ANSPDCP Rumunsko: rizika GDPR v BPO
Rumunsky organ na ochranu sukromia posiluje vymozitelnost GDPR. Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pokryva jeden z najrychlejsie rastucich outsourcingovych sektorov v EU.
Bukurest, Cluj-Napoca a Iasi spracuvaju zaznamy obcanov EU z Nemecka, Francie, Velke Britanie a Holandska. ANSPDCP vydal pokuty v ramci GDPR vo výske 1,8 miliona eur v rokoch 2022 az 2024. Vo vacsine tychto pripadov figurovali firmy z oblasti BPO a outsourcingu.
Expozicia BPO: styri hlavne rizikove oblasti
Masove objemy osobnych zaznamov. Call centrá vybavuju spory o vyuctovanie. Spracuvaju mena, adresy, cisla uctov a historiu platieb. Tímy IT podpory pristupuju k systemom zákaznikov. Tie obsahuju osobne informacie.
Zaznamy obcanov EU spracuvane v zahranici. Postihnuté osoby su casto Nemci, Francuzi, Holandania alebo Britania. Ked pride k naruse, obracia sa na svoj domaci urad. To pridava expozíciu voci BfDI, CNIL, ICO alebo AP NL nad ramec ANSPDCP. Pre viac informacii o cezhranicnych pripadoch pozri nasu prirucku BfDI Nemecko GDPR.
Slabe retazce sub-spracovatelov. ANSPDCP zistil, ze 45 % miestnych firiem nema platné zmluvy o spracovani dat so svojimi sub-spracovatelmi. Kazda DPA musi uvádzat technicke kroky, ktore sub-spracovatel podnikne.
Medzery v odvolani pristupu. V BPO je vysoka fluktuacia zamestnancov. ANSPDCP zistuje, ze byvali zamestnanci maju aktivny pristup týzdne po odchode. To sa objavuje pripad za pripadom.
CNP: kľucovy rumunsky identifikator
Cod Numeric Personal (CNP) je 13-ciferný národný identifikacný cislo. Uchováva klucove osobne udaje:
- Cifra 1: Pohlavie a storocie narodenia (1=muz 1900-1999, 2=zena 1900-1999, 5=muz 2000+, 6=zena 2000+, 7=muz cudzinec s pobytom, 8=zena cudzinka s pobytom)
- Cifry 2-7: Datum narodenia (RRMMDD)
- Cifry 8-9: Kod okresu narodenia
- Cifry 10-12: Poradové cislo
- Cifra 13: Kontrolna cifra (vazeny modulus 11)
CNP uchováva pohlavie, datum narodenia, región narodenia a stav pobytu. Vdaka tomu je omnoho bohatsi ako vacsina identifikátorov v EU. ANSPDCP ho zaradil blizko k statusu udajov specialnej kategorie.
Medzera v detekcii. Preskumanie ANSPDCP z roku 2024 zistilo, ze 78 % nastrojov PII v outsourcingových firmach nedeteguje CNP. Vacsine chybaju kontroly kontrolnych suctov. Cisla CNP v zaznamoch zákaznikov a suboroch zamestnancov zostávaju nepovsimnute. Zaznamy odoslané materskim firmam môzu obsahovat zive udaje obcanov. Preskumania po naruse odhaluju CNP v suboroch oznacenych ako "anonymizovane".
Vymozitelnost 2024-2025
Audio z call centier. ANSPDCP sa zameral na nahravky bez planu uchovávania alebo kontrol pristupu. Uchovávanie audia "na neurčito z dovodov suladnosti" bez planu vymazávania porušuje GDPR.
Outsourcing v zdravotnictve. Firmy, ktore spracuvaju zdravotné zaznamy, pohladavky alebo súbory o predpisoch, celia najvyššiemu riziku. Zdravotné zaznamy su v zmysle clanku 9 udajmi specialnej kategorie. Vyzaduju explicitny pravny zaklad, DPIA a sile technicke kontroly.
Logovacie pristupy. Audity ANSPDCP odhaluju slabé logy. Firmy nevedia preukaza, ku ktorym zaznamom bol pristupovany, kym a kedy. Logy musia byt dostacujuce na ohranicenie naruse po jeho vzniku.
Jazyk: skryta medzera
Miestne dokumenty obsahuju identifikatory, ktore generické nastroje prehliadaju.
Cartea de identitate (CI). Toto je narodni preukaz totoznoti. Ma vlastny format cisla. Skenované kopie v súboroch z onboardingu potrebuju specifickú detekčnú logiku.
NER specificky pre jazyk. Supportné tikety a správy zákaznikov vyzaduju NLP vytvorené pre tento jazyk. Nastroje trénované na anglictine sa tu moc neosvedcia.
Formáty adries. Vyrazy ako Strada, Bulevardul a Numarul su unikatne pre tento trh. Modely trénované na anglictine alebo nemcine ich casto prehliadaju.
Kroky na dosiahnutie štandardu ANSPDCP nájdete v nasej príručke o konzistencii anonymizácie pre audity GDPR.
Co firmy BPO potrebuju
Styri veci pokryvaju technický standard ANSPDCP:
- Detekcia CNP s overovaním kontrolného suctu
- Detekcia Cartea de identitate a pasu
- NER specificky pre jazyk
- Zmluvy so sub-spracovatelmi s menovanými technickými krokmi