Globalne dane osobowe: SSN, CPF, Aadhaar i inne
Problem narzędzi do ochrony danych osobowych skupionych na rynku USA
Większość narzędzi do wykrywania danych osobowych powstała w Stanach Zjednoczonych. Są nastawione na formaty danych charakterystyczne dla USA. Numer Social Security Number (SSN) ma dziewięć cyfr w formacie AAA-BB-CCCC. Jego segmenty obszarowy, grupowy i seryjny podlegają udokumentowanym regułom. Narzędzia skupione na rynku amerykańskim wykrywają go dobrze. Rozpoznają też numery telefonów, adresy e-mail i prawa jazdy wydane w USA. Nie wykrywają żadnego krajowego identyfikatora stosowanego poza granicami Stanów Zjednoczonych.
RODO nie przewiduje wyjątku dla danych wyłącznie z USA. Weźmy przykład: Steuer-ID, czyli numer identyfikacji podatkowej stosowany w Niemczech. To 11-cyfrowy identyfikator wydawany przez Bundeszentralamt für Steuern — jego ostatnia cyfra stanowi sumę kontrolną. Identyfikuje rezydenta Niemiec tak samo, jak SSN identyfikuje obywatela USA. Artykuł 4 RODO obejmuje „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Steuer-ID spełnia tę definicję. Jest daną osobową — niezależnie od tego, czy Twoje narzędzie rozpoznaje ten format.
Kary z RODO następowały po przypadkach ujawnienia danych osobowych specyficznych dla UE w systemach używających narzędzi skupionych wyłącznie na rynku USA. Luka w zakresie zgodności jest realna i pociąga za sobą konsekwencje prawne. Zapoznaj się z naszym przewodnikiem po zgodności z RODO.
Europejski krajobraz identyfikatorów
Luka w pokryciu jest znaczna. Oto zestawienie według krajów.
Niemcy: Steuer-ID — 11 cyfr, walidacja sumy kontrolnej. Sozialversicherungsnummer — 12 pól, sformatowany. Reisepass — 10 znaków z kodami urzędów.
Francja: NIR to krajowy numer ubezpieczenia społecznego. Składa się z 15 cyfr kodujących płeć, rok urodzenia, miesiąc urodzenia, departament, gminę i klucz kontrolny. SIRET to 14 cyfr. SIREN to 9 cyfr.
Szwecja: Personnummer ma format RRMMDD-XXXX. Samordningsnummer obejmuje osoby niebędące rezydentami. Wartość dnia jest przesunięta o 60.
Norwegia: Fødselsnummer ma 11 cyfr w formacie DDMMRRNNNKK. Płeć jest zakodowana w środkowej grupie cyfr. W D-numerze wartość dnia jest przesunięta o 40.
Brazylia: CPF — Cadastro de Pessoas Físicas — ma 11 cyfr z dwoma cyframi kontrolnymi. CNPJ to 14-cyfrowy identyfikator podmiotów gospodarczych.
Indie: Aadhaar to 12-cyfrowy identyfikator biometryczny z sumą kontrolną Verhoeffa. PAN to 10-znakowy numer identyfikacji podatkowej zawierający litery i cyfry.
Zjednoczone Emiraty Arabskie: Emirates ID ma 15 cyfr w formacie 784-rok urodzenia-sekwencja-cyfra kontrolna.
Globalny zespół HR obejmujący 12 krajów potrzebuje jednego narzędzia. Musi ono obsługiwać wszystkie 12 formatów krajowych identyfikatorów w jednym przebiegu. Utrzymywanie osobnych bibliotek wyrażeń regularnych dla każdego kraju jest niewykonalne w praktyce.
Architektura ponad 285 typów encji
Biblioteka ponad 285 typów encji obejmuje formaty wszystkich państw członkowskich UE, a także główne identyfikatory z regionu Azji i Pacyfiku — w tym Aadhaar, PAN, CPF, CNPJ, Emirates ID i tajski numer obywatelski. Uwzględnia również formaty stosowane w USA: SSN, EIN, stanowe prawa jazdy. Jeden silnik obsługuje je wszystkie. Biblioteka jest aktualizowana w miarę zmian formatów.
Właśnie tu leży luka, którą pozostawia większość narzędzi. Zapoznaj się z dokumentacją encji, aby sprawdzić pełen zakres pokrycia. Cennik według wolumenu znajdziesz na stronie pricing.