ANSPDCP Romania: Mga Panganib sa GDPR sa BPO
Pinapalakas ng awtoridad sa privacy ng Romania ang pagpapatupad ng GDPR. Ang Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ay sumasaklaw sa isa sa mga pinaka-mabilis na lumalagong sektor ng outsourcing sa EU.
Ang Bucharest, Cluj-Napoca, at Iași ay lahat nagpoproseso ng mga rekord ng mamamayan ng EU mula sa Germany, France, UK, at Netherlands. Naglabas ang ANSPDCP ng €1.8 milyong multa sa GDPR mula 2022 hanggang 2024. Ang mga kumpanya ng BPO at outsourcing ay nasa karamihan ng mga kasong iyon.
BPO Exposure: Apat na Pangunahing Lugar ng Panganib
Mga rekord ng personal na mataas na dami. Ang mga call center ay humahawak ng mga hindi pagkakaunawaan sa pagsingil. Nagpoproseso sila ng mga pangalan, address, numero ng account, at kasaysayan ng pagbabayad. Ang mga koponan ng suporta sa IT ay nag-a-access ng mga sistema ng customer. Ang mga sistemang iyon ay nagtatago ng personal na impormasyon.
Mga rekord ng mamamayan ng EU na pinoproseso sa ibayong-dagat. Ang mga apektadong tao ay madalas na German, French, Dutch, o British. Kapag naganap ang isang paglabag, pumupunta sila sa kanilang sariling regulator sa bahay. Nagdadagdag ito ng exposure sa BfDI, CNIL, ICO, o AP NL sa itaas ng sariling ANSPDCP. Para sa karagdagang impormasyon sa mga cross-border na kaso, tingnan ang aming gabay sa BfDI Germany GDPR.
Mahihinang chain ng subprocessor. Natuklasan ng ANSPDCP na 45% ng mga lokal na kumpanya ay walang wastong Data Processing Agreement sa kanilang mga subprocessor. Ang bawat DPA ay dapat ilista ang mga teknikal na hakbang na gagawin ng subprocessor.
Mga gaps sa pagpapaalis ng pag-access. Ang BPO ay may mataas na turnover ng kawani. Natutuklasan ng ANSPDCP ang mga dating kawani na may aktibong pag-access ilang linggo pagkatapos umalis. Lumalabas ito sa kaso pagkatapos ng kaso.
Ang CNP: Pangunahing Identifier ng Romania
Ang Cod Numeric Personal (CNP) ay isang 13-digit na national ID number. Nag-iimbak ito ng mga pangunahing personal na katotohanan:
- Digit 1: Kasarian at siglo ng kapanganakan (1=lalaki 1900-1999, 2=babae 1900-1999, 5=lalaki 2000+, 6=babae 2000+, 7=lalaki foreign resident, 8=babae foreign resident)
- Mga digit 2-7: Petsa ng kapanganakan (YYMMDD)
- Mga digit 8-9: Code ng probinsya ng kapanganakan
- Mga digit 10-12: Sequential na numero
- Digit 13: Check digit (weighted modulus 11)
Iniimbak ng CNP ang kasarian, petsa ng kapanganakan, rehiyon ng kapanganakan, at katayuan sa paninirahan. Ginagawa nitong mas mayaman kaysa sa karamihan ng mga ID ng EU. Inilagay ng ANSPDCP ang CNP malapit sa espesyal-kategoryang katayuan.
Ang gaps sa pagtuklas. Natuklasan ng pagsusuri ng ANSPDCP para sa 2024 na 78% ng mga tool ng PII sa mga kumpanya ng outsourcing ay hindi nakakakita ng CNP. Karamihan ay kulang sa mga pagsusuri ng checksum. Ang mga numero ng CNP sa mga rekord ng customer at file ng empleyado ay hindi napapansin. Ang mga rekord na ipinadala sa mga parent company ay maaaring naglalaman ng mga live na detalye ng mamamayan. Ang mga pagsusuri pagkatapos ng paglabag ay nagbubunyag ng CNP sa mga file na may label na "anonymized."
Pokus sa Pagpapatupad: 2024-2025
Audio ng call center. Na-target ng ANSPDCP ang mga recording na walang plano sa pagpapanatili o mga kontrol sa pag-access. Ang pagpapanatili ng audio nang "walang katiyakan para sa pagsunod" nang walang iskedyul ng pagtanggal ay lumalabag sa GDPR.
Outsourcing ng pangangalagang pangkalusugan. Ang mga kumpanyang nagpoproseso ng mga rekord ng medikal, claims, o mga file ng reseta ay nahaharap sa pinakamataas na panganib. Ang mga rekord ng kalusugan ay espesyal na kategorya ng Article 9. Nangangailangan sila ng malinaw na legal na batayan, isang DPIA, at matibay na mga teknikal na kontrol.
Pag-log ng pag-access. Natutuklasan ng mga audit ng ANSPDCP ang mahihinang log. Hindi maipapakita ng mga kumpanya kung aling mga rekord ang na-access, ng sino, o kailan. Ang mga log ay dapat na sapat upang matukoy ang saklaw ng isang paglabag pagkatapos itong mangyari.
Wika: Isang Nakatagong Gap
Naglalaman ang mga lokal na dokumento ng mga identifier na hindi nakikita ng mga generic na tool.
Cartea de identitate (CI). Ito ang national ID card. Mayroon itong sariling format ng numero. Ang mga scanned na kopya sa mga file ng onboarding ay nangangailangan ng partikular na logic ng pagtuklas.
Language-specific NER. Ang mga tiket ng suporta at mga mensahe ng customer ay nangangailangan ng NLP na itinayo para sa wikang ito. Ang mga tool na sinanay sa Ingles ay hindi gumaganap nang maayos dito.
Mga format ng address. Ang mga termino tulad ng Strada, Bulevardul, at Numărul ay natatangi sa merkadong ito. Ang mga modelo na sinanay sa Ingles o Aleman ay madalas na napapalampas ang mga ito.
Para sa mga hakbang upang matugunan ang pamantayan ng ANSPDCP, tingnan ang aming gabay sa consistency ng anonymization para sa mga audit ng GDPR.
Kailangan ng mga Kumpanya ng BPO
Aapat na bagay ang sumasaklaw sa teknikal na pamantayan ng ANSPDCP:
- Pagtuklas ng CNP na may validation ng checksum
- Pagtuklas ng Cartea de identitate at pasaporte
- Language-specific NER
- Mga kasunduan ng subprocessor na may mga pinangalanang teknikal na hakbang