ÚOOÚ ו-GDPR בתעשייה הצ'כית
ה-Úřad pro ochranu osobních údajů (ÚOOÚ) הוציא 58 החלטות אכיפה ב-2024. חברות ייצור ורכב היוו 34% מאלה — השיעור הגבוה ביותר מכל ענף.
Škoda Auto, Toyota, Foxconn ועשרות ספקי משנה פועלים בצ'כיה. עמידה ב-GDPR שם מחייבת כלים המסוגלים לטפל בנתונים מקומיים. רוב הכלים הקיימים אינם מסוגלים לכך.
בעיית כלי חברת האם
נתוני ÚOOÚ מצביעים על דפוס כשל ברור. חברות אם בחו"ל כופות כלי PII מוגדרים לחו"ל על יחידותיהן המקומיות.
כאשר קבוצה גדולה פורסת את הכלי הסטנדרטי שלה במשרד פראג:
- הכלי מוגדר למזהים זרים ואינו מכסה מזהים מקומיים.
- חוזי עובדים ותיקי HR נכתבים בצ'כית. הכלי לא אומן על טקסט צ'כי.
- דיוק NER לצ'כית נמוך ב-23% לעומת טקסט מקביל בשפות אחרות. (הנחיות טכניות ÚOOÚ, 2024)
- ה-rodné číslo מוחמץ בקבצים שאינם מסומנים כצ'כיים.
- נתוני בריאות ו-HR של עובדים עוברים ללא ההגנה שהרגולטורים דורשים.
67% מהחברות המקומיות מסתמכות על כלים המחמיצים מזהים ייחודיים למדינה. ÚOOÚ מטיל את האחריות על הבקר המקומי — לא על ספק חברת האם.
Rodné číslo: נתון קטגוריה מיוחדת
ה-rodné číslo הוא מספר לידה. פורמטו: RRMMDD/XXXX.
- ספרות 3–4 מקודות את חודש הלידה. לנשים מוסיפים 50. אישה שנולדה בינואר מקבלת 51, לא 01.
- לוכסן מפריד בין התאריך לבין הסיומת.
- הסיומת כוללת 3–4 ספרות עם ספרת ביקורת מודולוס-11.
קידוד המגדר הופך מספר זה לנתון קטגוריה מיוחדת לפי GDPR סעיף 9. הוא חושף מין מתוך עיצוב. חלה עליו הגנה מוגברת.
שלושה דברים חייבים להיות מכוסים: ראשית, היסט חודש הלידה לנשים — כלל ה-50. שנית, אימות ספרת ביקורת מודולוס-11. שלישית, פורמטים של 9 ספרות (לפני 1954) ו-10 ספרות כאחד.
התאמת דפוסים בלבד אינה עומדת בסטנדרט ÚOOÚ.
מזהים מרכזיים נוספים
Číslo občanského průkazu (OP): תעודת זהות לאומית. תשעה תווים אלפאנומריים. מופיעה בחוזים, יומני מבקרים ותיקי בריאות.
IČO: מספר עסק בן שמונה ספרות. מופיע בחוזי ספקים לצד נתונים אישיים של נציגים משפטיים.
DIČ: פורמט CZ + מספר לידה (יחידים) או CZ + IČO (חברות). DIČ אישי מופיע בחוזי עצמאים.
IBAN: פורמט CZ + 22 ספרות. שכיח בקבצי שכר ודוחות הוצאות.
היכן התעשייה חשופה
תיקי HR: שכר לצוות מקומי כולל מספרי לידה, תעודות זהות לאומיות ופרטי בנק. העברות HR חוצות גבולות דורשות הערכות השפעת העברה.
מעקב איכות: מערכות ייצור רכב מקשרות לעיתים רשומות פגמים לעובדים בודדים. מדובר בנתונים אישיים בתוך טכנולוגיה תפעולית, הכפופה ל-GDPR גם מחוץ למערכות HR.
נתוני סוכנויות: רשתות יצרנים גדולות מעבדות רשומות נסיעות מבחן, טפסי מימון והיסטוריות שירות. רבים מאלה מכילים מספרי לידה.
ראו את מדריך עמידה ב-GDPR ואת סקירת זיהוי PII רב-לשוני לאופן שפערי מזהים חלים ברחבי אזורי שיפוט ב-EU. לכיסוי ישויות מלא, ראו את הפניית הישויות.
הצורך המרכזי הוא פשוט: זיהוי מספר לידה חייב לכלול טיפול בהיסט המגדר ואימות סכום ביקורת. נדרשת גם NER מקורית לעיבוד טקסט. יש לתמוך בצינורות עיבוד בשפות מעורבות.