प्रवर्तन वास्तविकता
यूरोपीय डेटा संरक्षण बोर्ड और राष्ट्रीय पर्यवेक्षी प्राधिकरण GDPR अनुपालन का मूल्यांकन परिणामों के आधार पर करते हैं, प्रयास के आधार पर नहीं। एक संगठन जिसने अच्छे विश्वास में PII पहचान उपकरण का उपयोग किया, लेकिन जिसका उपकरण प्रणालीगत रूप से फ्रेंच, जर्मन, और पोलिश राष्ट्रीय पहचानकर्ताओं को छोड़ देता है, उसने अभी भी GDPR अनुच्छेद 32 के तहत "उचित तकनीकी उपाय" लागू करने में विफलता दिखाई है।
"हमने एक उपकरण का उपयोग किया" रक्षा उस मानक को संतुष्ट नहीं करती जब उपकरण स्पष्ट रूप से संगठन के डेटा में मौजूद व्यक्तिगत डेटा प्रकारों का पता नहीं लगा सकता।
यह एक काल्पनिक जोखिम नहीं है। डेटा उल्लंघनों और डेटा विषय पहुंच अनुरोध विफलताओं की जांच करने वाले पर्यवेक्षी प्राधिकरण नियमित रूप से डेटा अज्ञात करने के लिए उपयोग किए गए तकनीकी उपायों की जांच करते हैं। जब जांच से पता चलता है कि एक उपकरण अंग्रेजी-केंद्रित था और बहुभाषी डेटा को संसाधित किया, तो "उचित उपाय" की आवश्यकता केंद्रीय प्रवर्तन प्रश्न बन जाती है।
पर्यवेक्षी प्राधिकरण क्या खोज रहे हैं
2024 के GDPR प्रवर्तन डेटा से पता चलता है कि अनुच्छेद 32 (तकनीकी और संगठनात्मक उपाय) उल्लंघनों का प्रतिनिधित्व सबसे सामान्य कारणों में से एक है। संगठन अपने तकनीकी उपाय दस्तावेज़ीकरण के हिस्से के रूप में स्वचालित अज्ञातकरण उपकरणों का हवाला देते हैं - और पर्यवेक्षी प्राधिकरण यह जांचते हैं कि क्या वे उपकरण वास्तव में संसाधित किए गए डेटा प्रकारों के लिए काम करते हैं।
EU सदस्य राज्यों में कर्मचारी रिकॉर्ड को संसाधित करने वाले बहुराष्ट्रीय नियोक्ताओं के लिए, जोखिम प्रणालीगत है। एक HR सॉफ़्टवेयर प्लेटफ़ॉर्म जो विश्लेषण प्रसंस्करण से पहले कर्मचारी डेटा को अज्ञात करता है, सही ढंग से अंग्रेजी-भाषा PII को हटा सकता है जबकि फ्रेंच सामाजिक सुरक्षा नंबर (NIR), जर्मन कर पहचानकर्ता (Steuer-ID), स्वीडिश personnummers, और पोलिश PESEL नंबर को बरकरार रखता है।
संगठन मानता है कि उसने तकनीकी उपाय लागू किए हैं। पर्यवेक्षी प्राधिकरण पाता है कि "अज्ञात" डेटा सेट में 40% व्यक्तिगत डेटा अभी भी उन राष्ट्रीय पहचानकर्ताओं के माध्यम से पहचाना जा सकता है जिन्हें उपकरण के पहचानकर्ता ने कवर नहीं किया।
विशेष पहचानकर्ता प्रारूप जो अंग्रेजी-केवल उपकरण छोड़ते हैं
EU राष्ट्रीय पहचानकर्ताओं और अमेरिकी/सामान्य प्रारूपों के बीच संरचनात्मक अंतर का अर्थ है कि अंग्रेजी-केंद्रित उपकरण उन्हें विश्वसनीय रूप से पहचानने में विफल रहते हैं:
