Täytäntöönpanon todellisuus
Euroopan tietosuojaneuvosto ja kansalliset valvontaviranomaiset arvioivat GDPR:n vaatimustenmukaisuutta tulosten, ei ponnistelujen perusteella. Organisaatio, joka käytti PII-tunnistustyökalua hyvässä uskossa, mutta jonka työkalu systemaattisesti jätti huomiotta ranskalaiset, saksalaiset ja puolalaiset kansalliset tunnisteet, on silti epäonnistunut toteuttamaan "asianmukaisia teknisiä toimenpiteitä" GDPR:n artiklan 32 mukaisesti.
"Käytimme työkalua" -puolustus ei täytä standardia, kun työkalu ei selvästi pysty havaitsemaan organisaation tietojensa sisältämiä henkilötietotyyppejä.
Tämä ei ole hypoteettinen riski. Valvontaviranomaiset, jotka tutkivat tietoturvaloukkauksia ja tietosubjektin pääsyhakemusten epäonnistumisia, tarkastavat säännöllisesti käytetyt tekniset toimenpiteet tietojen anonymisoimiseksi. Kun tarkastus paljastaa, että työkalu oli englanninkielinen ja käsitteli monikielisiä tietoja, "asianmukaiset toimenpiteet" -vaatimus muuttuu keskeiseksi täytäntöönpanokysymykseksi.
Mitä valvontaviranomaiset löytävät
GDPR:n täytäntöönpanotiedot vuodelta 2024 osoittavat, että artiklan 32 (tekniset ja organisatoriset toimenpiteet) rikkomukset ovat yksi yleisimmistä syistä sakkoihin. Organisaatiot mainitsevat automatisoidut anonymisointityökalut osana teknisten toimenpiteiden dokumentaatiotaan — ja valvontaviranomaiset tarkastavat, toimivatko nämä työkalut todella käsiteltyjen tietotyyppien osalta.
Monikansallisille työnantajille, jotka käsittelevät työntekijätietoja EU:n jäsenvaltioissa, altistus on systemaattista. HR-ohjelmistoplatform, joka anonymisoi työntekijätietoja ennen analytiikkakäsittelyä, voi oikein poistaa englanninkieliset PII:t samalla, kun se jättää ranskalaiset sosiaaliturvatunnukset (NIR), saksalaiset verotunnisteet (Steuer-ID), ruotsalaiset henkilönumerot ja puolalaiset PESEL-numerot koskemattomiksi.
Organisaatio uskoo toteuttaneensa teknisiä toimenpiteitä. Valvontaviranomainen toteaa, että 40 % "anonymisoidun" tietojoukon henkilötiedoista on edelleen tunnistettavissa kansallisten tunnisteiden kautta, joita työkalun tunnistaja ei katsonut.
Tietyt tunnistemuodot, jotka englanninkieliset työkalut jättävät huomiotta
EU:n kansallisten tunnisteiden ja Yhdysvaltojen/yhteisten muotojen rakenteelliset erot tarkoittavat, että englanninkieliset työkalut eivät pysty havaitsemaan niitä luotettavasti:
Saksalainen Steuer-Identifikationsnummer: 11-numeroisen muodon tarkistuslaskentakaava. Ei havaittu työkaluilla, jotka tunnistavat vain Yhdysvaltojen SSN (9-numeroiset) muodot.
Ranskalainen NIR (numéro de sécurité sociale): 15-numeroisen muodon koodaus sukupuolelle, syntymävuodelle, osastolle ja tarkistusavaimelle. Ei havaittu yleisten puhelinnumeroiden tai henkilötunnusten kuvioiden avulla.
Ruotsalainen Personnummer: 10 tai 12-numeroisen muodon Luhn-tarkistusnumero. Muoto muuttuu ennen vuotta 1990 syntyneille, mikä vaatii muodon tuntemusta, jota yleiset kuviot eivät omaa.
Puolalainen PESEL: 11-numeroisen muodon koodaus syntymäpäivälle ja sukupuolelle. Ilman tarkistusvalidointia PESEL-tunnistuksen väärien positiivisten tulosten osuus on kohtuuttoman korkea.
Tätä dataa käsittelevät organisaatiot eivät ole epätavallisia: mikä tahansa EU:n työnantaja, rahoituspalveluyritys, terveydenhuollon tarjoaja tai valtion virasto, joka käsittelee saksalaisten, ranskalaisten, ruotsalaisten tai puolalaisten henkilöiden tietoja, kohtaa nämä tunnisteet säännöllisesti.
Vaatimustenmukaisuuden standardi perustuu tuloksiin
GDPR:n vaatimus "asianmukaisista teknisistä ja organisatorisista toimenpiteistä" (artikla 32) perustuu tuloksiin, ei ponnisteluihin. Standardeja ei ole "organisaatio käytti PII-tunnistustyökalua." Standardi on "käytetty työkalu saavutti asianmukaisen suojan käsitellyille henkilötiedoille."
Monikielisiä EU-tietoja käsitteleville organisaatioille "asianmukainen" tarkoittaa, että saksalaiset asiakastunnisteet (Steuer-IDs) havaitaan ja poistetaan samassa operaatiossa, joka poistaa englanninkieliset sähköpostiosoitteet ja Yhdysvaltojen puhelinnumerot. Organisaatio, joka saavuttaa 95 % PII:n poistamisen englanninkielisistä tiedoista ja 0 % PII:n poistamisen saksalaisista kansallisista tunnisteista, ei ole toteuttanut asianmukaisia teknisiä toimenpiteitä saksalaisille tiedoilleen.
Vaatimustenmukaisuusinvestointi monikieliselle kyvykkyydelle ei ole valinnainen organisaatioille, joilla on EU:n monikielisten tietojen altistus. Se on osa teknisiä toimenpiteitä, joita GDPR vaatii.
Monikansallisille organisaatioille, jotka arvioivat, täyttääkö heidän nykyinen työkalunsa standardin: testi ei ole "voiko työkalu havaita sähköpostiosoitteita millä tahansa kielellä?" Se on "voiko työkalu havaita kansallisten tunnistemuotojen, jotka ovat läsnä todellisissa tiedoissamme?" EU-toiminnoille, joissa on työntekijöitä, asiakkaita tai potilaita Saksasta, Ranskasta, Puolasta, Ruotsista tai mistä tahansa muusta EU:n jäsenvaltiosta, tämä testi vaatii lainkäyttöaluekohtaisen tunnistuskattavuuden.
Lähteet: