Проблема квази-PII
Статья 4 GDPR определяет персональные данные как "любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу." Ключевое слово — "идентифицируемый" — не только в текущем идентифицированном состоянии, но и способный к идентификации через дополнительную обработку. Значение, которое не является напрямую идентифицирующим, но может быть связано с реальным человеком через внутренние системы, является персональными данными в соответствии с GDPR.
Внутренние идентификаторы сотрудников — самый распространенный пример. "EMP-EU-123456" не идентифицирует никого напрямую. Но база данных HR содержит таблицу: EMP-EU-123456 → Мария Шмидт, старший инженер, Мюнхен. Любой документ, содержащий EMP-EU-123456, может быть связан с Марией Шмидт любым человеком, имеющим доступ к базе данных HR. В соответствии с GDPR, EMP-EU-123456 является персональными данными — это информация, относящаяся к идентифицируемому физическому лицу.
Та же самая аналитика применяется к номерам учетных записей клиентов (связь с записями CRM), кодам проектов (связь с идентификацией клиента в базах данных контрактов), внутренним ссылочным номерам для юридических дел (связь с участниками дела в DMS) и номерам медицинских записей во внешних системах (связь с записями пациентов в EHR больницы).
Организации, которые анонимизируют очевидные PII (имена, адреса электронной почты, национальные идентификаторы), но оставляют внутренние идентификаторы нетронутыми, не достигли соответствующей анонимизации по GDPR. Они достигли де-анонимизации в два этапа, а не в один — требуя от злоумышленника (или слишком любопытного сотрудника) обратиться к базе данных HR, а не читать документ напрямую.
Проблема охвата на практике
Ежегодный отчет DLA Piper по GDPR за 2025 год показал, что 34% всех штрафов по GDPR связаны с недостаточными техническими мерами в соответствии со Статьей 32 — требование внедрить соответствующие технические меры защиты. Недостаточная анонимизация, включая неудачу в обнаружении и удалении квази-идентифицирующих внутренних идентификаторов, является задокументированной категорией нарушений Статьи 32.
EDPB обработал 900+ случаев механизма согласованности в 2024 году, что отражает растущий объем координации по обеспечению соблюдения среди государств-членов ЕС. Трансграничное соблюдение (где ведущий надзорный орган в одной стране координирует с другими) означает, что нарушение Статьи 32 в наборе данных, передаваемом через границы ЕС, может вызвать координированное соблюдение.
Решение без кода
Для команды соблюдения норм глобальной логистической компании, анонимизирующей записи сотрудников для внешнего аудита HR:
Идентификаторы сотрудников следуют формату EMP-[REGION]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. Команда соблюдения предоставляет 3 примера помощнику AI по шаблонам. AI возвращает: обнаруженный шаблон EMP-[A-Z]{2,4}-d{6}; соответствует всем предоставленным примерам; предложенное имя сущности: EMPLOYEE-ID; тестирование на крайних случаях, включая разные коды регионов.
Команда тестирует на 10 дополнительных образцах, включая EMP-DACH-000001 и EMP-APAC-999999. Шаблон корректно валидируется. Пользовательская сущность сохраняется в предустановке соблюдения GDPR, общей для всех членов команды. Все 47 документов в пакете аудита HR обрабатываются за один раз. Все идентификаторы сотрудников заменяются псевдонимами на основе ролей. Аудиторская компания получает документы, которые не могут быть связаны с отдельными сотрудниками через какую-либо внутреннюю базу данных.
Источники: