Проблемът с квази-PII

Член 4 от GDPR определя личните данни като „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“. Ключовата дума е „идентифицируем“ — не само идентифициран в момента, но способен за идентифициране чрез допълнителна обработка. Стойност, която не идентифицира директно, но може да бъде свързана с реално лице чрез вътрешни системи, са лични данни съгласно GDPR.

Вътрешните идентификатори на служители са най-честият пример. „EMP-EU-123456“ не идентифицира директно никого. Но базата данни за човешки ресурси съдържа таблица: EMP-EU-123456 → Мария Шмид, старши инженер, Мюнхен. Всеки документ, съдържащ EMP-EU-123456, може да бъде свързан с Maria Schmidt от всеки, който има достъп до базата данни за човешки ресурси. Съгласно GDPR, EMP-EU-123456 са лични данни — това е информация, свързана с физическо лице, което може да бъде идентифицирано.

Същият анализ се отнася за номерата на клиентски сметки (свързване към CRM записи), кодове на проекти (свързване към самоличността на клиента в бази данни с договори), вътрешни референтни номера за правни въпроси (свързване към участниците в случая в DMS) и номера на медицински досиета във външни системи (свързване към досиета на пациенти в ЕЗД на болницата).

Организации, които анонимизират очевидната PII (имена, имейл адреси, национални идентификатори), но оставят вътрешните идентификатори недокоснати, не са постигнали анонимизация, съвместима със GDPR. Те са постигнали деанонимизация в две стъпки, а не в една - изисквайки от нападател (или прекалено любопитен служител) да се консултира с базата данни за човешки ресурси, вместо да чете директно документа.

Пропускът в покритието на практика

Годишният доклад GDPR на DLA Piper за 2025 г. установи, че 34% от всички глоби GDPR включват неадекватни технически мерки съгласно член 32 — изискването за прилагане на подходящи технически предпазни мерки. Неадекватната анонимност, включително невъзможността да се открият и премахнат квазиидентифициращи вътрешни идентификатори, е документирана категория нарушения на член 32.

EDPB обработи 900+ случая на механизъм за съгласуваност през 2024 г., което отразява нарастващия обем на координация на правоприлагането в държавите-членки на ЕС. Трансгранично правоприлагане (когато водещият надзорен орган в една държава се координира с други) означава, че нарушение на член 32 в набор от данни, споделен през границите на ЕС, може да предизвика координирано прилагане.

Решението за модел без код

За екипа за съответствие на глобална логистична компания, който анонимизира записи на служители за външен одит на човешките ресурси:

Идентификационните номера на служители следват формата EMP-[REGION]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. Екипът за съответствие предоставя 3 примера на помощника на AI модела. AI връща: открит модел EMP-[A-Z]{2,4}-d{6}; отговаря на всички дадени примери; предложено име на обект: EMPLOYEE-ID; тествайте срещу крайни случаи, включително различни регионални кодове.

Екипът тества срещу 10 допълнителни проби, включително EMP-DACH-000001 и EMP-APAC-999999. Моделът се валидира правилно. Персонализираният обект се записва в GDPR предварителна настройка за съответствие, споделена с всички членове на екипа. Всичките 47 документа в пакета за одит на човешки ресурси се обработват на една партида. Всички идентификатори на служители се заменят с псевдоними, базирани на роли. Одиторската фирма получава документи, които не могат да бъдат свързани с отделни служители чрез вътрешна база данни.

Източници: