A tervezett vaklét
Az EU supervisory authorities (felügyeleti hatóságok) – a CNIL, BfDI, UODO és mások – egyre inkább vizsgálják a technikai adatvédelmi intézkedéseket.
Ha egy vállalat dokumentálja, hogy PII-észlelési rendszert alkalmaz, de az a rendszer szisztematikusan kihagyja a nem angol azonosítókat, a hatóság ezt hiányos védelemnek tekintheti.
A kockázat: nem az, hogy nem teljesítik a GDPR 32. cikk minimumkövetelményét (technikai biztosítékok) – az, hogy azt állítják, teljesítik, de valójában nem.
Tényleges felügyeleti hatósági minták
A CNIL (Franciaország) és a BfDI (Németország) auditok egyre inkább tartalmazzák:
- Az alkalmazott technikai intézkedések értékelését
- Az adott platformon észlelt PII típusok tesztelését
- A pontossági arányok és kihagyott azonosítótípusok elemzését
Ha az audit megállapítja, hogy a rendszer szisztematikusan nem észleli az NIR-számokat (Franciaország) vagy Steuer-ID-ket (Németország), ez közvetlen GDPR-sértés.
A megfelelőségi eltérés
| Azonosítótípus | Felismerve? | GDPR-kötelezettség |
|---|---|---|
| USA TAJ-szám | Igen | Nem releváns EU-ban |
| Francia NIR | Általában nem | Igen – minden francia személyre |
| Német Steuer-ID | Általában nem | Igen – minden német személyre |
| Lengyel PESEL | Általában nem | Igen – minden lengyel személyre |
Következtetés
Az angolcentrikus PII-eszköz alkalmazása és a GDPR-megfelelőségre való hivatkozás strukturált kockázatot jelent minden multinacionális EU-s vállalatnak.
Az anonym.legal az EU összes 23 hivatalos nyelvére és az összes tagállami azonosítóra kínál natív felismerést.