Rumunská Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) dohlíží na transformaci souladu v jednom z nejrychleji rostoucích technologických a outsourcingových sektorů EU. Bukurešť, Kluž-Napoca a Iași zpracovávají data občanů EU z Německa, Francie, Velké Británie a dalších zemí EU jako outsourcingové centrum pro zákaznický servis, IT a finanční operace.
CNP: Rumunský osobní číselný kód
Codul Numeric Personal (CNP) je 13místný rumunský identifikátor ve formátu:
S YY MM DD CC NNN C
Kde:
- S = 1 číslice: pohlaví a století (1=muž 1900-1999, 2=žena 1900-1999, 3=muž 1800-1899, 4=žena 1800-1899, 5=muž 2000+, 6=žena 2000+, 7-9=cizinci a rezidenti)
- YY = 2 číslice: rok narození
- MM = 2 číslice: měsíc narození
- DD = 2 číslice: den narození
- CC = 2 číslice: kód kraje (01-46 pro rumunské kraje, 51-52 pro Bukurešť)
- NNN = 3 číslice: pořadové číslo v rámci jednoho dne/kraje/pohlaví
- C = 1 číslice: kontrolní číslice (vážený součet mod 11)
CNP kóduje pohlaví, datum a místo narození — čímž jej ANSPDCP klasifikuje jako vyžadující zvláštní kategorii ekvivalentní zacházení.
BPO sektorový expozice: 2,3 milionu záznamů denně
Rumunský BPO sektor (obchodní zpracování procesů) zpracovává odhadem 2,3 milionu záznamů zákazníků EU denně prostřednictvím:
- Operací zákaznického servisu pro německé, francouzské a britské zákazníky
- IT operací, vývoje a testování softwaru pro mezinárodní klienty
- Zpracování financí a účetnictví
- Zdravotnické kódování a zpracování pojišťovacích nároků
Každý z těchto pracovních postupů přijímá dokumenty obsahující osobní data EU — jména zákazníků, adresy, čísla účtů — spolu s jejich CNP, pokud se jedná o rumunské zákazníky, nebo ekvivalentními identifikátory pro zákazníky jiných zemí EU.
Vymáhání ANSPDCP: 2022-2024
ANSPDCP vydala pokuty v hodnotě 1,8 milionu EUR v letech 2022-2024, přičemž v roce 2024 se pace vymáhání zvyšuje. Vzory vymáhání:
BPO smluvní soulad: ANSPDCP zjistila, že mnoho smluv BPO s mezinárodními klienty neobsahuje adekvátní Smlouvy o zpracování dat (DPA) splňující požadavky článku 28 GDPR. Smlouva o zákaznickém servisu, která neobsahuje DPA, vystavuje jak klienta, tak BPO poskytovatele odpovědnosti.
Technická opatření: ANSPDCP zjistila, že „vhodná technická opatření" podle článku 32 GDPR vyžadují více než jen přihlašovací kontroly — specificky vyžaduje anonymizaci nebo pseudonymizaci osobních dat při jejich přenosu a zpracování.
CNP v protokolech zákaznického servisu: Hovory zákaznického servisu, e-maily a chat transkripty, které uchovávají CNP zákazníka, jsou rutinním porušením principu minimalizace dat — zejména pokud CNP není nezbytný pro konkrétní interakci podpory.
Technická mezera: 78 % nástrojů přehlíží CNP
ANSPDCP technická posouzení v roce 2024 zjistila, že 78 % nasazených PII nástrojů v rumunském BPO přehlíží CNP bez řádné validace. Důvody:
- 13místný formát CNP je zaměňován s čísly objednávek, kódy produktů a jinými numerickými sekvencemi
- Kontrolní číslice (mod-11 vážený součet) vyžaduje specifickou implementaci — nástroje bez validace kontrolní číslice generují vysoké míry falešných pozitivů
- Kódování pohlaví/století (číslice S) vyžaduje kontextové porozumění — platné CNP hodnoty S jsou 1-9, ale různé hodnoty označují různá století a kategorie státní příslušnosti
Implementační kontrolní seznam pro BPO
Pro rumunské BPO poskytovatele:
- Detekce CNP: 13místný formát s validací kontrolní číslice (vážený součet mod-11), kódováním pohlaví/staletí (S=1-9) a validací kódu kraje (CC=01-46, 51-52)
- Vícejazyčný pipeline: Rumunština + němčina + angličtina + francouzština pro smíšenojazyčná prostředí zákaznického servisu
- Anonymizace přenosu dat: Protokoly volání, e-maily, chat transkripty musí mít CNP anonymizovány před úložištěm
- DPA přezkum smluv: Klientské smlouvy musí obsahovat smluvní doložky kompatibilní s článkem 28 GDPR
Zdroje: