Румънският Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) наблюдава трансформацията на съответствието в един от най-бързо развиващите се технологични и аутсорсинг сектори в ЕС. Букурещ, Клуж-Напока и Яш обработват данни на граждани на ЕС от Германия, Франция, Обединеното кралство и Холандия в мащаб – и прилагането на ANSPDCP рязко нараства.
ANSPDCP е наложил 1,8 милиона евро под формата на глоби GDPR между 2022 г. и 2024 г., като BPO/аутсорсинг секторът представлява най-високата концентрация на дела за принудително изпълнение.
Румънският BPO GDPR профил на експозиция
**Обработка на лични данни в голям обем: ** Центровете за обаждания, обработващи спорове за таксуване, обработват имена, адреси, номера на сметки, история на плащанията и данни за използване на услугата. Услугите за ИТ поддръжка имат достъп до системни конфигурации на клиенти, съдържащи лични данни.
Данни за граждани на ЕС в румънски ръце: Субектите на данни са предимно германски, френски, холандски или британски граждани. Когато нещата се объркат, засегнатите субекти на данни ескалират до своя домашен DPA - създавайки трансгранично излагане на правоприлагане от BfDI, CNIL, ICO или AP NL в допълнение към юрисдикцията на ANSPDCP.
**Сложност на веригата на подпроцесора: ** ANSPDCP установи, че 45% от румънските предприятия нямат адекватни споразумения за обработка на данни с техните подпроцесори. DPA трябва да посочват техническите мерки, които подпроцесорът ще приложи.
**Неуспешно отнемане на достъп: ** BPO секторите имат високо текучество на служители. ANSPDCP многократно установява, че бивши служители запазват активни идентификационни данни седмици след напускане – повтарящо се нарушение в румънските случаи на принудително изпълнение.
CNP: основният PII идентификатор на Румъния
Cod Numeric Personal (CNP) е 13-цифрен национален идентификационен номер, кодиращ:
- Цифра 1: Пол и век (1=мъж 1900-1999, 2=жена 1900-1999, 5=мъж 2000+, 6=жена 2000+, 7=мъж чужденец, 8=жена чужденец)
- Цифри 2-7: Дата на раждане (YYMMDD)
- Цифри 8-9: Код на окръг на раждане
- Цифри 10-12: Пореден номер
- Цифра 13: Контролна цифра (претеглен модул 11)
CNP кодира пол, дата на раждане, регион на раждане и статус на гражданство - което го прави много по-богат на лична информация от повечето западноевропейски идентификатори. ANSPDCP класифицира CNP като изискващ повишена защита, наближаващ статут на специална категория.
Проблемът с откриването: Прегледът на прилагането на ANSPDCP от 2024 г. установи, че 78% от инструментите за лична информация, внедрени в румънския аутсорсинг, не успяват да открият CNP с правилно валидиране на контролната сума. Последиците:
- CNP номерата в клиентските записи, файловете на служителите и сканираните копия на ID остават незабелязани
- Данните, споделени със западноевропейските компании майки за анализи или обучение за AI, съдържат румънски граждани, които могат да бъдат идентифицирани
- Анализ след нарушение разкрива излагане на CNP в данни, сертифицирани като "анонимизирани"
ANSPDCP Приоритети за правоприлагане за 2024-2025 г.
**Аудиозапис от кол център: ** ANSPDCP има насочени практики за запис, които нямат подходящи графици за задържане или контрол на достъпа. Записи, задържани „за неопределено време за съответствие“ без документирана цел и графици за изтриване, нарушават GDPR.
**Аутсорсинг на здравни данни: ** Румънските компании, обработващи медицински досиета, застрахователни искове или данни за рецепти за западноевропейски клиенти, са изправени пред най-голям риск от глоби. Здравните данни (специална категория по член 9) изискват изрично правно основание, DPIA, и засилени технически мерки.
Контрол на достъпа и регистриране: ANSPDCP одитите последователно идентифицират неадекватно регистриране — организациите не могат да демонстрират какви данни са били достъпни, от кого и кога. За румънските BPO компании, обработващи данни на клиенти от ЕС, регистрационните файлове за достъп трябва да бъдат достатъчно изчерпателни, за да определят обхвата на нарушението в случай на инцидент.
Румънски език: липсващият слой
Освен CNP, румънските документи съдържат идентификатори, които общите инструменти пропускат:
Cartea de identitate (CI): Румънска национална лична карта с уникален формат на номера. Сканираните копия във файловете за регистрация на клиента изискват откриване.
NER на румънски език: Кореспонденцията на клиентите, билетите за поддръжка и вътрешните документи на румънски език изискват обработка на естествен език на румънски език. Инструментите, разчитащи на английски NLP, приложен към румънски текст, се представят значително по-слабо.
**Формати на адреси: ** Конвенциите за адреси в Румъния („Strada,“ „Bulevardul,“ „Numărul“) се различават от западноевропейските формати и често се използват неправилно от модели NLP, обучени на английски или немски.
За румънски аутсорсинг организации: CNP откриване с валидиране на контролна сума, откриване на румънска национална лична карта и паспорт, NER на румънски език и управление на документиран подпроцесор са четирите възможности, които отговарят на стандарта за техническа адекватност на ANSPDCP.
Източници: