Реалността на изпълнението
Европейският съвет за защита на данните и националните надзорни органи оценяват съответствието на GDPR въз основа на резултати, а не на усилия. Организация, която добросъвестно е използвала инструмент за откриване на PII, но чийто инструмент систематично пропуска френски, немски и полски национални идентификатори, все още не е успяла да приложи „подходящи технически мерки“ съгласно член 32 на GDPR.
Защитата „ние използвахме инструмент“ не отговаря на стандарта, когато инструментът очевидно не може да открие типовете лични данни, присъстващи в данните на организацията.
Това не е хипотетичен риск. Надзорните органи, разследващи нарушения на сигурността на данните и неуспешни заявки за достъп на субекти на данни, рутинно проверяват техническите мерки, използвани за анонимизиране на данните. Когато проверката разкрие, че даден инструмент е ориентиран към английски език и обработва многоезични данни, изискването за „подходящи мерки“ става централен въпрос за прилагане.
Какво установяват надзорните органи
Данните за прилагане на GDPR от 2024 г. показват, че нарушенията по член 32 (технически и организационни мерки) представляват едно от най-честите основания за глоби. Организациите цитират автоматизираните инструменти за анонимизиране като част от тяхната документация за технически мерки - и надзорните органи проверяват дали тези инструменти действително работят за обработваните типове данни.
За многонационални работодатели, обработващи досиета на служители в държавите-членки на ЕС, излагането е систематично. Софтуерна платформа за човешки ресурси, която анонимизира данните на служителите преди аналитична обработка, може правилно да премахне PII на английски език, като същевременно остави френските номера на социалното осигуряване (NIR), немските данъчни идентификатори (Steuer-ID), шведските personnummers и полските PESEL номера непокътнати.
Организацията смята, че е въвела технически мерки. Надзорният орган установява, че 40% от личните данни в „анонимизирания“ набор от данни все още могат да бъдат идентифицирани чрез национални идентификатори, които разпознавателят на инструмента не е покрил.
Конкретните формати на идентификатори, които инструментите само на английски език пропускат
Структурните разлики между националните идентификатори на ЕС и американските/общи формати означават, че ориентираните към английския инструменти инструменти не успяват да ги открият надеждно:
Немски Steuer-Identifikationsnummer: 11-цифрен формат с алгоритъм за контролна сума. Не се открива от инструменти, които разпознават само американски SSN (9-цифрени) формати.
Френски NIR (numéro de sécurité sociale): 15-цифрен формат, кодиращ пол, година на раждане, отдел и контролен ключ. Не се открива от модели на общ телефонен номер или ID номер.
Swedish Personnummer: 10 или 12-цифрен формат с контролна цифра на Luhn. Форматът се променя за лица, родени преди 1990 г., което изисква познаване на формата, което нямат общите модели.
Полски PESEL: 11-цифрен формат, кодиращ рождена дата и пол. Без проверка на контролната сума честотата на фалшивите положителни резултати за откриване на PESEL е непосилно висока.
Организациите, обработващи тези данни, не са необичайни: всеки работодател в ЕС, фирма за финансови услуги, доставчик на здравни услуги или правителствена агенция, обработваща данни от германски, френски, шведски или полски лица, редовно среща тези идентификатори.
Стандартът за съответствие е базиран на резултати
Изискването на GDPR за „подходящи технически и организационни мерки“ (член 32) е базирано на резултатите, а не на усилията. Стандартът не е „организацията е използвала инструмент за откриване на PII“. Стандартът е „използваният инструмент постигна подходяща защита на обработваните лични данни“.
За организации, обработващи многоезични данни от ЕС, „подходящо“ означава, че Steuer-ID на немски клиенти се откриват и премахват в същата операция, която премахва имейл адресите на английски и телефонните номера в САЩ. Организация, която постига 95% премахване на PII за данни на английски език и 0% премахване на PII за немски национални идентификатори, не е приложила подходящи технически мерки за своите немски данни.
Инвестицията за спазване на изискванията в многоезични възможности не е по избор за организации с достъп до многоезични данни в ЕС. Това е компонент от техническите мерки, изисквани от GDPR.
За мултинационални организации, които оценяват дали текущият им инструмент отговаря на стандарта: тестът не е „може ли инструментът да открие имейл адреси на всеки език?“ Това е "може ли инструментът да открие форматите на националния идентификатор, присъстващи в нашите действителни данни?" За операции в ЕС със служители, клиенти или пациенти от Германия, Франция, Полша, Швеция или която и да е друга държава-членка на ЕС, този тест изисква специфично за юрисдикцията разпознаващо покритие.
Източници:
- [GDPR Член 32: Сигурност на обработването — технически и организационни мерки] (https://gdpr.eu/article-32-security-of-processing/)
- [Изисквания за техническо покритие на PII идентификатор на ЕС] (https://tabularis.ai/blog/eu-pii-safeguard/)
- [Многоезично изследване за откриване на PII: ефективност в локалите на ЕС] (https://arxiv.org/html/2510.07551v1)