anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

ANSPDCP Rumunia: BPO, RODO i Ryzyko CNP

Rumuński sektor BPO przetwarza dziennie 2,3 mln rekordów obywateli UE. ANSPDCP nałożył kary w wysokości 1,8 mln euro w latach 2022–2024. 78% narzędzi nie wykrywa rumuńskiego CNP poprawnie.

June 5, 20268 min czytania
Romania ANSPDCPCNP detectionBPO GDPREastern Europe complianceoutsourcing data protection

ANSPDCP Rumunia: Ryzyka RODO w Sektorze BPO

Rumuński organ ochrony prywatności intensyfikuje egzekwowanie przepisów RODO. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nadzoruje jeden z najszybciej rozwijających się sektorów outsourcingowych w UE.

Bukarest, Kluż-Napoka i Jassy przetwarzają dane obywateli UE — Niemców, Francuzów, Brytyjczyków i Holendrów. ANSPDCP nałożył kary RODO w łącznej wysokości 1,8 mln euro w latach 2022–2024. W zdecydowanej większości tych spraw figurowały firmy BPO i outsourcingowe.

Cztery Główne Obszary Ryzyka dla Sektora BPO

Duże wolumeny danych osobowych. Call center obsługują spory dotyczące rozliczeń. Przetwarzają imiona i nazwiska, adresy, numery kont i historię płatności. Zespoły wsparcia IT mają dostęp do systemów klientów zawierających dane osobowe.

Dane obywateli UE przetwarzane za granicą. Osoby poszkodowane często są Niemcami, Francuzami, Holendrami lub Brytyjczykami. W przypadku naruszenia danych zwracają się do swojego krajowego organu nadzorczego. To dodaje ryzyko ze strony BfDI, CNIL, ICO lub AP NL do sankcji ANSPDCP. Więcej o sprawach transgranicznych — w naszym przewodniku RODO BfDI Niemcy.

Słabe ogniwa łańcucha podprzetwarzania. ANSPDCP stwierdził, że 45% lokalnych firm nie posiada ważnych Umów o Przetwarzaniu Danych z podprzetwarzającymi. Każda umowa DPA musi określać konkretne środki techniczne, które podprzetwarzający zobowiązuje się zastosować.

Luki w cofaniu dostępu. W sektorze BPO rotacja pracowników jest wysoka. ANSPDCP regularnie stwierdza, że byli pracownicy zachowują aktywny dostęp tygodniami po odejściu. Ten problem pojawia się w kolejnych sprawach.

CNP: Kluczowy Rumuński Identyfikator

Cod Numeric Personal (CNP) to 13-cyfrowy krajowy numer identyfikacyjny. Przechowuje kluczowe informacje osobiste:

  • Cyfra 1: Płeć i wiek (1=mężczyzna 1900–1999, 2=kobieta 1900–1999, 5=mężczyzna 2000+, 6=kobieta 2000+, 7=mężczyzna — rezydent zagraniczny, 8=kobieta — rezydent zagraniczny)
  • Cyfry 2–7: Data urodzenia (RRMMDD)
  • Cyfry 8–9: Kod powiatu urodzenia
  • Cyfry 10–12: Numer kolejny
  • Cyfra 13: Cyfra kontrolna (ważona modulo 11)

CNP przechowuje płeć, datę urodzenia, region urodzenia i status rezydenta. Jest zatem znacznie bogatszy w treść niż większość unijnych identyfikatorów. ANSPDCP przypisał CNP status zbliżony do danych szczególnej kategorii.

Luka w wykrywaniu. Przegląd ANSPDCP z 2024 roku wykazał, że 78% narzędzi do ochrony danych osobowych stosowanych w firmach outsourcingowych nie wykrywa CNP. Większość z nich nie wykonuje weryfikacji sumy kontrolnej. Numery CNP w rekordach klientów i dokumentach pracowniczych umykają uwadze. Pliki przesyłane do spółek matek mogą zawierać aktywne dane obywateli. Analizy przeprowadzone po incydentach ujawniają CNP w plikach opisanych jako „zanonimizowane”.

Priorytety Egzekwowania: 2024–2025

Nagrania call center. ANSPDCP objął nadzorem nagrania bez planu retencji ani kontroli dostępu. Przechowywanie dźwięku „bezterminowo dla celów compliance” bez harmonogramu usuwania narusza RODO.

Outsourcing w ochronie zdrowia. Firmy przetwarzające dokumentację medyczną, roszczenia lub recepty ponoszą najwyższe ryzyko. Dane medyczne są daną szczególnej kategorii na mocy art. 9 RODO. Wymagają wyraźnej podstawy prawnej, DPIA i rygorystycznych zabezpieczeń technicznych.

Rejestrowanie dostępu. Audyty ANSPDCP ujawniają braki w logach. Firmy nie są w stanie wykazać, kto, kiedy i do jakich danych uzyskał dostęp. Logi muszą być na tyle kompletne, by umożliwić określenie zakresu naruszenia po jego wystąpieniu.

Język: Ukryta Luka

Lokalne dokumenty zawierają identyfikatory, które ogólne narzędzia pomijają.

Cartea de identitate (CI). To krajowy dowód tożsamości z własnym formatem numeru. Zeskanowane kopie w dokumentach rekrutacyjnych wymagają specyficznej logiki wykrywania.

NER dla języka rumuńskiego. Zgłoszenia serwisowe i wiadomości od klientów wymagają NLP zbudowanego pod ten język. Narzędzia trenowane na angielskich lub niemieckich tekstach działają tu słabo.

Formaty adresów. Terminy takie jak Strada, Bulevardul i Numărul są unikalne dla tego rynku. Modele trenowane na angielskim lub niemieckim często je pomijają.

Kroki potrzebne do spełnienia standardu ANSPDCP opisuje nasz przewodnik po spójności anonimizacji dla audytów RODO.

Czego Potrzebują Firmy BPO

Cztery elementy spełniają standard techniczny ANSPDCP:

  1. Wykrywanie CNP z walidacją sumy kontrolnej
  2. Wykrywanie Cartea de identitate i paszportu
  3. NER specyficzny dla języka rumuńskiego
  4. Umowy z podprzetwarzającymi z wymienionymi środkami technicznymi

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.