Инструменты защиты ПДн только на английском: риски GDPR
Обновлено для 2026 года
Реалии правоприменения
GDPR ориентирован на результат, а не на намерения. Компания может добросовестно использовать инструмент обнаружения ПДн. Но если этот инструмент пропускает французские, немецкие или польские идентификаторы — компания всё равно нарушает статью 32. Правило требует «надлежащих технических мер». Инструмент, неспособный найти идентификаторы в ваших записях, этому требованию не соответствует. Добрые намерения ничего не меняют.
Аргумент «мы использовали инструмент» не работает. Надзорные органы изучают конкретные использованные инструменты. Когда инструмент, ориентированный только на английский язык, обрабатывал многоязычные записи, статья 32 становится ключевым вопросом.
Это реальная правоприменительная практика. Она зафиксирована в делах GDPR по всему ЕС.
Что обнаруживают надзорные органы
Данные GDPR за 2024 год показывают, что нарушения статьи 32 входят в число наиболее распространённых оснований для штрафов. Компании ссылаются на автоматизированные инструменты анонимизации как на доказательство технических мер. Надзорные органы затем проверяют, работают ли эти инструменты.
Для международных работодателей риск носит системный характер. Возьмём HR-платформу. Она удаляет персональные данные перед аналитикой. Возможно, она убирает английские адреса электронной почты и номера телефонов. Но оставляет нетронутыми французские номера NIR, немецкие Steuer-ID и польские PESEL. Шведские personnummer также остаются.
Компания считает записи очищенными. Надзорный орган обнаруживает, что 40% идентификаторов в «анонимизированном» наборе данных по-прежнему присутствуют. Это национальные идентификаторы, которые инструмент никогда не охватывал.
Форматы идентификаторов, которые пропускают инструменты только для английского языка
Национальные идентификаторы ЕС отличаются от американских и общих форматов. Инструменты, ориентированные только на английский язык, не могут их обнаружить:
Немецкий Steuer-Identifikationsnummer: 11-значный формат с контрольной суммой. Инструменты, созданные для паттернов SSN США (9 цифр), его не улавливают.
Французский NIR (numéro de sécurité sociale): 15-значный формат. Кодирует пол, год рождения и департамент. Общие паттерны идентификаторов с ним не совпадают.
Шведский Personnummer: 10 или 12 цифр с контрольной цифрой Луна. Для лиц, рождённых до 1990 года, формат меняется. Общие паттерны этого не учитывают.
Польский PESEL: 11 цифр с закодированными датой рождения и полом. Без проверки контрольной суммы доля ложных срабатываний становится слишком высокой.
Это распространённые идентификаторы. Любой работодатель ЕС, провайдер здравоохранения или финансовая компания, работающая с немецкими, французскими, шведскими или польскими записями, неизбежно с ними встретится. Они не редкость. Полный список поддерживаемых типов идентификаторов см. в справочнике по сущностям.
GDPR ориентирован на результат
Статья 32 GDPR требует «надлежащих технических и организационных мер». Планка — по результату. Использовала ли организация инструмент? Это не тот вопрос. Защитил ли инструмент обрабатываемые персональные записи? Вот правильный вопрос.
Для организаций с многоязычными записями ЕС «надлежащий» означает обнаружение немецких Steuer-ID в том же проходе, что и английских адресов электронной почты. Организация, улавливающая 95% англоязычного контента, но 0% немецких национальных идентификаторов, этой планке не соответствует. Пробел означает провал для немецких записей.
Многоязычное покрытие — не опция. Это часть того, что требует статья 32. Точка. Полная система требований описана в нашем руководстве по соответствию GDPR.
Как оценить ваш инструмент
Правильный вопрос к вашему инструменту прост. Может ли он находить адреса электронной почты на любом языке? Это важно, но менее принципиально. Может ли он находить форматы национальных идентификаторов в ваших реальных записях? Вот настоящий тест.
Для операций ЕС, обслуживающих Германию, Францию, Польшу или Швецию, это означает поддержку распознавателей, специфичных для каждой локали. Если ваш инструмент не может продемонстрировать уверенные показатели обнаружения для этих форматов — считайте этот пробел действующим риском несоответствия. На нашей странице безопасности и соответствия объясняется, как мы обеспечиваем многоязычное покрытие.
anonym.legal обнаруживает немецкий Steuer-ID, французский NIR, шведский Personnummer, польский PESEL и национальные идентификаторы всех государств-членов ЕС. Каждый распознаватель использует валидацию с учётом контрольной суммы для точных результатов.