ANSPDCP โรมาเนีย: BPO GDPR และความเสี่ยง CNP

ANSPDCP โรมาเนีย: ความเสี่ยง GDPR ในภาค BPO

หน่วยงานความเป็นส่วนตัวของโรมาเนียกำลังเข้มงวดการบังคับใช้ GDPR มากขึ้น Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ดูแลภาคจ้างช่วงที่เติบโตเร็วที่สุดแห่งหนึ่งของ EU

บูคาเรสต์ คลูจ-นาโปกา และยาชิต่างประมวลผลบันทึกพลเมือง EU จากเยอรมนี ฝรั่งเศส สหราชอาณาจักร และเนเธอร์แลนด์ ANSPDCP ออกค่าปรับ GDPR รวม 1.8 ล้านยูโรตั้งแต่ปี 2022 ถึง 2024 โดยบริษัท BPO และบริษัทจ้างช่วงเป็นส่วนใหญ่ของคดีเหล่านั้น

ความเสี่ยง BPO: สี่ด้านความเสี่ยงหลัก

บันทึกส่วนบุคคลปริมาณสูง ศูนย์บริการลูกค้าจัดการข้อพิพาทการเรียกเก็บเงิน ประมวลผลชื่อ ที่อยู่ หมายเลขบัญชี และประวัติการชำระเงิน ทีมสนับสนุนไอทีเข้าถึงระบบลูกค้าที่เก็บข้อมูลส่วนบุคคล

บันทึกพลเมือง EU ที่ประมวลผลในต่างประเทศ ผู้ที่ได้รับผลกระทบมักเป็นชาวเยอรมัน ฝรั่งเศส ดัตช์ หรืออังกฤษ เมื่อเกิดการละเมิด พวกเขาไปที่หน่วยงานกำกับดูแลของประเทศตัวเอง ซึ่งเพิ่มความเสี่ยงจาก BfDI, CNIL, ICO หรือ AP NL เพิ่มเติมจากของ ANSPDCP เอง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคดีข้ามพรมแดน ดู คู่มือ GDPR BfDI เยอรมนี

ห่วงโซ่ผู้รับช่วงประมวลผลที่อ่อนแอ ANSPDCP พบว่า 45% ของบริษัทท้องถิ่นขาดข้อตกลงประมวลผลข้อมูล (DPA) ที่ถูกต้องกับผู้รับช่วงประมวลผล แต่ละ DPA ต้องระบุขั้นตอนทางเทคนิคที่ผู้รับช่วงจะดำเนินการ

ช่องว่างการเพิกถอนการเข้าถึง BPO มีอัตราการลาออกพนักงานสูง ANSPDCP พบอดีตพนักงานที่ยังมีการเข้าถึงที่ใช้งานได้หลายสัปดาห์หลังจากออกไป ปัญหานี้ปรากฏในคดีแล้วคดีเล่า

CNP: ตัวระบุสำคัญของโรมาเนีย

Cod Numeric Personal (CNP) คือหมายเลขประจำชาติ 13 หลัก เก็บข้อมูลส่วนบุคคลสำคัญ:

• หลักที่ 1: เพศและศตวรรษเกิด (1=ชาย 1900–1999, 2=หญิง 1900–1999, 5=ชาย 2000+, 6=หญิง 2000+, 7=ชายต่างชาติที่อาศัยอยู่, 8=หญิงต่างชาติที่อาศัยอยู่)
• หลักที่ 2–7: วันเกิด (YYMMDD)
• หลักที่ 8–9: รหัสจังหวัดเกิด
• หลักที่ 10–12: หมายเลขลำดับ
• หลักที่ 13: เลขตรวจสอบ (ถ่วงน้ำหนัก modulus 11)

CNP เก็บเพศ วันเกิด ภูมิภาคเกิด และสถานะถิ่นที่อยู่ ทำให้ครอบคลุมมากกว่า ID ส่วนใหญ่ใน EU ANSPDCP ได้จัดให้ CNP อยู่ใกล้เคียงกับสถานะข้อมูลหมวดพิเศษ

