הרשות הצ'כית להגנת מידע אישי (ÚOOÚ) הוציאה 58 החלטות אכיפה בשנת 2024. ממצא אחד חוזר על עצמו במספר תיקים: מספר ההולדת (rodné číslo) עובד ללא זיהוי מפני שכלי ה-PII שנפרס הוגדר לשפה גרמנית או אנגלית, ולא כלל לוגיקה המיוחדת למזהים צ'כיים. הנחיית ÚOOÚ ברורה — כלים חייבים ליישם זיהוי מספר הולדת עם אימות ספרת ביקורת וטיפול נכון בקידוד המגדר.
מספר הולדת: נתוני קטגוריה מיוחדת לפי מבנה
פורמט מספר ההולדת (בקיצור RČ): RRMMDD/XXXX כאשר:
- RR = שתי הספרות האחרונות של שנת הלידה
- MM = חודש הלידה (נשים: מוסיפים 50 — חודש 01 הופך ל-51, חודש 12 הופך ל-62)
- DD = יום הלידה
- XXXX = מספר רץ (3-4 ספרות) + ספרת ביקורת (מודולו 11)
קידוד חודש הנשים (MM + 50) הופך את מספר ההולדת למציין מבני של המין הביולוגי. זה אינו מקרי — מערכת רישום האזרחים הצ'כית מטמיעה בכוונה את המגדר במספר לצורכי חיפוש מנהלי. GDPR סעיף 9 מכסה נתונים "המגלים" מאפיינים של אנשים טבעיים — מין הוא אחד מהם. פרשנות ÚOOÚ: כל מסמך המכיל מספר הולדת מכיל de facto נתונים הגובלים בקטגוריה מיוחדת, הדורשים הגנה מוגברת.
ספרת ביקורת: עבור מספר הולדת בן 10 ספרות (שהונפק לאחר 1954), ספרת הביקורת הופכת את המספר השלם בן 9 הספרות לחלוקה ב-11. עבור מספרים בני 9 ספרות (לפני 1954), לא מוחלת ספרת ביקורת. הכלים חייבים לתמוך בשני הגרסאות.
הנחיה הטכנית של ÚOOÚ: מה פירוש "זיהוי הולם"
הנחיה הטכנית של ÚOOÚ לשנת 2024 עבור כלי PII צ'כיים מפרטת:
טיפול בהסטת מגדר: כלים חייבים לזהות נכון מספרי הולדת עם ערכי חודש 51-62 (קידוד נשים) כ-RČ תקף, ולא לפרש אותם בשגיאה כתאריכים לא חוקיים. הרוב המוחלט של אזרחיות צ'כיות בוגרות מחזיקות במספרי הולדת עם ערכי חודש 51-62 — כלים שדוחים אלה כ"פורמט תאריך לא חוקי" מפספסים את המזהה העיקרי של כמחצית מהאוכלוסייה הנשית הצ'כית.
9 ספרות לעומת 10 ספרות: לידות לפני 1954 משתמשות במספרי הולדת בני 9 ספרות ללא ספרת ביקורת. לאחר 1954 משתמשים ב-10 ספרות עם ספרת ביקורת. הכלים חייבים לתמוך בשני הפורמטים.
זיהוי הקשר: במסמכים בשפה הצ'כית, מספר הולדת מופיע בדרך כלל באחד מהקשרים אחדים: "Rodné číslo:", "RČ:", "r.č.:" או מוטמע בטפסים. NER בשפה הצ'כית מסייע לזהות הקשרים אלה גם כאשר המסמך אינו מובנה במפורש.
הקשר ייצור צ'כי: תצורת חברת האם הגרמנית
67% מהעסקים הצ'כיים פורסים כלי PII המוגדרים לגרמנית או אנגלית — מתועד בסקר של ÚOOÚ. מצב הכשל בייצור הצ'כי:
- חברת אם גרמנית פורסת כלי סריקת PII משולב ב-SAP המוגדר למזהים גרמניים
- נתוני משאבי אנוש צ'כיים (חוזי עבודה, רשומות בריאות, שכר) מכילים מספרי הולדת
- הכלי הגרמני אינו מיישם לוגיקת מספר הולדת — מפספס את כל מספרי הלידה של עובדים צ'כיים
- נתוני בריאות ושכר של עובדים צ'כיים מעובדים ללא הגנה ברמת מזהה שנדרשת על ידי ÚOOÚ
- במקרה של פרצת נתונים או ביקורת ÚOOÚ, הסניף הצ'כי אינו יכול להוכיח "אמצעים טכניים מתאימים" לפי סעיף 32 של GDPR
ÚOOÚ מחזיקה את הבקר הצ'כי (הסניף המקומי) באחריות — לא את ספק הכלים הגרמני. הטענה שה"חברה האם שלנו בחרה בכלי זה" אינה עומדת בדרישת האחריותיות של GDPR.
רשימת בדיקת ציות לייצור צ'כי
עבור ארגוני ייצור ותעשייה צ'כיים עם כלי חברת אם גרמנית:
- זיהוי מספר הולדת: פורמטים בני 9 וגם 10 ספרות, עם טיפול בהסטת חודש מגדר (50+), עם ספרת ביקורת מודולו-11 לגרסאות בנות 10 ספרות
- NER בצ'כית: spaCy cs_core_news או שווה ערך — דיוק נמוך ב-23% בהשוואה לגרמנית עבור כלים כלליים; מודלים ספציפיים לצ'כית סוגרים פער זה
- מספר OP (občanský průkaz): זיהוי מספר תעודת זהות בן 9 תווים
- IČO/DIČ: מספרי זיהוי עסקי ורישום מס בחוזים
- צינור רב-לשוני: עיבוד צ'כית + גרמנית + אנגלית לסביבות מסמכי ייצור מעורבות-שפות
דפוס האכיפה של ÚOOÚ מראה שארגוני ייצור צ'כיים שמסוגלים להפגין יכולות אלו בתגובה לשאלון ביקורת — עם ראיות טכניות, לא רק הצהרות מדיניות — מקבלים חשיפה לעונש נמוכה משמעותית ביחס לאלה שאינם יכולים.
מקורות: