Rzeczywistość egzekwowania
Europejska Rada Ochrony Danych i krajowe organy nadzorcze oceniają zgodność z RODO na podstawie wyników, a nie wysiłku. Organizacja, która użyła narzędzia do wykrywania PII w dobrej wierze, ale której narzędzie systematycznie pomijało francuskie, niemieckie i polskie identyfikatory narodowe, nadal nie wdrożyła "odpowiednich środków technicznych" zgodnie z artykułem 32 RODO.
Obrona "użyliśmy narzędzia" nie spełnia standardu, gdy narzędzie wyraźnie nie może wykryć typów danych osobowych obecnych w danych organizacji.
To nie jest hipotetyczne ryzyko. Organy nadzorcze badające naruszenia danych i niepowodzenia w realizacji wniosków o dostęp do danych podmiotów danych rutynowo sprawdzają środki techniczne stosowane do anonimizacji danych. Gdy badanie ujawnia, że narzędzie było skoncentrowane na języku angielskim i przetwarzało dane wielojęzyczne, wymaganie "odpowiednich środków" staje się centralnym pytaniem egzekucyjnym.
Co znajdują organy nadzorcze
Dane dotyczące egzekwowania RODO z 2024 roku pokazują, że naruszenia artykułu 32 (środki techniczne i organizacyjne) stanowią jedną z najczęstszych podstaw do nałożenia kar. Organizacje wymieniają zautomatyzowane narzędzia anonimizacji jako część swojej dokumentacji dotyczącej środków technicznych — a organy nadzorcze sprawdzają, czy te narzędzia rzeczywiście działają dla przetwarzanych typów danych.
Dla międzynarodowych pracodawców przetwarzających dane pracowników w różnych państwach członkowskich UE, narażenie jest systematyczne. Platforma oprogramowania HR, która anonimizuje dane pracowników przed przetwarzaniem analitycznym, może poprawnie usunąć PII w języku angielskim, pozostawiając nietknięte francuskie numery ubezpieczenia społecznego (NIR), niemieckie identyfikatory podatkowe (Steuer-ID), szwedzkie personnummers i polskie numery PESEL.
Organizacja uważa, że wdrożyła środki techniczne. Organ nadzorczy stwierdza, że 40% danych osobowych w "anonimizowanym" zbiorze danych jest nadal identyfikowalne za pomocą krajowych identyfikatorów, które rozpoznawacz narzędzia nie obejmował.
Specyficzne formaty identyfikatorów, które narzędzia tylko w języku angielskim pomijają
Różnice strukturalne między krajowymi identyfikatorami UE a formatami amerykańskimi/genericznymi oznaczają, że narzędzia skoncentrowane na języku angielskim nie są w stanie ich niezawodnie wykryć:
Niemiecki Steuer-Identifikationsnummer: format 11-cyfrowy z algorytmem sumy kontrolnej. Nie wykrywane przez narzędzia, które rozpoznają tylko formaty amerykańskich SSN (9-cyfrowe).
Francuski NIR (numéro de sécurité sociale): format 15-cyfrowy kodujący płeć, rok urodzenia, departament i klucz kontrolny. Nie wykrywane przez ogólne wzory numerów telefonów lub numerów identyfikacyjnych.
Szwedzki Personnummer: format 10 lub 12-cyfrowy z cyfrą kontrolną Luhna. Format zmienia się dla osób urodzonych przed 1990 rokiem, co wymaga świadomości formatu, której ogólne wzory nie mają.
Polski PESEL: format 11-cyfrowy kodujący datę urodzenia i płeć. Bez walidacji sumy kontrolnej, wskaźnik fałszywych pozytywów dla wykrywania PESEL jest nieproporcjonalnie wysoki.
Organizacje przetwarzające te dane nie są niezwykłe: każdy pracodawca w UE, firma świadcząca usługi finansowe, dostawca usług zdrowotnych lub agencja rządowa przetwarzająca dane od niemieckich, francuskich, szwedzkich lub polskich osób napotyka te identyfikatory rutynowo.
Standard zgodności oparty na wynikach
Wymóg RODO dotyczący "odpowiednich środków technicznych i organizacyjnych" (artykuł 32) jest oparty na wynikach, a nie na wysiłku. Standard nie brzmi "organizacja użyła narzędzia do wykrywania PII." Standard brzmi "narzędzie użyte osiągnęło odpowiednią ochronę dla przetwarzanych danych osobowych."
Dla organizacji przetwarzających wielojęzyczne dane UE, "odpowiednie" oznacza, że niemieckie identyfikatory klientów Steuer-IDs są wykrywane i usuwane w tej samej operacji, która usuwa angielskie adresy e-mail i amerykańskie numery telefonów. Organizacja, która osiąga 95% usunięcia PII dla danych w języku angielskim i 0% usunięcia PII dla niemieckich identyfikatorów narodowych, nie wdrożyła odpowiednich środków technicznych dla swoich danych niemieckich.
Inwestycja w zgodność w zakresie zdolności wielojęzycznej nie jest opcjonalna dla organizacji z narażeniem na dane wielojęzyczne w UE. Jest to element środków technicznych wymaganych przez RODO.
Dla międzynarodowych organizacji oceniających, czy ich obecne narzędzie spełnia standard: test nie brzmi "czy narzędzie może wykryć adresy e-mail w dowolnym języku?" Brzmi "czy narzędzie może wykryć formaty identyfikatorów narodowych obecnych w naszych rzeczywistych danych?" Dla operacji w UE z pracownikami, klientami lub pacjentami z Niemiec, Francji, Polski, Szwecji lub jakiegokolwiek innego państwa członkowskiego UE, ten test wymaga pokrycia rozpoznawania specyficznego dla jurysdykcji.
Źródła: