ÚOOÚ и GDPR в чешской промышленности
Úřad pro ochranu osobních údajů (ÚOOÚ) вынес 58 решений о применении санкций в 2024 году. На производственные и автомобильные компании пришлось 34% от их общего числа — больше, чем в любом другом секторе.
Skoda Auto, Toyota, Foxconn и многочисленные поставщики комплектующих работают в Чехии. Соответствие GDPR в этой среде требует инструментов, поддерживающих местные форматы данных. Большинство применяемых решений с этим не справляются.
Проблема инструментов материнских компаний
Данные ÚOOÚ выявляют устойчивую закономерность: зарубежные материнские компании внедряют в своих местных подразделениях инструменты обработки персональных данных, настроенные под иностранные реалии.
Когда крупный холдинг разворачивает в пражском офисе стандартный корпоративный инструмент, возникают следующие проблемы:
- Инструмент настроен на зарубежные идентификаторы и не охватывает местные.
- Трудовые договоры и кадровые документы составлены на чешском языке, на котором инструмент не обучен.
- Точность распознавания именованных сущностей (NER) для чешского текста на 23% ниже, чем для аналогичного текста на других языках (техническое руководство ÚOOÚ, 2024).
- Rodné číslo пропускается в файлах без явной пометки «чешский».
- Данные о здоровье и кадровые данные сотрудников перемещаются без требуемой нормативами защиты.
67% местных компаний используют инструменты, не распознающие специфические для страны идентификаторы. ÚOOÚ привлекает к ответственности местного контролёра, а не зарубежного вендора.
Rodné číslo: данные особой категории
Rodné číslo — это личный номер гражданина. Формат: RRMMDD/XXXX.
- Цифры 3–4 кодируют месяц рождения. У женщин к месяцу прибавляется 50: женщина, рождённая в январе, имеет код 51, а не 01.
- Косая черта разделяет дату и порядковый суффикс.
- Суффикс состоит из 3–4 цифр с контрольной цифрой по алгоритму модуля 11.
Кодирование пола делает этот номер данными особой категории по смыслу Статьи 9 GDPR — он по конструкции раскрывает биологический пол. К таким данным применяется повышенный уровень защиты.
Необходимо обеспечить корректную обработку трёх аспектов: сдвига месяца для женщин (правило «+50»), контрольной цифры по модулю 11, а также обоих форматов — 9-значного (до 1954 года рождения) и 10-значного.
Простого сопоставления с шаблоном для соответствия стандарту ÚOOÚ недостаточно.
Другие ключевые идентификаторы
Číslo občanského průkazu (OP): национальное удостоверение личности. Девять буквенно-цифровых символов. Встречается в договорах, журналах посещений и медицинских картах.
IČO: восьмизначный регистрационный номер организации. Присутствует в договорах с поставщиками рядом с персональными данными законных представителей.
DIČ: формат CZ + rodné číslo (для физических лиц) или CZ + IČO (для юридических лиц). Личный DIČ встречается в договорах с самозанятыми.
IBAN: формат CZ + 22 цифры. Распространён в платёжных ведомостях и авансовых отчётах.
Уязвимости производственного сектора
Кадровые документы: расчёт заработной платы для местных сотрудников включает личные номера, удостоверения личности и банковские реквизиты. Трансграничные кадровые передачи требуют оценок воздействия передачи (TIA).
Отслеживание качества: производственные системы в автомобилестроении нередко связывают записи о дефектах с конкретными работниками. Это персональные данные внутри операционных технологий, подпадающие под GDPR вне зависимости от кадровых систем.
Данные дилерских сетей: крупные сети производителей обрабатывают записи о тест-драйвах, заявки на финансирование и историю обслуживания — во многих из них содержатся личные номера.
См. наш справочник по соответствию GDPR и обзор многоязычного обнаружения персональных данных о том, как пробелы в идентификаторах проявляются в разных юрисдикциях ЕС. Полный перечень сущностей см. в справочнике по сущностям.
Основное требование просто: обнаружение rodné číslo должно включать обработку гендерного сдвига и валидацию контрольной суммы, а также поддержку нативной NER для обработки текста и смешанных языковых пайплайнов.