ช่องว่างการตรวจจับ การทบทวนของ ANSPDCP ปี 2024 พบว่า 78% ของเครื่องมือ PII ในบริษัทจ้างช่วงล้มเหลวในการตรวจจับ CNP ส่วนใหญ่ขาดการตรวจสอบ checksum หมายเลข CNP ในบันทึกลูกค้าและแฟ้มพนักงานผ่านไปโดยไม่ถูกสังเกต บันทึกที่ส่งไปยังบริษัทแม่อาจมีรายละเอียดพลเมืองจริง การทบทวนหลังเกิดการละเมิดเผยให้เห็น CNP ในไฟล์ที่ระบุว่า "ทำให้ไม่ระบุตัวตนแล้ว"

จุดสนใจการบังคับใช้: 2024–2025

เสียงศูนย์บริการ ANSPDCP มุ่งเป้าไปที่การบันทึกเสียงที่ไม่มีแผนการเก็บรักษาหรือการควบคุมการเข้าถึง การเก็บเสียง "ตลอดไปเพื่อการปฏิบัติตาม" โดยไม่มีกำหนดการลบถือเป็นการละเมิด GDPR

การจ้างช่วงด้านสุขภาพ บริษัทที่ประมวลผลบันทึกทางการแพทย์ การเรียกร้อง หรือแฟ้มใบสั่งยาเผชิญความเสี่ยงสูงสุด บันทึกสุขภาพเป็นข้อมูลหมวดพิเศษตามมาตรา 9 ต้องการฐานทางกฎหมายที่ชัดเจน DPIA และการควบคุมทางเทคนิคที่แข็งแกร่ง

บันทึกการเข้าถึง การตรวจสอบของ ANSPDCP พบบันทึกที่อ่อนแอ บริษัทไม่สามารถแสดงว่าบันทึกใดถูกเข้าถึง โดยใคร หรือเมื่อไหร่ บันทึกต้องสมบูรณ์พอที่จะกำหนดขอบเขตการละเมิดหลังเกิดขึ้น

ภาษา: ช่องว่างที่ซ่อนอยู่

เอกสารท้องถิ่นมีตัวระบุที่เครื่องมือทั่วไปพลาด

Cartea de identitate (CI) คือบัตรประจำตัวประชาชน มีรูปแบบหมายเลขของตัวเอง สำเนาสแกนในไฟล์ลงทะเบียนต้องการตรรกะการตรวจจับเฉพาะ

NER เฉพาะภาษา ตั๋วสนับสนุนและข้อความลูกค้าต้องการ NLP ที่สร้างสำหรับภาษานี้ เครื่องมือที่ฝึกด้วยภาษาอังกฤษให้ผลไม่ดีที่นี่

รูปแบบที่อยู่ คำอย่าง Strada, Bulevardul และ Numărul เป็นเอกลักษณ์ของตลาดนี้ โมเดลที่ฝึกด้วยภาษาอังกฤษหรือเยอรมันมักพลาดสิ่งเหล่านี้

สำหรับขั้นตอนในการปฏิบัติตามมาตรฐานของ ANSPDCP ดู คู่มือความสอดคล้องในการทำให้ข้อมูลไม่ระบุตัวตนสำหรับการตรวจสอบ GDPR

สิ่งที่บริษัท BPO ต้องการ

สี่สิ่งครอบคลุมมาตรฐานทางเทคนิคของ ANSPDCP:

1. การตรวจจับ CNP พร้อมการตรวจสอบ checksum
2. การตรวจจับ Cartea de identitate และหนังสือเดินทาง
3. NER เฉพาะภาษา
4. ข้อตกลงผู้รับช่วงประมวลผลพร้อมขั้นตอนทางเทคนิคที่ระบุชื่อ

แหล่งอ้างอิง

• ANSPDCP: หน่วยงานคุ้มครองข้อมูลโรมาเนีย
• ANSPDCP: รายงานประจำปี 2024