GDPR и стари сканирани файлове: OCR за лични данни
Актуализирано за 2026 г.
При GDPR одитите редовно се открива един и същ скрит риск: стари архиви с PDF файлове на базата на изображения.
Адвокатски кантори пазят 20-годишни сканирани клиентски досиета. Болниците съхраняват десетилетия пациентски формуляри. Държавните органи пазят сканирани документи. Банките разполагат с изображения на кредитни досиета.
Тези архиви имат една обща черта. Файловете са растерни изображения -- сканирани PDF, TIFF или JPEG. Няма текстов слой. Стандартните инструменти за лични данни не могат да ги прочетат. За повечето инструменти за анонимизация тези файлове просто не съществуват.
Често срещано схващане: "Това са файлове с изображения -- GDPR не важи за тях."
Член 17(1) от GDPR дава на хората право на заличаване. Съображение 26 гласи, че анонимизацията премахва личната информация от обхвата. Нито едното, нито другото предвижда изключение за формати на изображения. Адвокатска кантора, която не може да изпълни искане за заличаване на 15-годишно клиентско досие, има пропуск в съответствието. Тя няма изключение.
Вижте нашия преглед на съответствието и практики за сигурност за това как поддържаме GDPR.
Как работи конвейерът за откриване
Процесът протича в три етапа.
Етап 1 -- OCR
OCR двигателят чете изображението и извлича текст. Записва позицията на всяка дума. Резултатът е машинно четим текст с координати. Точността намалява при ръкописен текст, избледнело мастило или стари шрифтове.
Етап 2 -- NLP разпознаване на обекти
Разпознаването на именовани обекти (NER) сканира OCR текста. Открива имена на лица, организации и места. Съпоставянето с шаблони добавя ЕГН, телефонни номера и номера на сметки. Всяко попадение получава оценка на доверие.
Етап 3 -- Анонимизация
Откритите обекти се заменят в текстовия изход. Оригиналното изображение не се променя. Промяната на изображението изисква отделен инструмент за заличаване. Анонимизираният текст поддържа искания за заличаване, отговори на DSAR и записи за съответствие.
Модерните OCR двигатели постигат 98-99% точност по знакове при чисто отпечатан текст. Ръкописният текст или влошените сканирания падат до 85-92%. Точността на ниво обект обикновено е по-висока от тази на ниво знак. Едно име може да бъде разпознато дори когато някои букви са грешни.
Практическият извод: точността на OCR влияе на това колко обекта улавяте. Тя не определя дали методът работи. Дори при 90% точност откривате повечето имена и номера. Все пак са необходими нива на качество. Самият метод е надежден.
Обработка на голям архив
Големите стари архиви следват работен процес от четири фази.
Фаза 1 -- Инвентаризация: Изброявате всички архиви с изображения. Отбелязвате изходната система и диапазона от дати. Поставяте напред записите с висок риск от заличаване. Клиентски файлове преди вътрешни.
Фаза 2 -- Пакетна обработка: Изпълнявате OCR и засичане на лични данни на партиди. Обичаен размер са пет до десет хиляди файла на партида. Обработката върви нощем. Резултатът е доклад за лични данни и анонимизиран текстов извлек за всеки файл.
Фаза 3 -- Изпълнение на заличавания: Субектът изпраща искане с имената си и периода. Търсите в анонимизираните извлеци за техните токени. Намирате файловете. Заличавате ги. Вписвате действието в дневника.
Фаза 4 -- Текущо съответствие: Пускате новите сканирани файлове през същия конвейер преди да ги архивирате. Пазете доклади за личните данни като доказателство по член 30 за Регистрите на дейностите по обработване.
Казус: Архив на адвокатска кантора
При одит на адвокатска кантора бяха открити 80 000 PDF клиентски договора на базата на изображения, сканирани от 1998 до 2010 г. Стандартните инструменти за лични данни не показаха нито едно засичане. Форматът на изображението беше невидим.
Петнадесет бивши клиенти бяха подали искания за заличаване през предходните 12 месеца. Кантората отговори: "Не можем да потвърдим, че вашите данни са заличени." Такъв отговор не отговаря на изискванията на член 17 от GDPR.
Какво направи кантората:
- Изпълни OCR и засичане на лични данни на всички 80 000 файла на партиди от по 5 000
- Обработката отне около три седмици
- Резултат: 80 000 анонимизирани текстови извлека с доклади за всеки файл
- Изграден е индекс с търсене, свързващ обектите с идентификаторите на файловете
След обработката:
- Намиране на файловете за един субект: средно 4 минути
- Файлове на искане: средно 6-8
- Време за заличаване на искане: 20-30 минути
Всичките 15 висящи искания бяха решени в рамките на 30 дни.
Ключовият момент: задължението за съответствие е съществувало преди обработката. Кантората просто не е разполагала с инструментите да го изпълни. Обработката на базата на OCR не е създала ново задължение. Тя е направила изпълнението на съществуващото задължение възможно.
Ограничения на OCR и нива на качество
Ръкописният текст има по-ниска OCR точност. Задайте по-нисък праг на доверие преди обработка на ръкописно съдържание.
Лошото качество на сканиране намалява оценките. Подобряването на контраста и изправянето помагат преди OCR обработката.
Необичайните оформления -- многоколонни страници, стари правни шрифтове -- могат също да дадат по-ниски оценки.
Задайте нива на качество за работа по съответствие:
- Над 95% точност на страницата: изпълнявайте автоматична обработка
- 80-95%: изпълнявайте автоматична обработка, след което ръчен преглед за маркираните обекти
- Под 80%: изпращайте за ръчен преглед
Нивовият подход дава на регулаторите ясен отговор как сте оценили надеждността. Повечето автоматични инструменти обработват файловете с висока увереност. Ръчна опашка обработва останалите. Пропускателната способност остава висока. Качеството на съответствие също остава високо.
Нашите ЧЗВ отговарят на общи въпроси за обработка на базата на OCR и изисквания за одитни записи.