Mimo SSN: Anonymizace interních ID vaší organizace
Váš nástroj GDPR odstraňuje e-mailové adresy. Odstraňuje telefonní čísla. Odstraňuje jména. Spouštíte přes něj exporty z podpory. Pak sdílíte výstup s vaším analytickým týmem.
Čísla zákaznických účtů jsou stále v každém lístku. ID objednávek jsou tam stále. Interní ID uživatelů jsou tam také.
Tato ID sama o sobě vypadají nevinně. Bez vyhledávací tabulky nepojmenují osobu. Ale váš analytický tým tu tabulku má. Váš CRM ji má. Vaše podpůrná databáze ji má. Kdokoli s přístupem může najít osobu během vteřin.
To je selhání GDPR. Nástroj neohlásil chybu. Prostě mu nebylo řečeno, aby hledal vaše ID.
Co standardní nástroje PII detekují
Standardní nástroje PII pokrývají universální formáty. Zachytí to, co používá každá organizace.
Standardní nástroje detekují:
- Čísla sociálního pojištění (US SSN, UK NINO, formáty národních ID EU)
- E-mailové adresy
- Telefonní čísla
- Čísla kreditních karet
- Jména
- Čísla pasů a řidičských průkazů
Standardní nástroje nedetekují:
- ID zaměstnanců ve vašem formátu EMP-XXXXX
- Čísla zákaznických účtů ve vašem formátu ACC-XXXXXXXX-XX
- ID objednávek ve vašem formátu ORD-XXXXXXX
- Interní ID uživatelů ve formátu UUID nebo vlastním formátu
- Referenční kódy specifické pro partnery
Standardní nástroje nacházejí universální vzory. Vaše interní ID nejsou universální. Potřebují vlastní nastavení, aby byla nalezena.
Riziko re-identifikace
Firma exportuje podpůrné lístky pro kontrolu kvality. Standardní odstranění PII odstraní jména, e-maily a telefonní čísla. Čísla účtů ve formátu ACC-XXXXXXXX-XX nejsou dotčena.
Export jde analytickému týmu. Analytik spojí tabulku lístků se zákaznickou databází přes číslo účtu. Osoba je okamžitě nalezena. Není potřeba žádný speciální trik. Jedná se o rutinní SQL spojení.
Článek 4 odst. 5 GDPR definuje pseudonymizaci jako zpracování, kde data „již nemohou být přiřazena konkrétnímu subjektu údajů bez použití dalších informací.” Čísla účtů tento test nesplňují. Další informace — vaše zákaznická databáze — jsou přímo ve vaší organizaci.
„Anonymizovaný” export nebyl anonymní.
Vytváření vzorů vlastních entit
Nastavení vlastní entity je rychlé. Compliance týmy to mohou provést bez pomoci inženýrů.
Krok 1: Vypište vaše formáty ID.
Zapište každý z nich. Například: účet ACC-XXXXXXXX-XX, ID objednávky ORD-XXXXXXX, ID zaměstnance EMP-XXXXX.
Krok 2: Popište formát v přirozeném jazyce.
„Čísla účtů začínají ACC, pak pomlčka, pak 8 číslic, pak pomlčka, pak 2 velká písmena.”
Generování vzoru s pomocí AI vrátí: `ACC-\d{8}-[A-Z]{2}`
Krok 3: Otestujte na vzorových datech.
Nahrajte 20 až 30 dokumentů. Potvrďte, že jsou nalezeny všechny výskyty. Potvrďte, že se nevyskytují žádné falešné shody.
Krok 4: Zvolte metodu.
Pro ID používaná jako klíče pro spojení, kde analýza potřebuje propojovat záznamy:
- Pseudonymizujte. Nahraďte ACC-00123456-AB za ACC-99876543-XY pokaždé. Stejný vstup vždy poskytne stejný výstup. Spojení stále fungují. Původní hodnotu nelze nalézt bez klíče.