जर्मन Steuer-Identifikationsnummer: 11-अंक प्रारूप जिसमें चेकसम एल्गोरिदम होता है। केवल अमेरिकी SSN (9-अंक) प्रारूपों को पहचानने वाले उपकरणों द्वारा नहीं पहचाना जाता।
फ्रेंच NIR (numéro de sécurité sociale): 15-अंक प्रारूप जो लिंग, जन्म वर्ष, विभाग, और नियंत्रण कुंजी को एन्कोड करता है। सामान्य फोन नंबर या आईडी नंबर पैटर्न द्वारा नहीं पहचाना जाता।
स्वीडिश Personnummer: 10 या 12-अंक प्रारूप जिसमें Luhn चेक अंक होता है। प्रारूप उन व्यक्तियों के लिए बदलता है जो 1990 से पहले पैदा हुए हैं, जिसके लिए सामान्य पैटर्न में जागरूकता की आवश्यकता होती है।
पोलिश PESEL: 11-अंक प्रारूप जो जन्म तिथि और लिंग को एन्कोड करता है। चेकसम मान्यता के बिना, PESEL पहचान के लिए गलत सकारात्मक दर अत्यधिक उच्च है।
इस डेटा को संसाधित करने वाले संगठन असामान्य नहीं हैं: कोई भी EU नियोक्ता, वित्तीय सेवा कंपनी, स्वास्थ्य सेवा प्रदाता, या सरकारी एजेंसी जो जर्मन, फ्रेंच, स्वीडिश, या पोलिश व्यक्तियों से डेटा संसाधित करती है, नियमित रूप से इन पहचानकर्ताओं का सामना करती है।
अनुपालन मानक परिणामों पर आधारित है
GDPR के लिए "उचित तकनीकी और संगठनात्मक उपाय" (अनुच्छेद 32) की आवश्यकता परिणामों पर आधारित है, प्रयास पर नहीं। मानक यह नहीं है कि "संगठन ने एक PII पहचान उपकरण का उपयोग किया।" मानक यह है कि "उपकरण का उपयोग किए गए व्यक्तिगत डेटा के लिए उचित सुरक्षा प्राप्त की गई।"
बहुभाषी EU डेटा को संसाधित करने वाले संगठनों के लिए, "उचित" का अर्थ है कि जर्मन ग्राहक Steuer-IDs को उसी ऑपरेशन में पहचाना और हटा दिया जाता है जो अंग्रेजी ईमेल पते और अमेरिकी फोन नंबरों को हटाता है। एक संगठन जो अंग्रेजी-भाषा डेटा के लिए 95% PII हटाने और जर्मन राष्ट्रीय पहचानकर्ताओं के लिए 0% PII हटाने में सफल होता है, उसने अपने जर्मन डेटा के लिए उचित तकनीकी उपाय लागू नहीं किए हैं।
EU बहुभाषी डेटा जोखिम वाले संगठनों के लिए बहुभाषी क्षमता में अनुपालन निवेश वैकल्पिक नहीं है। यह तकनीकी उपायों का एक घटक है जो GDPR आवश्यक है।
बहुराष्ट्रीय संगठनों के लिए जो यह मूल्यांकन कर रहे हैं कि क्या उनका वर्तमान उपकरण मानक को पूरा करता है: परीक्षण यह नहीं है कि "क्या उपकरण किसी भी भाषा में ईमेल पते का पता लगा सकता है?" यह है "क्या उपकरण हमारे वास्तविक डेटा में मौजूद राष्ट्रीय पहचानकर्ता प्रारूपों का पता लगा सकता है?" जर्मनी, फ्रांस, पोलैंड, स्वीडन, या किसी अन्य EU सदस्य राज्य से कर्मचारियों, ग्राहकों, या रोगियों के साथ EU संचालन के लिए, वह परीक्षण क्षेत्राधिकार-विशिष्ट पहचानकर्ता कवरेज की आवश्यकता करता है।
स्रोत: