Romanya'nın Kişisel Verilerin Korunması Ulusal Otoritesi (ANSPDCP), AB'nin en hızlı büyüyen teknoloji ve outsourcing sektörlerinden birinde uyum dönüşümünü denetliyor. Bükreş, Cluj-Napoca ve Iași, Almanya, Fransa, Birleşik Krallık ve Hollanda'dan AB vatandaşlarının verilerini büyük ölçekle işliyor — ve ANSPDCP'nin uygulama faaliyetleri keskin bir şekilde artıyor.
ANSPDCP, 2022 ile 2024 arasında GDPR kapsamında 1.8 milyon € ceza verdi ve BPO/outsourcing sektörü, uygulama vakalarının en yüksek yoğunluğunu temsil ediyor.
Romanya'nın BPO GDPR Maruziyet Profili
Yüksek hacimli kişisel veri işleme: Fatura anlaşmazlıklarını işleyen çağrı merkezleri, isimler, adresler, hesap numaraları, ödeme geçmişi ve hizmet kullanım verilerini ele alıyor. BT destek hizmetleri, kişisel verileri içeren müşteri sistem yapılandırmalarına erişim sağlıyor.
AB vatandaş verileri Romanya'nın elinde: Veri sahipleri esas olarak Alman, Fransız, Hollandalı veya Britanyalı vatandaşlardır. Sorunlar çıktığında, etkilenen veri sahipleri kendi DPA'larına başvuruyor — bu da ANSPDCP yargı yetkisine ek olarak BfDI, CNIL, ICO veya AP NL'den sınır ötesi uygulama maruziyeti yaratıyor.
Alt yüklenici zinciri karmaşıklığı: ANSPDCP, Romanya'daki işletmelerin %45'inin alt yüklenicileriyle yeterli Veri İşleme Sözleşmelerine sahip olmadığını buldu. DPAs, alt yüklenicinin uygulayacağı teknik önlemleri belirtmelidir.
Erişim iptali hataları: BPO sektörlerinde yüksek çalışan devri var. ANSPDCP, eski çalışanların ayrıldıktan haftalar sonra aktif kimlik bilgilerini koruduğunu sürekli olarak buluyor — bu, Romanya'daki uygulama vakalarında tekrarlayan bir ihlal.
CNP: Romanya'nın Temel PII Tanımlayıcısı
Cod Numeric Personal (CNP), aşağıdaki bilgileri kodlayan 13 haneli bir ulusal kimlik numarasıdır:
- Haneler 1: Cinsiyet ve yüzyıl (1=erkek 1900-1999, 2=kadın 1900-1999, 5=erkek 2000+, 6=kadın 2000+, 7=erkek yabancı ikamet eden, 8=kadın yabancı ikamet eden)
- Haneler 2-7: Doğum tarihi (YYMMDD)
- Haneler 8-9: Doğum yeri kodu
- Haneler 10-12: Sıralı numara
- Hane 13: Kontrol haneli (ağırlıklı modül 11)
CNP, cinsiyet, doğum tarihi, doğum bölgesi ve vatandaşlık durumunu kodlayarak, çoğu Batı Avrupa tanımlayıcısından çok daha zengin kişisel bilgi sunar. ANSPDCP, CNP'yi özel kategori statüsüne yaklaşan yüksek koruma gerektiren bir veri olarak sınıflandırmıştır.
Tespit sorunu: ANSPDCP'nin 2024 uygulama incelemesi, Romanya'daki outsourcing'de kullanılan PII araçlarının %78'inin, doğru kontrol toplamı doğrulaması ile CNP'yi tespit edemediğini buldu. Sonuçları:
- Müşteri kayıtlarında, çalışan dosyalarında ve kimlik tarama kopyalarında CNP numaraları tespit edilmeden kalıyor
- Analiz veya AI eğitimi için Batı Avrupa ana şirketleriyle paylaşılan veriler, tanınabilir Romanya vatandaşlarını içeriyor
- İhlal sonrası analiz, "anonimleştirilmiş" olarak sertifikalandırılan verilerde CNP maruziyetini ortaya koyuyor
ANSPDCP'nin 2024-2025 Uygulama Öncelikleri
Çağrı merkezi ses kaydı: ANSPDCP, yeterli saklama süreleri veya erişim kontrolleri olmayan kayıt uygulamalarını hedef almıştır. "Uyum için süresiz olarak saklanan" kayıtlar, belgelenmiş amaç ve silme süreleri olmadan GDPR'yi ihlal eder.
Sağlık verisi outsourcing: Batı Avrupa müşterileri için tıbbi kayıtları, sigorta taleplerini veya reçete verilerini işleyen Romanya şirketleri en yüksek ceza maruziyeti ile karşı karşıya kalıyor. Sağlık verileri (Madde 9 özel kategori) açık bir yasal temel, DPIA ve artırılmış teknik önlemler gerektirir.
Erişim kontrolü ve günlükleme: ANSPDCP denetimleri sürekli olarak yetersiz günlükleme tespit ediyor — kuruluşlar hangi verilerin, kim tarafından ve ne zaman erişildiğini gösteremiyor. AB müşteri verilerini işleyen Romanya BPO şirketleri için, erişim günlükleri, bir olay durumunda ihlal kapsamını belirlemek için yeterince kapsamlı olmalıdır.
Romanya Dili: Eksik Katman
CNP'nin ötesinde, Romanya belgeleri, genel araçların kaçırdığı tanımlayıcılar içerir:
Cartea de identitate (CI): Eşsiz numara formatına sahip Romanya ulusal kimlik kartı. Müşteri onboarding dosyalarında taranmış kopyaların tespiti gereklidir.
Romanya dili NER: Romence müşteri yazışmaları, destek talepleri ve iç belgeler, Romence doğal dil işleme gerektirir. Romence metne uygulanan İngilizce NLP'ye dayanan araçlar önemli ölçüde düşük performans gösterir.
Adres formatları: Romanya adres konvansiyonları ("Strada," "Bulevardul," "Numărul") Batı Avrupa formatlarından farklıdır ve genellikle İngilizce veya Almanca üzerine eğitilmiş NLP modelleri tarafından yanlış işlenir.
Romanya outsourcing organizasyonları için: CNP tespiti ile kontrol toplamı doğrulaması, Romanya ulusal kimlik ve pasaport tespiti, Romanya dili NER ve belgelenmiş alt yüklenici yönetimi, ANSPDCP'nin teknik yeterlilik standardını karşılayan dört yetenektir.
Kaynaklar: