अर्ध-PII समस्या
GDPR अनुच्छेद 4 व्यक्तिगत डेटा को "किसी पहचाने गए या पहचान योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी" के रूप में परिभाषित करता है। मुख्य शब्द "पहचान योग्य" है - न केवल वर्तमान में पहचाना गया, बल्कि अतिरिक्त प्रसंस्करण के माध्यम से पहचानने योग्य। एक मान जो सीधे पहचानने योग्य नहीं है लेकिन आंतरिक प्रणालियों के माध्यम से एक असली व्यक्ति से जोड़ा जा सकता है, GDPR के तहत व्यक्तिगत डेटा है।
आंतरिक कर्मचारी आईडी सबसे सामान्य उदाहरण हैं। "EMP-EU-123456" सीधे किसी की पहचान नहीं करता। लेकिन एचआर डेटाबेस में एक तालिका है: EMP-EU-123456 → मारिया श्मिट, सीनियर इंजीनियर, म्यूनिख। कोई भी दस्तावेज़ जिसमें EMP-EU-123456 शामिल है, उसे एचआर डेटाबेस तक पहुंच रखने वाले किसी भी व्यक्ति द्वारा मारिया श्मिट से जोड़ा जा सकता है। GDPR के तहत, EMP-EU-123456 व्यक्तिगत डेटा है - यह एक पहचान योग्य प्राकृतिक व्यक्ति से संबंधित जानकारी है।
समान विश्लेषण ग्राहक खाता नंबरों (CRM रिकॉर्ड से लिंक करना), परियोजना कोड (अनुबंध डेटाबेस में ग्राहक पहचान से लिंक करना), कानूनी मामलों के लिए आंतरिक संदर्भ नंबर (DMS में मामले के प्रतिभागियों से लिंक करना), और बाहरी प्रणालियों में चिकित्सा रिकॉर्ड नंबर (अस्पताल के EHR में रोगी रिकॉर्ड से लिंक करना) पर लागू होता है।
वे संगठन जो स्पष्ट PII (नाम, ईमेल पते, राष्ट्रीय आईडी) को अनामित करते हैं लेकिन आंतरिक पहचानकर्ताओं को छूते नहीं हैं, उन्होंने GDPR-अनुरूप अनामिकरण हासिल नहीं किया है। उन्होंने एक कदम में नहीं, बल्कि दो कदम में डि-एनामिकेशन हासिल किया है - एक हमलावर (या अत्यधिक जिज्ञासु कर्मचारी) को सीधे दस्तावेज़ पढ़ने के बजाय एचआर डेटाबेस से परामर्श करने की आवश्यकता होती है।
व्यावहारिकता में कवरेज अंतर
DLA Piper की 2025 GDPR वार्षिक रिपोर्ट में पाया गया कि GDPR के सभी जुर्माने का 34% अनुच्छेद 32 के तहत अपर्याप्त तकनीकी उपायों से संबंधित है - उचित तकनीकी सुरक्षा उपायों को लागू करने की आवश्यकता। अपर्याप्त अनामिकरण, जिसमें अर्ध-पहचान करने योग्य आंतरिक पहचानकर्ताओं का पता लगाने और हटाने में विफलता शामिल है, अनुच्छेद 32 उल्लंघनों की एक प्रलेखित श्रेणी है।
EDPB ने 2024 में 900+ स्थिरता तंत्र मामलों को संसाधित किया, जो EU सदस्य राज्यों के बीच प्रवर्तन समन्वय की बढ़ती मात्रा को दर्शाता है। सीमा पार प्रवर्तन (जहां एक देश में प्रमुख पर्यवेक्षी प्राधिकरण अन्य के साथ समन्वय करता है) का अर्थ है कि एक डेटा सेट में अनुच्छेद 32 का उल्लंघन जो EU सीमाओं के पार साझा किया गया है, समन्वित प्रवर्तन को ट्रिगर कर सकता है।
नो-कोड पैटर्न समाधान
एक वैश्विक लॉजिस्टिक्स कंपनी की अनुपालन टीम के लिए बाहरी एचआर ऑडिट के लिए कर्मचारी रिकॉर्ड को अनामित करना:
कर्मचारी आईडी प्रारूप का पालन करती हैं EMP-[REGION]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678। अनुपालन टीम AI पैटर्न हेल्पर को 3 उदाहरण प्रदान करती है। AI लौटाता है: पता लगाया गया पैटर्न EMP-[A-Z]{2,4}-d{6}; सभी प्रदान किए गए उदाहरणों से मेल खाता है; सुझाया गया एंटिटी नाम: EMPLOYEE-ID; विभिन्न क्षेत्र कोड सहित किनारे के मामलों के खिलाफ परीक्षण।
टीम 10 अतिरिक्त नमूनों के खिलाफ परीक्षण करती है, जिसमें EMP-DACH-000001 और EMP-APAC-999999 शामिल हैं। पैटर्न सही तरीके से मान्य होता है। कस्टम एंटिटी को GDPR अनुपालन प्रीसेट में सहेजा जाता है जो सभी टीम सदस्यों के साथ साझा किया जाता है। एचआर ऑडिट पैकेज में सभी 47 दस्तावेज़ एक बैच में संसाधित किए जाते हैं। सभी कर्मचारी आईडी को भूमिका-आधारित उपनामों से बदल दिया जाता है। ऑडिट फर्म को ऐसे दस्तावेज़ प्राप्त होते हैं जिन्हें किसी भी आंतरिक डेटाबेस के माध्यम से व्यक्तिगत कर्मचारियों से जोड़ा नहीं जा सकता।
स्रोत: