Csak angol nyelvű PII-eszközök: GDPR-felelősség
2026-ra frissítve
A végrehajtás valósága
A GDPR az eredményekről szól, nem az erőfeszítésről. Egy cég jóhiszeműen használhat PII-észlelő eszközt. De ha az az eszköz kihagyja a francia, német vagy lengyel azonosítókat, a cég mégis megszegte a 32. cikket. A szabály megfelelő technikai intézkedéseket követel meg. Egy eszköz, amely nem találja meg az azonosítókat a rekordokban, megbukik ezen a teszten. A jó szándék ezt nem változtatja meg.
A használtunk egy eszközt védekezés nem állja meg a helyét. A felügyeleti szervek megvizsgálják a konkrétan használt eszközöket. Ha egy angolközpontú eszköz többnyelvű rekordokat dolgozott fel, a 32. cikk válik a kulcskérdéssé.
Ez valódi végrehajtási minta. Az EU-szerte lezajlott GDPR-ügyekben megfigyelhető volt.
Mit találnak a felügyeleti hatóságok
A 2024-es GDPR-adatok szerint a 32. cikk megsértése az első számú pénzbírság-alap között szerepel. A cégek automatizált anonimizálási eszközöket idéznek technikai intézkedések bizonyítékaként. A felügyeleti hatóságok ezután ellenőrzik, hogy ezek az eszközök működnek-e.
Globális munkáltatók esetén a kockázat szisztematikus. Vegyünk egy HR-platformot. Analitika előtt eltávolítja a személyes adatokat. Eltávolíthatja az angol e-mail-címeket és telefonszámokat. De a francia NIR-számok, a német Steuer-ID-k és a lengyel PESEL-számok érintetlenek maradnak. A svéd personnummerek is ott maradnak.
A cég azt gondolja, hogy a rekordok tiszták. A felügyeleti hatóság megállapítja, hogy az anonimizált adatkészletben lévő azonosítók 40%-a még mindig ott van. Ezek olyan nemzeti azonosítók, amelyeket az eszköz sosem fedett le.
Azonosítóformátumok, amelyeket a csak angol nyelvű eszközök kihagynak
Az uniós nemzeti azonosítók különböznek az amerikai és általános formátumoktól. A csak angol nyelvű eszközök nem képesek felismerni őket:
Német Steuer-Identifikationsnummer: 11 számjegyű formátum ellenőrző összeggel. Az amerikai SSN (9 számjegyű) mintákra épített eszközök nem ismerik fel.
Francia NIR (numéro de sécurité sociale): 15 számjegyű formátum. A nemet, a születési évet és a departement-t kódolja. Az általános azonosítóminták nem egyeznek rá.
Svéd Personnummer: 10 vagy 12 számjegy Luhn-ellenőrző számjeggyel. A formátum az 1990 előtt születetteknél változik. Az általános minták ezt nem tartalmazzák.
Lengyel PESEL: 11 számjegy kódolt születési dátummal és nemmel. Ellenőrzőösszeg-ellenőrzés nélkül a hamis pozitívok aránya túl magas.
Ezek mindennapi azonosítók. Minden uniós munkáltató, egészségügyi szolgáltató vagy pénzügyi cég, amely német, francia, svéd vagy lengyel rekordokat kezel, találkozik velük. Nem ritkák. A támogatott azonosítótípusok teljes listájáért tekintse meg az entitásreferenciát.
A GDPR eredményalapú
A GDPR 32. cikke megfelelő technikai és szervezési intézkedéseket követel meg. A mérce az eredményeken van. Használt-e szervezet eszközt? Ez nem a megfelelő kérdés. Megvédte-e az eszköz a feldolgozott személyes rekordokat? Ez a megfelelő kérdés.
A többnyelvű uniós rekordokat kezelő szervezetek számára a megfelelő azt jelenti, hogy a német Steuer-ID-kat ugyanabban a menetben kell felismerni, mint az angol e-mail-címeket. Egy szervezet, amely az angol tartalom 95%-át elkapja, de a német nemzeti azonosítók 0%-át, nem felel meg a mércének. A rés megbuktatja a német rekordjait.
A többnyelvű lefedettség nem opcionális. Ez részét képezi annak, amit a 32. cikk megkövetel. Kész. A GDPR-megfelelőségi útmutatónk a teljes keretrendszert lefedi.
Hogyan értékelje az eszközét
A megfelelő kérdés az eszközre egyszerű. Meg tud-e találni e-mail-címeket bármilyen nyelven? Ez kevésbé fontos. Meg tudja-e találni a nemzeti azonosítóformátumokat a tényleges rekordjaiban? Ez a valódi teszt.
Németországot, Franciaországot, Lengyelországot vagy Svédországot kiszolgáló uniós műveletek esetén ez területileg specifikus felismerő-lefedettséget jelent. Ha az eszköze nem tud szilárd észlelési arányokat felmutatni ezekre a formátumokra, kezelje a rést élő megfelelőségi kockázatként. A biztonsági és megfelelőségi oldalunk elmagyarázza, hogyan kezeljük a többnyelvű lefedettséget.
Az anonym.legal észleli a német Steuer-ID-t, a francia NIR-t, a svéd Personnummert, a lengyel PESEL-t és az összes uniós tagállam nemzeti azonosítóit. Minden felismerő ellenőrzőösszeg-alapú érvényesítést használ a pontos eredmények érdekében.