anonym.legal
Zpět na blogGDPR a shoda

ÚOOÚ Česká republika: Rodné číslo, kódování pohlaví a...

České rodné číslo kóduje pohlaví prostřednictvím kódování měsíce s offsetem 50 — čímž se stává zvláštní kategorií dat podle článku 9 GDPR.

April 21, 20267 min čtení
Czech ÚOOÚrodné číslo detectionCzech GDPR compliancemanufacturing data protectionCentral Europe

Český Úřad pro ochranu osobních údajů (ÚOOÚ) vydal v roce 2024 58 rozhodnutí o vymáhání. V několika případech se objevuje jeden společný závěr: rodné číslo bylo zpracováváno bez detekce, protože nasazený nástroj pro PII byl nakonfigurován pro německý nebo anglický jazyk a postrádal logiku specifickou pro české identifikátory. Pokyny ÚOOÚ jsou jasné — nástroje musí implementovat detekci rodného čísla s ověřením kontrolního součtu a správným zpracováním kódování pohlaví.

Rodné číslo: zvláštní kategorie dat podle struktury

Formát rodného čísla (zkráceně RČ): RRMMDD/XXXX kde:

  • RR = poslední dvě číslice roku narození
  • MM = měsíc narození (ženy: přičteno 50 — měsíc 01 se stává 51, měsíc 12 se stává 62)
  • DD = den narození
  • XXXX = pořadové číslo (3-4 číslice) + kontrolní číslice (modulus 11)

Kódování ženského měsíce (MM + 50) dělá rodné číslo strukturálním ukazatelem biologického pohlaví. To není náhodné — český systém civilní evidence záměrně vkládá pohlaví do čísla pro účely správního vyhledávání. Článek 9 GDPR se vztahuje na data „odhalující" charakteristiky fyzických osob — přičemž pohlaví je jednou z nich. Výklad ÚOOÚ: každý dokument obsahující rodné číslo de facto obsahuje data přibližná zvláštní kategorii vyžadující zvýšenou ochranu.

Kontrolní číslice: Pro rodná čísla s 10 číslicemi (vydaná po roce 1954) kontrolní číslice zajišťuje, že celé 9místné číslo je dělitelné 11. Pro 9místná čísla (před rokem 1954) se žádná kontrolní číslice nepoužívá. Nástroje musí zpracovávat obě varianty.

Technické pokyny ÚOOÚ: Co znamená „adekvátní detekce"

Technické pokyny ÚOOÚ z roku 2024 pro české nástroje PII specifikují:

Zpracování genderového offsetu: Nástroje musí správně identifikovat čísla rodného čísla s hodnotami měsíce 51-62 (ženské kódování) jako platné RČ, nikoli je chybně parsovat jako neplatná data. Většina českých dospělých žen má rodná čísla s hodnotami měsíce 51-62 — nástroje, které je odmítají jako „neplatný formát data", přehlíží přibližně polovinu primárního identifikátoru české ženské populace.

9místné vs. 10místné: Narozeni před rokem 1954 používají 9místná rodná čísla bez kontrolní číslice. Po roce 1954 se používají 10místná čísla s kontrolní číslicí. Nástroje musí podporovat oba formáty.

Detekce kontextu: V českých jazykových dokumentech se rodné číslo obvykle vyskytuje v jednom z několika kontextů: „Rodné číslo:", „RČ:", „r.č.:", nebo je vloženo ve formulářích. Českojazyčná NER pomáhá identifikovat tyto kontexty i tehdy, když dokument není explicitně strukturován.

Český výrobní kontext: Konfigurace německé mateřské společnosti

67 % českých podniků nasazuje nástroje PII nakonfigurované pro němčinu nebo angličtinu — dokumentováno v průzkumu ÚOOÚ. Selhání ve výrobě v České republice:

  1. Německá mateřská společnost nasadí nástroj pro skenování PII integrovaný se SAP nakonfigurovaný pro německé identifikátory
  2. Česká HR data (pracovní smlouvy, zdravotní záznamy, mzdové účetnictví) obsahují rodná čísla
  3. Německý nástroj neimplementuje logiku rodného čísla — přehlíží všechna česká rodná čísla zaměstnanců
  4. Zdravotní a mzdová data českých zaměstnanců jsou zpracovávána bez ochrany na úrovni identifikátoru, kterou ÚOOÚ vyžaduje
  5. V případě úniku dat nebo auditu ÚOOÚ nemůže česká pobočka prokázat „vhodná technická opatření" podle článku 32 GDPR

ÚOOÚ považuje českého správce (místní pobočku) za odpovědného — nikoli německého dodavatele nástroje. Obhajoba, že „naše mateřská společnost vybrala tento nástroj", nesplňuje požadavek odpovědnosti GDPR.

Kontrolní seznam souladu pro českou výrobu

Pro české výrobní a průmyslové organizace s nástroji německé mateřské společnosti:

  • Detekce rodného čísla: Oba formáty 9místné a 10místné, se zpracováním měsíce s genderovým offsetem (50+), s kontrolní číslicí modulus-11 pro 10místné varianty
  • Českojazyčná NER: spaCy cs_core_news nebo ekvivalent — o 23 % nižší přesnost než němčina pro generické nástroje; modely specifické pro češtinu tento rozdíl překlenují
  • Číslo OP (občanský průkaz): Detekce 9znakového čísla průkazu totožnosti
  • IČO/DIČ: Obchodní identifikační čísla a daňová registrační čísla ve smlouvách
  • Vícejazyčný pipeline: Česko + německé + anglické zpracování pro smíšenojazyčná prostředí výrobních dokumentů

Vzor vymáhání ÚOOÚ ukazuje, že české výrobní organizace, které mohou prokázat tyto schopnosti v reakci na dotazník auditu — s technickými důkazy, nikoli jen prohlášeními o zásadách — dostávají výrazně nižší sankce než ty, které nemohou.

Zdroje:

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce