anonym.legal

By · Last updated 2026-06-05

Atgal į BlogąGDPR ir Atitiktis

ANSPDCP Rumunija: BPO BDAR ir CNP rizika

Rumunijos BPO sektorius kasdien apdoroja 2,3 mln. ES klientų įrašų. ANSPDCP 2022–2024 m. skyrė 1,8 mln. EUR baudų. 78 % įrankių nepavyksta aptikti rumunų CNP su tinkama kontroline suma.

June 5, 20268 min skaityti
Romania ANSPDCPCNP detectionBPO GDPREastern Europe complianceoutsourcing data protection

ANSPDCP Rumunija: BDAR rizikos BPO sektoriuje

Rumunijos privatumo institucija stiprina BDAR vykdymą. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) prižiūri vieną sparčiausiai augančių ES autsorsingo sektorių.

Bukareštas, Kluž-Napoka ir Jašiai apdoroja ES piliečių įrašus iš Vokietijos, Prancūzijos, Jungtinės Karalystės ir Nyderlandų. ANSPDCP 2022–2024 m. skyrė 1,8 milijono EUR BDAR baudų. BPO ir autsorsingo įmonės buvo daugumoje tų bylų.

BPO poveikis: keturios pagrindinės rizikos sritys

Didelio kiekio asmens įrašai. Skambučių centrai nagrinėja sąskaitų ginčus. Jie apdoroja vardus, adresus, sąskaitų numerius ir mokėjimų istoriją. IT palaikymo komandos pasiekia klientų sistemas. Tos sistemos saugo asmeninę informaciją.

ES piliečių įrašai apdorojami užsienyje. Paveikti asmenys dažnai yra vokiečiai, prancūzai, olandai ar britai. Kai įvyksta pažeidimas, jie kreipiasi į savo namų reguliatorių. Tai prideda BfDI, CNIL, ICO ar AP NL poveikį be ANSPDCP savo poveikio. Daugiau apie tarpvalstybines bylas žr. mūsų BfDI Vokietijos BDAR vadovą.

Silpnos subprocesoriaus grandinės. ANSPDCP nustatė, kad 45 % vietos įmonių neturi galiojančių duomenų tvarkymo sutarčių su savo subprocesoriais. Kiekviena DPA turi išvardyti technines priemones, kurių imsis subprocesorius.

Prieigos atšaukimo spragos. BPO pasižymi dideliu darbuotojų kaitumu. ANSPDCP nustato, kad buvę darbuotojai turi aktyvią prieigą savaites po išvykimo. Tai atsiranda byloje po bylos.

CNP: Rumunijos pagrindinis identifikatorius

Cod Numeric Personal (CNP) yra 13 skaitmenų nacionalinis ID numeris. Jame saugomi pagrindiniai asmens faktai:

  • 1 skaitmuo: Lytis ir gimimo amžius (1=vyras 1900–1999, 2=moteris 1900–1999, 5=vyras 2000+, 6=moteris 2000+, 7=vyras užsienietis, 8=moteris užsienietė)
  • 2–7 skaitmenys: Gimimo data (YYMMDD)
  • 8–9 skaitmenys: Gimimo apskrities kodas
  • 10–12 skaitmenys: Eilės numeris
  • 13 skaitmuo: Kontrolinis skaitmuo (svorinė modulus 11)

CNP saugo lytį, gimimo datą, gimimo regioną ir gyvenimo statusą. Tai daro jį kur kas turiningesnį nei dauguma ES ID. ANSPDCP suteikė CNP statusą, artimą ypatingos kategorijos.

Aptikimo spraga. ANSPDCP 2024 m. apžvalga parodė, kad 78 % PII įrankių autsorsingo įmonėse neaptinka CNP. Daugeliui trūksta kontrolinės sumos patikrų. CNP numeriai klientų ir darbuotojų failuose lieka nepastebėti. Patronuojančiosioms įmonėms siunčiami įrašai gali turėti tiesioginių piliečių duomenų. Pažeidimų analizė atskleidžia CNP failuose, pažymėtuose kaip anoniminiais.

Vykdymo dėmesys: 2024–2025 m.

Skambučių centro garso įrašai. ANSPDCP taikosi į įrašus be saugojimo plano ar prieigos kontrolių. Garso saugojimas neribotą laiką atitikties tikslais be ištrynimo grafiko pažeidžia BDAR.

Sveikatos priežiūros autsorsinga. Įmonės, apdorojančios medicinos įrašus, reikalavimus ar receptų failus, susiduria su didžiausia rizika. Sveikatos įrašai yra 9 straipsnio ypatingoji kategorija. Jiems reikia aiškaus teisinio pagrindo, DPIA ir stiprių techninių kontrolės priemonių.

Prieigos registravimas. ANSPDCP auditai nustato silpnus žurnalus. Įmonės negali parodyti, prie kurių įrašų buvo prieita, kas tai darė ar kada. Žurnalai turi būti pakankamai išsamūs, kad po pažeidimo būtų galima nustatyti jo mastą.

Kalba: paslėpta spraga

Vietos dokumentuose yra identifikatoriai, kuriuos praleidžia bendrieji įrankiai.

Cartea de identitate (CI). Tai nacionalinė tapatybės kortelė. Ji turi savo numerio formatą. Nuskaitytos kopijos registracijos failuose reikalauja specifinės aptikimo logikos.

Kalbai būdinga NER. Palaikymo bilietai ir klientų žinutės reikalauja NLP, sukurto šiai kalbai. Anglų kalba apmokyti įrankiai čia veikia prastai.

Adresų formatai. Tokie terminai kaip Strada, Bulevardul ir Numărul yra unikalūs šiai rinkai. Anglų ar vokiečių kalbomis apmokyti modeliai dažnai juos praleidžia.

Dėl žingsnių, skirtų atitikti ANSPDCP standartą, žr. mūsų vadovą apie anonimizacijos nuoseklumą BDAR auditams.

Ko reikia BPO įmonėms

Keturi dalykai atitinka ANSPDCP techninį standartą:

  1. CNP aptikimas su kontrolinės sumos tikrinimu
  2. Cartea de identitate ir paso aptikimas
  3. Kalbai būdinga NER
  4. Subprocesoriaus sutartys su konkrečiais techniniais žingsniais

Šaltiniai

Susiję Straipsniai

GDPR ir Atitiktis

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ir Atitiktis

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ir Atitiktis

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.