Pro ID nepotřebná v analýze:
- Vyredigujte. Nahraďte za [REDACTED]. Jednoduché. Trvalé.
Krok 5: Uložte jako sdílený preset.
Uložte vlastní entitu — nebo jejich sadu — do sdíleného presetu. Nastavení se použije pro veškeré použití: dávkové nahrávání, volání API, rozhraní prohlížeče. Noví členové týmu okamžitě dostanou celou konfiguraci.
Případová studie: 180 000 podpůrných lístků
Firma nalezla 180 000 podpůrných lístků v jejich analytickém skladu. Jména a e-maily byly odstraněny. Čísla účtů nikoli. Každý lístek stále obsahoval živou hodnotu ACC-XXXXXXXX-XX.
Časová osa řešení:
- Compliance officer definuje vzor ACC — 15 minut
- Testuje na 30 vzorových lístcích — 20 minut
- Potvrdí přesnost — 10 minut
- Zpracuje 180 000 lístků v nočním dávkovém spuštění
- Nahradí tabulky ve skladu čistými verzemi
Celkový čas pro compliance officera: 45 minut. Bez podpory vlastních entit by oprava vyžadovala inženýrský tiket, code review a nasazení. To trvá týdny, nikoli hodiny.
Pro podrobnější pohled na to, jak vlastní ID vytvářejí riziko v nástrojích AI podpory, viz průvodce GDPR a AI podpory.
Kde se interní ID šíří
Interní ID se objevují na více místech, než většina týmů očekává.
Interní dokumenty:
- Poznámky ze schůzek s odkazy na čísla účtů nebo objednávek
- E-mailové vlákna o zákaznických případech
- Prezentace s daty případových studií
Sdílené se třetími stranami:
- Zprávy regulátorům s referenčními čísly případů
- Auditní soubory s zákaznickými referencemi
- Soubory dodavatelů obsahující zákaznická ID
Výzkum a analytika:
- Datasety zákaznické cesty
- Exporty kontroly kvality podpory
- Trénovací data pro interní ML modely
Každý kontext potřebuje stejné nastavení vlastní entity pro vytvoření skutečně anonymního výstupu.
Pseudonymizace vs. anonymizace
GDPR stanoví jasnou hranici.
Pseudonymizace nahradí ID náhradami. Původní osobu lze znovu nalézt, pokud má někdo vyhledávací tabulku. Tato data jsou stále osobními údaji. Snižuje riziko. Neodstraňuje vaše povinnosti podle GDPR.
Anonymizace odstraňuje schopnost re-identifikace. Anonymní data nejsou osobními údaji. GDPR se na ně nevztahuje.
Čísla účtů a ID objednávek jsou pseudonymní, když existují vyhledávací tabulky. Jejich nahrazení pevnými náhradami snižuje riziko, ale GDPR stále platí. Jejich nahrazení náhodnými tokeny — a smazání klíče — odstraňuje povinnost GDPR, ale přeruší analytiku založenou na spojení.
Pro sdílení se třetími stranami, které nemají vaše vyhledávací tabulky: pseudonymizace může být dostačující. Pro interní analytiku jsou potřeba plná anonymizace nebo přísné kontroly přístupu. Průvodce právní compliance popisuje, jak dokumentovat každý přístup pro vaše ROPA.
Závěr
Mezera není selháním nástroje. Je to mezera v nastavení. Žádný nástroj nemůže znát formát vašeho čísla účtu, pokud mu to neřeknete.
Nastavení vlastní entity tuto mezeru uzavírá během hodin. Compliance týmy definují formáty, testují je na vzorových datech a aplikují je napříč všemi režimy použití. Pomoc inženýrů není potřeba.
180 000 nevyredigovaných čísel účtů tam nebylo proto, že nástroj selhal. Bylo to proto, že nástroji nebylo nikdy řečeno, aby je hledal.