Problem quasi-PII
Artykuł 4 GDPR definiuje dane osobowe jako "wszelkie informacje odnoszące się do zidentyfikowanej lub identyfikowalnej osoby fizycznej." Kluczowe słowo to "identyfikowalna" — nie tylko obecnie zidentyfikowana, ale także mogąca być zidentyfikowana poprzez dodatkowe przetwarzanie. Wartość, która nie jest bezpośrednio identyfikująca, ale może być powiązana z rzeczywistą osobą poprzez systemy wewnętrzne, jest danymi osobowymi zgodnie z GDPR.
Wewnętrzne identyfikatory pracowników są najczęstszym przykładem. "EMP-EU-123456" nie identyfikuje bezpośrednio nikogo. Ale baza danych HR zawiera tabelę: EMP-EU-123456 → Maria Schmidt, Starszy Inżynier, Monachium. Każdy dokument zawierający EMP-EU-123456 może być powiązany z Marią Schmidt przez każdego, kto ma dostęp do bazy danych HR. Zgodnie z GDPR, EMP-EU-123456 jest danymi osobowymi — jest to informacja odnosząca się do identyfikowalnej osoby fizycznej.
Ta sama analiza dotyczy numerów kont klientów (łączących z rekordami CRM), kodów projektów (łączących z tożsamością klienta w bazach danych umów), wewnętrznych numerów referencyjnych dla spraw prawnych (łączących z uczestnikami spraw w DMS) oraz numerów rekordów medycznych w systemach zewnętrznych (łączących z rekordami pacjentów w EHR szpitala).
Organizacje, które anonimizują oczywiste PII (imiona, adresy e-mail, numery identyfikacyjne) ale pozostawiają nietknięte identyfikatory wewnętrzne, nie osiągnęły zgodnej z GDPR anonimizacji. Osiągnęły deanonimizację w dwóch krokach zamiast jednego — wymagając od atakującego (lub zbyt ciekawskiego pracownika) konsultacji z bazą danych HR zamiast bezpośredniego odczytania dokumentu.
Luka w pokryciu w praktyce
Raport roczny GDPR DLA Piper z 2025 roku wykazał, że 34% wszystkich kar GDPR dotyczy niewystarczających środków technicznych zgodnie z Artykułem 32 — wymogiem wdrożenia odpowiednich zabezpieczeń technicznych. Niewystarczająca anonimizacja, w tym brak wykrywania i usuwania quasi-identyfikujących identyfikatorów wewnętrznych, jest udokumentowaną kategorią naruszeń Artykułu 32.
EDPB przetworzyło 900+ przypadków mechanizmu spójności w 2024 roku, co odzwierciedla rosnącą liczbę koordynacji egzekwowania wśród państw członkowskich UE. Egzekwowanie transgraniczne (gdzie wiodący organ nadzorczy w jednym kraju koordynuje z innymi) oznacza, że naruszenie Artykułu 32 w zbiorze danych udostępnionym w UE może wywołać skoordynowane egzekwowanie.
Rozwiązanie wzorca bez kodu
Dla zespołu ds. zgodności globalnej firmy logistycznej anonimizującego rekordy pracowników na zewnętrzny audyt HR:
Identyfikatory pracowników mają format EMP-[REGION]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. Zespół ds. zgodności dostarcza 3 przykłady do pomocnika wzorców AI. AI zwraca: wykryty wzorzec EMP-[A-Z]{2,4}-d{6}; pasuje do wszystkich dostarczonych przykładów; sugerowana nazwa encji: EMPLOYEE-ID; testowanie na przypadkach brzegowych, w tym różne kody regionów.
Zespół testuje na 10 dodatkowych próbkach, w tym EMP-DACH-000001 i EMP-APAC-999999. Wzorzec waliduje poprawnie. Niestandardowa encja jest zapisywana w presecie zgodności GDPR udostępnionym wszystkim członkom zespołu. Wszystkie 47 dokumentów w pakiecie audytu HR jest przetwarzanych w jednej partii. Wszystkie identyfikatory pracowników są zastępowane pseudonimami opartymi na rolach. Firma audytorska otrzymuje dokumenty, które nie mogą być powiązane z poszczególnymi pracownikami przez jakąkolwiek wewnętrzną bazę danych.
Źródła: