Реальность соблюдения
Европейский комитет по защите данных и национальные надзорные органы оценивают соблюдение GDPR на основе результатов, а не усилий. Организация, использующая инструмент обнаружения PII добросовестно, но чей инструмент систематически пропускает национальные идентификаторы Франции, Германии и Польши, все равно не выполнила "соответствующие технические меры" в соответствии со статьей 32 GDPR.
Защита "мы использовали инструмент" не удовлетворяет стандарту, когда инструмент явно не может обнаружить типы персональных данных, присутствующие в данных организации.
Это не гипотетический риск. Надзорные органы, расследующие утечки данных и неудачи запросов доступа субъектов данных, регулярно проверяют технические меры, используемые для анонимизации данных. Когда проверка показывает, что инструмент был ориентирован на английский и обрабатывал многоязычные данные, требование "соответствующих мер" становится центральным вопросом соблюдения.
Что находят надзорные органы
Данные о соблюдении GDPR за 2024 год показывают, что нарушения статьи 32 (технические и организационные меры) представляют собой одну из самых распространенных причин для штрафов. Организации указывают автоматизированные инструменты анонимизации как часть своей документации по техническим мерам — и надзорные органы проверяют, действительно ли эти инструменты работают для обрабатываемых типов данных.
Для многонациональных работодателей, обрабатывающих записи сотрудников в государствах-членах ЕС, риск систематический. Платформа программного обеспечения для HR, которая анонимизирует данные сотрудников перед аналитической обработкой, может правильно удалить PII на английском языке, оставляя нетронутыми французские номера социального страхования (NIR), немецкие налоговые идентификаторы (Steuer-ID), шведские personnummers и польские номера PESEL.
Организация считает, что она внедрила технические меры. Надзорный орган находит, что 40% персональных данных в "анонимизированном" наборе данных все еще можно идентифицировать по национальным идентификаторам, которые распознаватель инструмента не охватывал.
Конкретные форматы идентификаторов, которые пропускают инструменты только на английском
Структурные различия между национальными идентификаторами ЕС и американскими/общими форматами означают, что инструменты, ориентированные на английский, не могут надежно их обнаружить:
Немецкий Steuer-Identifikationsnummer: 11-значный формат с алгоритмом контрольной суммы. Не обнаруживается инструментами, которые распознают только форматы американских SSN (9-значные).
Французский NIR (numéro de sécurité sociale): 15-значный формат, кодирующий пол, год рождения, департамент и контрольный ключ. Не обнаруживается общими шаблонами телефонных номеров или номеров удостоверений личности.
Шведский Personnummer: 10 или 12-значный формат с контрольной цифрой Луна. Формат меняется для лиц, родившихся до 1990 года, требуя осведомленности о формате, которой нет у общих шаблонов.
Польский PESEL: 11-значный формат, кодирующий дату рождения и пол. Без проверки контрольной суммы уровень ложных срабатываний для обнаружения PESEL неприемлемо высок.
Организации, обрабатывающие эти данные, не являются необычными: любой работодатель в ЕС, финансовая компания, поставщик медицинских услуг или государственное учреждение, обрабатывающее данные от граждан Германии, Франции, Швеции или Польши, регулярно сталкивается с этими идентификаторами.
Стандарт соблюдения основан на результатах
Требование GDPR о "соответствующих технических и организационных мерах" (статья 32) основано на результатах, а не на усилиях. Стандарт не "организация использовала инструмент обнаружения PII." Стандарт — "использованный инструмент обеспечил соответствующую защиту для обрабатываемых персональных данных."
Для организаций, обрабатывающих многоязычные данные ЕС, "соответствующее" означает, что немецкие клиентские Steuer-IDs обнаруживаются и удаляются в той же операции, которая удаляет английские адреса электронной почты и американские телефонные номера. Организация, которая достигает 95% удаления PII для данных на английском языке и 0% удаления PII для немецких национальных идентификаторов, не внедрила соответствующие технические меры для своих немецких данных.
Инвестиции в соблюдение многоязычной способности не являются необязательными для организаций с риском многоязычных данных в ЕС. Это компонент технических мер, которые требует GDPR.
Для многонациональных организаций, оценивающих, соответствует ли их текущий инструмент стандарту: тест не "может ли инструмент обнаружить адреса электронной почты на любом языке?" Это "может ли инструмент обнаружить форматы национальных идентификаторов, присутствующие в наших фактических данных?" Для операций в ЕС с сотрудниками, клиентами или пациентами из Германии, Франции, Польши, Швеции или любого другого государства-члена ЕС этот тест требует охвата распознавателя, специфичного для юрисдикции.
Источники: