de înțeles.

Under GDPR (UK and EU), fines for failing to respect data subject rights can reach £17.5 million or 4% of global annual turnover | whichever is higher. But the maximum figure isn't the most important thing to understand.

Amenzile mari nu vin pentru că cineva a uitat să trimită un email la timp. Vin pentru eșec organizațional sistemic: nu știi unde sunt datele, nu ai proceduri documentate, nu poți demonstra că ai respectat legea. Asta e diferența crucială dintre un IT pregătit și unul care improvizează.

Large fines don't come because someone forgot to send an email on time. They come from systemic organisational failure: you don't know where data lives, you have no documented procedures, you can't demonstrate compliance. That's the crucial difference between prepared IT and IT that improvises.

Suma de 6 milioane de euro menționată în titlu nu e o amendă primită de clientul meu | e o estimare a expunerii maxime la risc calculată din cifra de afaceri și tipul de incident. Nu au primit-o pentru că au răspuns corect și la timp. Exact asta contează.

The €6 million figure in the title isn't a fine my client received | it's an estimate of maximum risk exposure calculated from their turnover and incident type. They didn't receive it because they responded correctly and on time. That's exactly what matters.

De ce contează și în România, chiar dacă nu pareWhy this matters in Romania, even if it doesn't seem so

În România, SAR-urile sunt rare. Oamenii nu știu că au dreptul să le facă, sau nu se obosesc. Dar asta se schimbă rapid. Avocații au descoperit SAR-ul ca instrument legal eficient în litigii | fostul angajat supărat sau clientul nemulțumit pot depune un SAR ca primă mișcare tactică înainte de un proces.

In Romania, SARs are rare. People don't know they have the right to make them, or simply don't bother. But that's changing fast. Lawyers have discovered the SAR as an effective legal tool in disputes | a disgruntled former employee or unhappy client can file a SAR as a first tactical move before litigation.

Problema majoră a firmelor din România nu e că nu respectă GDPR intenționat. E că nici nu știu că nu pot respecta | datele sunt pe PC-uri locale, pe NAS-uri fără audit log, în Gmail sau email de hosting, pe WhatsApp. Dacă vine un SAR mâine, nu poți răspunde legal în 30 de zile. Nu fizic posibil.

The major problem with Romanian companies isn't intentional GDPR violation. It's that they don't even know they can't comply | data is on local PCs, on NAS drives without audit logs, in Gmail or hosting email, on WhatsApp. If a SAR arrives tomorrow, you can't legally respond in 30 days. Physically impossible.

Cum te pregătești înainte să vină un SARHow to prepare before a SAR arrives

Nu ai nevoie de infrastructură enterprise. Ai nevoie să poți răspunde la 3 întrebări simple în orice moment:

You don't need enterprise infrastructure. You need to be able to answer 3 simple questions at any moment:

Ce date ai despre o anumită persoană? | necesită mapare minimă de date
What data do you hold about a specific person? | requires basic data mapping
Unde sunt acele date? | inventar sisteme și locații
Where is that data? | systems and location inventory
Cum le extragi și le livrezi? | procedură documentată, testată
How do you extract and deliver it? | documented, tested procedure

Dacă ai Microsoft 365, ai deja 80% din soluție: eDiscovery pentru email și fișiere cloud, audit logs unificate în Purview, politici de retenție. Dacă mai ai și servere de fișiere locale, scriptul PowerShell disponibil mai jos acoperă restul ca punct de start.

If you have Microsoft 365, you already have 80% of the solution: eDiscovery for email and cloud files, unified audit logs in Purview, retention policies. If you also have local file servers, the PowerShell script available below covers the rest as a starting point.

Dacă vrei să înțelegi exact unde stai și ce ar trebui să schimbi, scrie-mi. Nu vând frică | vând claritate.

If you want to understand exactly where you stand and what needs to change, reach out. I don't sell fear | I sell clarity.