ÚOOÚ와 체코 제조업의 GDPR 컴플라이언스
체코의 Úřad pro ochranu osobních údajů(ÚOOÚ)는 2024년 58건의 집행 결정을 내렸습니다. 제조업과 자동차 기업이 그 중 34%를 차지했으며, 이는 어떤 섹터보다 높은 비율입니다.
Škoda Auto, Toyota, Foxconn, 그리고 수많은 1차 협력업체가 체코에서 운영됩니다. 체코의 GDPR 컴플라이언스는 현지 데이터를 처리할 수 있는 도구를 필요로 합니다. 하지만 현재 사용 중인 대부분의 도구는 그렇지 않습니다.
모회사 도구의 문제
ÚOOÚ 데이터는 명확한 실패 패턴을 보여줍니다. 해외 모회사가 외국 환경에 맞게 설정된 PII 도구를 현지 자회사에 배포합니다.
대형 그룹이 표준 도구를 프라하 사무소에 배포하면:
- 도구가 외국 식별자용으로 설정되어 현지 식별자를 처리하지 못합니다.
- 직원 계약서와 HR 파일이 체코어로 작성되어 있지만 도구가 체코어 텍스트로 학습되지 않았습니다.
- 체코어 NER 정확도가 다른 언어의 동등한 텍스트보다 23% 낮습니다(ÚOOÚ 기술 가이드 2024).
- 체코어로 표시되지 않은 파일에서 rodné číslo가 누락됩니다.
- 직원 의료 및 HR 데이터가 규제 기관이 요구하는 보호 조치 없이 이동됩니다.
현지 기업의 67%가 국가별 식별자를 탐지하지 못하는 도구에 의존합니다. ÚOOÚ는 모회사 벤더가 아닌 현지 컨트롤러에게 책임을 묻습니다.
Rodné Číslo: 특수 범주 데이터
Rodné číslo는 출생 번호입니다. 형식은 RRMMDD/XXXX입니다.
- 3~4번째 자리는 출생 월을 인코딩합니다. 여성의 경우 50이 더해집니다. 1월에 태어난 여성은 01이 아닌 51로 표시됩니다.
- 슬래시가 날짜와 접미사를 구분합니다.
- 접미사는 모듈러스-11 검증 자릿수가 포함된 3~4자리로 구성됩니다.
성별 인코딩으로 인해 이 번호는 GDPR 제9조에 따른 특수 범주 데이터에 해당합니다. 설계상 성별을 드러내기 때문입니다. 강화된 보호 규정이 적용됩니다.
세 가지를 반드시 처리해야 합니다. 첫째, 여성 월 오프셋(50 규칙). 둘째, 모듈러스-11 검증 자릿수 확인. 셋째, 9자리(1954년 이전) 및 10자리 형식 모두.
단순 패턴 매칭으로는 ÚOOÚ 기준을 충족하지 못합니다.
기타 주요 식별자
Číslo občanského průkazu(OP). 국민 신분증입니다. 9자리 영숫자 혼합 형식으로 계약서, 방문자 기록, 의료 기록에서 발견됩니다.
IČO. 8자리 사업자 번호로 법인 대리인의 개인 데이터 옆 공급업체 계약서에 나타납니다.
DIČ. CZ + 출생 번호(개인) 또는 CZ + IČO(법인) 형식입니다. 개인 DIČ는 프리랜서 계약서에 나타납니다.
IBAN. CZ + 22자리 형식으로 급여 파일과 경비 보고서에 일반적입니다.
제조업의 취약 분야
HR 기록. 현지 직원 급여에는 출생 번호, 국민 ID, 은행 정보가 포함됩니다. 국경 간 HR 이전에는 이전 영향 평가가 필요합니다.
품질 추적성. 자동차 생산 시스템은 종종 결함 기록을 개별 작업자와 연결합니다. 이는 HR 시스템 외부의 운영 기술 내 개인 데이터입니다. HR 시스템 밖에 있더라도 GDPR 적용 대상입니다.
딜러십 데이터. 대형 제조사 네트워크는 시승 기록, 금융 양식, 서비스 이력을 처리합니다. 이 중 많은 항목에 출생 번호가 포함됩니다.
식별자 공백이 EU 관할권 전반에 어떻게 적용되는지는 GDPR 컴플라이언스 가이드와 다국어 PII 탐지 개요를 참고하세요. 전체 엔티티 범위는 엔티티 참조를 확인하세요.
핵심 요건은 단순합니다. 출생 번호 탐지에는 성별 오프셋 처리와 체크섬 검증이 반드시 포함되어야 합니다. 텍스트 처리를 위한 네이티브 NER도 필요하며, 혼합 언어 파이프라인도 지원되어야 합니다.