Románia Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) felügyeli az EU egyik leggyorsabban növekvő tech és kiszervezési szektorának megfelelőségi átalakulását. Bukarest, Cluj-Napoca és Iași nagy léptékben feldolgoznak EU-polgárok adatait Németországból, Franciaországból, az Egyesült Királyságból és Hollandiából — és az ANSPDCP végrehajtás meredeken emelkedő tendenciát mutat.
Az ANSPDCP 2022 és 2024 között 1,8 millió eurós GDPR-bírságot szabott ki, a BPO/kiszervezési szektor a végrehajtási esetek legmagasabb koncentrációját képviseli.
A Román BPO GDPR Kitettségi Profilja
Nagy volumenű személyes adatfeldolgozás: A számlázási vitákat kezelő call centerek neveket, címeket, számlaszámokat, fizetési előzményeket és szolgáltatáshasználati adatokat kezelnek. Az IT-támogatási szolgáltatások személyes adatokat tartalmazó ügyfélrendszer-konfigurációkhoz férnek hozzá.
EU-polgárok adatai román kezekben: Az érintett személyek elsősorban német, francia, holland vagy brit polgárok. Ha valami rosszul sül el, az érintett személyek panaszt tesznek a saját nemzeti DPA-juknál — ami határokon átnyúló végrehajtási kitettséget teremt a BfDI, a CNIL, az ICO vagy az AP NL részéről az ANSPDCP joghatóságán felül.
Albeszállítói lánc összetettsége: Az ANSPDCP megállapította, hogy a román vállalkozások 45%-ának nincs megfelelő Adatfeldolgozási Megállapodása az albeszállítóival. A megállapodásoknak meg kell határozniuk az albeszállító által alkalmazandó technikai intézkedéseket.
Hozzáférési visszavonási hibák: A BPO szektorokban magas a munkavállalói fluktuáció. Az ANSPDCP ismételten megállapítja, hogy a volt munkavállalók a távozásukat követő hetekben is aktív hozzáférési jogosultságokat tartanak meg — ez visszatérő jogsértés a román végrehajtási esetekben.
A CNP: Románia Elsődleges PII Azonosítója
A Cod Numeric Personal (CNP) egy 13 jegyű nemzeti azonosítószám, amely a következőket kódolja:
-
- számjegy: Nem és évszázad (1=férfi 1900-1999, 2=nő 1900-1999, 5=férfi 2000+, 6=nő 2000+, 7=külföldi férfi lakos, 8=külföldi nő lakos)
- 2-7. számjegy: Születési dátum (ÉÉHHNN)
- 8-9. számjegy: Születési megye kódja
- 10-12. számjegy: Sorszám
-
- számjegy: Ellenőrző jegy (súlyozott modulus 11)
A CNP kódolja a nemet, születési dátumot, születési régiót és állampolgársági státuszt — sokkal gazdagabb személyes információval, mint a legtöbb nyugat-európai azonosító. Az ANSPDCP a CNP-t különleges kategória státuszhoz közelítő fokozott védelmet igénylő adatnak minősítette.
Az észlelési probléma: Az ANSPDCP 2024-es végrehajtási felülvizsgálata megállapította, hogy a román kiszervezésben telepített PII-eszközök 78%-a nem képes megfelelő ellenőrzőösszeg-érvényesítéssel azonosítani a CNP-t. A következmények:
- Az ügyfélnyilvántartásokban, munkavállalói iratokban és azonosítóolvasó-másolatokban lévő CNP számok észrevétlenek maradnak
- A nyugat-európai anyavállalatoknak elemzés vagy AI képzés céljából megosztott adatok azonosítható román polgárokat tartalmaznak
- Az incidensek utáni elemzés "névtelenített"-nek tanúsított adatokban tár fel CNP-kitettséget
Az ANSPDCP 2024-2025-ös Végrehajtási Prioritásai
Call center hangfelvétel: Az ANSPDCP megcélozta a megfelelő megőrzési menetrendek vagy hozzáférési kontrollok nélküli rögzítési gyakorlatokat. A "megfelelőségi célból határozatlan ideig" megőrzött felvételek dokumentált cél és törlési menetrendek nélkül sértik a GDPR-t.
Egészségügyi adatok kiszervezése: Nyugat-európai ügyfeleknek orvosi nyilvántartásokat, biztosítási igényeket vagy receptadatokat feldolgozó román cégek a legmagasabb bírságkitettséggel szembesülnek. Az egészségügyi adatok (9. cikk különleges kategória) explicit jogi alapot, DPIA-t és fokozott technikai intézkedéseket igényelnek.
Hozzáférési kontroll és naplózás: Az ANSPDCP auditok következetesen azonosítják a nem megfelelő naplózást — a szervezetek nem tudják demonstrálni, hogy milyen adatokhoz fértek hozzá, ki, és mikor. A román BPO cégek számára, amelyek EU-s ügyfél adatokat kezelnek, a hozzáférési naplóknak elég átfogóaknak kell lenniük ahhoz, hogy incidens esetén meghatározhassák az érintettség mértékét.
Román Nyelv: A Hiányzó Réteg
A CNP-n túl a román dokumentumok olyan azonosítókat tartalmaznak, amelyeket a generikus eszközök kihagynak:
Cartea de identitate (CI): Román személyi igazolvány egyedi számformátummal. Az ügyfél-beléptetési fájlokban lévő beolvasott másolatokhoz észlelés szükséges.
Román nyelvű NER: Az ügyféllevelezés, a támogatási jegyek és a belső dokumentumok románul igényelnek román természetes nyelvi feldolgozást. A románra alkalmazott, angolra támaszkodó NLP-eszközök jelentősen rosszabbul teljesítenek.
Cím formátumok: A román cím konvenciók ("Strada," "Bulevardul," "Numărul") eltérnek a nyugat-európai formátumoktól, és az angol vagy német szövegen képzett NLP modellek gyakran helytelenül kezelik ezeket.
A román kiszervező szervezetek számára: CNP-észlelés ellenőrzőösszeg-érvényesítéssel, román személyi igazolvány és útlevél észlelés, román nyelvű NER és dokumentált albeszállítói menedzsment a négy képesség, amely kielégíti az ANSPDCP technikai megfelelőségi követelményét.
Források: