Romnias Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) overvåker en overholdelsestransformasjon i en av EUs raskest voksende teknologiske og outsourcingssektorer. București, Cluj-Napoca og Iași behandler EU-borgerdata fra Tyskland, Frankrike, Storbritannia og Nederland i stor skala — og ANSPDCPs håndhevelse er i sterk oppadgående trend.
ANSPDCP ilagte €1,8 millioner i GDPR-bøter mellom 2022 og 2024, med BPO/outsourcing-sektoren som representerer den høyeste konsentrasjonen av håndhevelsessaker.
Den rumenske BPO GDPR-eksponeringsprofilen
Høyvolum behandling av personopplysninger: Call-sentre som behandler fakturakonflikter håndterer navn, adresser, kontonumre, betalingshistorikk og bruksdata for tjenester. IT-støttetjenester får tilgang til kundens systemkonfigurasjoner som inneholder personopplysninger.
EU-borgerdata i rumenske hender: Databeskyttede personer er primært tyske, franske, nederlandske eller britiske borgere. Når ting går galt, eskalerer berørte databeskyttede personer til sin hjemlige DPA — noe som skaper grensekryssende håndhevelseseksponering fra BfDI, CNIL, ICO eller AP NL i tillegg til ANSPDCPs jurisdiksjon.
Kompleksitet i underleverandørkjeden: ANSPDCP fant at 45% av rumenske virksomheter mangler tilstrekkelige databehandlingsavtaler med sine underleverandører. DPA-ene må spesifisere de tekniske tiltakene underleverandøren vil implementere.
Feil ved tilbakekalling av tilgang: BPO-sektorer har høy ansattomsetning. ANSPDCP finner gjentatte ganger at tidligere ansatte beholder aktive legitimasjoner uker etter avgang — en gjentakende overtredelse i rumenske håndhevelsessaker.
CNP: Rumens primære PII-identifikator
Cod Numeric Personal (CNP) er et 13-sifret nasjonalt identifikasjonsnummer som koder:
- Siffer 1: Kjønn og århundre (1=mann 1900-1999, 2=kvinne 1900-1999, 5=mann 2000+, 6=kvinne 2000+, 7=mann utenlandsk bosatt, 8=kvinne utenlandsk bosatt)
- Siffer 2-7: Fødselsdato (YYMMDD)
- Siffer 8-9: Fødestedkode
- Siffer 10-12: Sekvensnummer
- Siffer 13: Kontrollsiffer (vektet modulus 11)
CNP koder kjønn, fødselsdato, fødested og statsborgerskapsstatus — noe som gjør det mye rikere i personlig informasjon enn de fleste vest-europeiske identifikatorer. ANSPDCP har klassifisert CNP som å kreve økt beskyttelse nær spesialkategori-status.
Deteksjonsproblemet: ANSPDCPs håndhevelsesgjennomgang for 2024 fant at 78% av PII-verktøyene som brukes i rumensk outsourcing ikke klarer å oppdage CNP med riktig sjekksumvalidering. Konsekvensene:
- CNP-numre i kunderegistre, ansattfiler og ID-skannede kopier går uoppdaget
- Data delt med vest-europeiske morselskaper for analyser eller AI-trening inneholder identifiserbare rumenske borgere
- Analyse etter brudd avslører CNP-eksponering i data sertifisert som "anonymisert"
ANSPDCPs håndhevelsesprioriteringer 2024-2025
Opptak av samtaler i call-sentre: ANSPDCP har målrettet opptakspraksiser som mangler tilstrekkelige oppbevaringsplaner eller tilgangskontroller. Opptak som beholdes "indefinitivt for overholdelse" uten dokumentert formål og slettingsplaner bryter med GDPR.
Utsourcing av helsedata: Rumenske selskaper som behandler medisinske journaler, forsikringskrav eller reseptdata for vest-europeiske kunder står overfor den høyeste bøteeksponeringen. Helsedata (Artikkel 9 spesialkategori) krever eksplisitt juridisk grunnlag, DPIA og økte tekniske tiltak.
Tilgangskontroll og logging: ANSPDCP-revisjoner identifiserer konsekvent utilstrekkelig logging — organisasjoner kan ikke demonstrere hvilke data som ble aksessert, av hvem, og når. For rumenske BPO-selskaper som håndterer EU-kundedata, må tilgangslogger være omfattende nok til å bestemme omfanget av brudd i tilfelle hendelse.
Rumensk språk: Det manglende laget
Utover CNP inneholder rumenske dokumenter identifikatorer som generiske verktøy overser:
Cartea de identitate (CI): Rumensk nasjonal ID-kort med unikt nummerformat. Skannede kopier i kundens onboarding-filer krever deteksjon.
Rumensk-språklig NER: Kundekorrespondanse, supportbilletter og interne dokumenter på rumensk krever rumensk-språklig naturlig språkprosessering. Verktøy som er avhengige av engelsk NLP anvendt på rumensk tekst presterer betydelig dårligere.
Adresseformater: Rumenske adressekonvensjoner ("Strada," "Bulevardul," "Numărul") skiller seg fra vest-europeiske formater og blir ofte feilbehandlet av NLP-modeller trent på engelsk eller tysk.
For rumenske outsourcing-organisasjoner: CNP-detektering med sjekksumvalidering, rumensk nasjonal ID og passdeteksjon, rumensk språk NER, og dokumentert underleverandørhåndtering er de fire kapabilitetene som tilfredsstiller ANSPDCPs tekniske tilstrekkelighetsstandard.
Kilder: