Romanian Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) valvoo vaatimustenmukaisuuden muutosta yhdessä EU:n nopeimmin kasvavista teknologia- ja ulkoistusaloista. Bukarest, Cluj-Napoca ja Iași käsittelevät EU-kansalaisten tietoja Saksasta, Ranskasta, Isosta-Britanniasta ja Alankomaista suuressa mittakaavassa — ja ANSPDCP:n valvonta on voimakkaassa nousussa.
ANSPDCP määräsi 1,8 miljoonaa euroa GDPR-sakkoja vuosina 2022-2024, ja BPO/ulkoistusala edustaa suurinta valvontatapauksien keskittymää.
Romanian BPO:n GDPR-altistumisprofiili
Suuri määrä henkilötietojen käsittelyä: Puhelinpalvelukeskukset, jotka käsittelevät laskutuskysymyksiä, käsittelevät nimiä, osoitteita, tilinumeroita, maksuhistoriaa ja palvelun käyttödataa. IT-tukipalvelut pääsevät käsiksi asiakastietojärjestelmien kokoonpanoihin, jotka sisältävät henkilötietoja.
EU-kansalaisten tiedot Romanian käsissä: Tietojen kohteet ovat pääasiassa saksalaisia, ranskalaisia, alankomaalaisia tai brittiläisiä kansalaisia. Kun asiat menevät pieleen, asianomaiset tietojen kohteet eskaloivat kotimaansa DPA:han — mikä luo rajat ylittävää valvontariskiä BfDI:ltä, CNIL:ltä, ICO:lta tai AP NL:ltä ANSPDCP:n toimivallan lisäksi.
Alikäsittelijäketjun monimutkaisuus: ANSPDCP havaitsi, että 45 % Romanian yrityksistä ei omaa riittäviä tietojenkäsittelysopimuksia alikäsittelijöidensä kanssa. Sopimusten on määriteltävä tekniset toimenpiteet, joita alikäsittelijä toteuttaa.
Pääsyn peruuttamisen epäonnistumiset: BPO-sektoreilla on korkea työntekijöiden vaihtuvuus. ANSPDCP löytää toistuvasti, että entiset työntekijät säilyttävät aktiiviset käyttöoikeudet viikkoja lähtönsä jälkeen — toistuva rikkomus Romanian valvontatapauksissa.
CNP: Romanian pääasiallinen PII-tunnistin
Cod Numeric Personal (CNP) on 13-numeroinen kansallinen henkilötunnus, joka koodaa:
- Numero 1: Sukupuoli ja vuosisata (1=mies 1900-1999, 2=nainen 1900-1999, 5=mies 2000+, 6=nainen 2000+, 7=mies ulkomaalainen asukas, 8=nainen ulkomaalainen asukas)
- Numerot 2-7: Syntymäpäivämäärä (YYMMDD)
- Numerot 8-9: Syntymämaakoodi
- Numerot 10-12: Peräkkäinen numero
- Numero 13: Tarkistusnumero (painotettu modulus 11)
CNP koodaa sukupuolen, syntymäpäivämäärän, syntymäalueen ja kansalaisuusstatuksen — mikä tekee siitä paljon rikkaamman henkilökohtaisia tietoja kuin useimmat Länsi-Euroopan tunnistimet. ANSPDCP on luokitellut CNP:n vaatimaan lisääntynyttä suojaa, joka lähestyy erityisen luokan asemaa.
Tunnistusongelma: ANSPDCP:n 2024 valvontakatsaus havaitsi, että 78 % Romanian ulkoistuksessa käytetyistä PII-työkaluista epäonnistuu tunnistamaan CNP:tä asianmukaisella tarkistusnumerovahvistuksella. Seuraukset:
- CNP-numerot asiakastiedoissa, työntekijätiedostoissa ja henkilökorttiskannauksissa jäävät havaitsematta
- Tiedot, joita jaetaan Länsi-Euroopan emoyhtiöille analytiikkaa tai tekoälyn koulutusta varten, sisältävät tunnistettavia Romanian kansalaisia
- Tietomurtoanalyysi paljastaa CNP-altistumisen tiedoissa, joita on sertifioitu "anonymisoiduksi"
ANSPDCP:n 2024-2025 valvontaprioriteetit
Puhelinpalvelukeskuksen äänitallennus: ANSPDCP on kohdistanut tallennuskäytäntöihin, joilta puuttuu riittävät säilytysaikataulut tai pääsynhallintakontrollit. Tallenteet, joita säilytetään "äärettömästi vaatimustenmukaisuuden vuoksi" ilman dokumentoitua tarkoitusta ja poistamisaikatauluja, rikkovat GDPR:ää.
Terveydenhuollon tietojen ulkoistus: Romanian yritykset, jotka käsittelevät lääkärintodistuksia, vakuutusvaatimuksia tai reseptitietoja Länsi-Euroopan asiakkaille, kohtaavat suurimman sakkoaltistuksen. Terveydenhuollon tiedot (artikla 9 erityinen kategoria) vaativat nimenomaista oikeudellista perustaa, DPIA:ta ja lisääntyneitä teknisiä toimenpiteitä.
Pääsynhallinta ja lokitus: ANSPDCP:n tarkastukset tunnistavat johdonmukaisesti riittämättömän lokituksen — organisaatiot eivät voi osoittaa, mitä tietoja on käsitelty, kuka käsitteli ja milloin. Romanian BPO-yritysten, jotka käsittelevät EU-asiakastietoja, on oltava kattavia pääsylogit, jotta voidaan määrittää rikkomuksen laajuus mahdollisessa tapauksessa.
Romanian kieli: Puuttuva kerros
CNP:n lisäksi Romanian asiakirjat sisältävät tunnistimia, joita yleiset työkalut eivät havaitse:
Cartea de identitate (CI): Romanian kansallinen henkilökortti, jossa on ainutlaatuinen numeroformaatti. Skannatut kopiot asiakastietojen aloitustiedostoissa vaativat tunnistamista.
Romanian kielen NER: Asiakaskirjeenvaihto, tukipyyntöjä ja sisäiset asiakirjat romaniaksi vaativat romanian kielen luonnollista kielenkäsittelyä. Työkalut, jotka perustuvat englannin NLP:hen sovellettuna romanian tekstiin, toimivat merkittävästi heikommin.
Osoiteformaatit: Romanian osoitekonventiot ("Strada," "Bulevardul," "Numărul") poikkeavat Länsi-Euroopan muodoista ja niitä käsitellään usein väärin englanniksi tai saksaksi koulutettujen NLP-mallien toimesta.
Romanian ulkoistusorganisaatioille: CNP-tunnistus tarkistusnumerovahvistuksella, Romanian kansallinen henkilökortti ja passintunnistus, romanian kielen NER ja dokumentoitu alikäsittelijöiden hallinta ovat neljä kyvykkyyttä, jotka täyttävät ANSPDCP:n teknisen riittävyyden standardin.
Lähteet: