Kaj je kvazi-osebni podatek?
Clen 4 GDPR zajema vse podatke, ki lahko identificirajo osebo. Podatki ne potrebujejo neposredno poimenovati nekoga. Potrebno je le, da je identifikacija mozna z dodatnimi koraki.
Interni ID-ji zaposlenih so jasen primer. Vzemite vrednost "EMP-EU-123456." Ta niz ne imenuje nikogar. Toda HR sistem vsebuje preprosto iskalno tabelo. EMP-EU-123456 se preslika v Mario Schmidt, visjo inzenirko, Munchen. Vsak z dostopom do te tabele jo lahko najde. Po GDPR je ID osebni podatek.
Enako pravilo velja za druge interne kode:
- Stevilke racunov strank, ki se navezujejo na zapise CRM
- Kode projektov, ki se navezujejo na imena strank v pogodbenih sistemih
- Referenne stevilke primerov v pravnih datotekah
- Stevilke medicinskih kartotek, ki se navezujejo na zapise pacientov
Odstranitev imen in e-postnih naslovov ni dovolj. Ce v datoteki ostanejo interni ID-ji, je ponovna identifikacija le dva koraka stran.
Zakaj ta vrzel vodi do glob
34% vseh glob GDPR vkljucuje neprimerne tehnicne ukrepe po clenu 32. Ta stevilka izhaja iz porocila DLA Piper 2025 GDPR Annual Report. Nezmoznost zaznavanja kvazi-identifikacijskih internih identifikatorjev spada v to kategorijo.
EDBP je obravnaval vec kot 900 primerov mehanizmov za zagotavljanje skladnosti v letu 2024. Cezmejna izvrsevalnost pomeni, da ena vrzel v skupnem naboru podatkov lahko privede do usklajenega ukrepanja v vec drzavah clanicicah EU.
Standardna orodja za osebne podatke najdejo splosne vzorce: imena, e-postne naslove, telefonske stevilke, nacionalne ID-je. Ne poznajo vasega notranjega formata ID-ja. Nobeno orodje ga ne pozna, dokler mu to ne poveste. To je vrzel.
Kako deluje gradnik vzorcev brez kode
Globalno logisticno podjetje mora anonimizirati zapise zaposlenih za zunanjo revizijo. Njihovi ID-ji zaposlenih uporabljajo ta format: EMP-[REGIJA]-[6 stevk]. Trije primeri: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
Ekipa za skladnost vnese tri primere v pomoc z vzorci AI. AI vrne:
- Vzorec:
EMP-[A-Z]{2,4}-\d{6} - Ujema vse tri primere
- Predlagano ime entitete: EMPLOYEE-ID
- Priporocen naslednji korak: preizkusite z vec regionalnimi kodami
Ekipa preizkusi se deset vzorcev. Vzorec deluje na vseh.
Shranijo entiteto po meri v skupno prednastavitev GDPR ekipe. Vseh 47 dokumentov v revizijskem paketu je obdelanih v eni seriji. Vsak ID zaposlenega je nadomesCen z oznako na podlagi vloge. Revizijsko podjetje prejme datoteke, ki se ne navezujejo na nobeno posamezno osebo.
Inzenirska pomocni ni potrebna. Celotna nastavitev traja manj kot uro.
Kaj se zgodi naprej
Ko je entiteta po meri shranjena v skupno prednastavitev, vsi clani ekipe uporabijo enako nastavitev. Novi zaposleni jo dobijo prvi dan. Serijske naloge, klici API in rocne nalaganja vsi uveljavijo enak vzorec.
Revizijska sled prikazuje, katera prednastavitev je bila uporabljena za vsako datoteko. Ce pristojni organ za varstvo podatkov zahteva dokaz vasega postopka anonimizacije, mu ga lahko pokazete.
Za celoten potek dela pri nastavitvi entitet po meri glejte identifikatorje osebnih podatkov po meri za organizacijsko anonimizacijo. Za ohranjanje te nastavitve konstantne po ekipah glejte prednastavitve skladnosti anonimizacije za revizijo GDPR.