Uygulama Gerçekliği
Avrupa Veri Koruma Kurulu ve ulusal denetim otoriteleri, GDPR uyumunu sonuçlara göre değerlendirir, çabaya göre değil. İyi niyetle bir PII tespit aracı kullanan bir kuruluş, ancak aracının sistematik olarak Fransızca, Almanca ve Lehçe ulusal tanımlayıcıları kaçırması durumunda, GDPR Madde 32 uyarınca "uygun teknik önlemler" uygulamakta başarısız olmuştur.
"Bir araç kullandık" savunması, aracın kuruluşun verilerinde mevcut olan kişisel veri türlerini tespit edemediği durumlarda standardı karşılamaz.
Bu, varsayımsal bir risk değildir. Veri ihlalleri ve veri konusu erişim talebi başarısızlıklarını araştıran denetim otoriteleri, veri anonimleştirme için kullanılan teknik önlemleri rutin olarak inceler. İnceleme, bir aracın İngilizce merkezli olduğunu ve çok dilli verileri işlediğini ortaya koyduğunda, "uygun önlemler" gerekliliği merkezi bir uygulama sorusu haline gelir.
Denetim Otoritelerinin Bulduğu Şeyler
2024 yılına ait GDPR uygulama verileri, Madde 32 (teknik ve organizasyonel önlemler) ihlallerinin en yaygın ceza nedenlerinden biri olduğunu göstermektedir. Kuruluşlar, teknik önlem belgeleri olarak otomatik anonimleştirme araçlarını belirtmektedir — ve denetim otoriteleri bu araçların gerçekten işlenmekte olan veri türleri için çalışıp çalışmadığını inceler.
AB üye devletlerinde çalışan kayıtlarını işleyen çok uluslu işverenler için, maruz kalma sistematik bir durumdur. Analitik işleme öncesinde çalışan verilerini anonimleştiren bir İK yazılım platformu, İngilizce PII'yi doğru bir şekilde kaldırabilirken, Fransız sosyal güvenlik numaralarını (NIR), Alman vergi tanımlayıcılarını (Steuer-ID), İsveç kişisel numaralarını ve Leh PESEL numaralarını olduğu gibi bırakabilir.
Kuruluş, teknik önlemleri uyguladığını düşünmektedir. Denetim otoritesi, "anonimleştirilmiş" veri kümesindeki kişisel verilerin %40'ının, aracın tanıyıcısının kapsamadığı ulusal tanımlayıcılar aracılığıyla hala tanınabilir olduğunu bulur.
Sadece İngilizce Araçların Kaçırdığı Belirli Tanımlayıcı Formatları
AB ulusal tanımlayıcıları ile ABD/generic formatlar arasındaki yapısal farklılıklar, İngilizce merkezli araçların bunları güvenilir bir şekilde tespit edememesine neden olmaktadır:
Alman Steuer-Identifikationsnummer: Kontrol algoritması ile 11 haneli format. Sadece ABD SSN (9 haneli) formatlarını tanıyan araçlar tarafından tespit edilmez.
Fransız NIR (numéro de sécurité sociale): Cinsiyet, doğum yılı, departman ve kontrol anahtarını kodlayan 15 haneli format. Genel telefon numarası veya kimlik numarası desenleri tarafından tespit edilmez.
İsveç Personnummer: Luhn kontrol rakamı ile 10 veya 12 haneli format. 1990'dan önce doğan bireyler için format değişir, bu da genel desenlerin sahip olmadığı bir format farkındalığı gerektirir.
Leh PESEL: Doğum tarihi ve cinsiyeti kodlayan 11 haneli format. Kontrol toplamı doğrulaması olmadan, PESEL tespitinde yanlış pozitif oranı aşırı derecede yüksektir.
Bu verileri işleyen kuruluşlar sıradışı değildir: Almanca, Fransızca, İsveççe veya Leh bireylerden veri işleyen herhangi bir AB işvereni, finansal hizmet firması, sağlık hizmeti sağlayıcısı veya devlet kurumu bu tanımlayıcılarla sıkça karşılaşır.
Uyum Standardı Sonuçlara Dayalıdır
GDPR'nın "uygun teknik ve organizasyonel önlemler" gerekliliği (Madde 32) sonuçlara dayalıdır, çabaya değil. Standart "kuruluş bir PII tespit aracı kullandı" değildir. Standart "kullanılan araç, işlenen kişisel veriler için uygun koruma sağladı"dır.
Çok dilli AB verilerini işleyen kuruluşlar için "uygun" demek, Alman müşteri Steuer-ID'lerinin, İngilizce e-posta adresleri ve ABD telefon numaralarını kaldıran aynı işlemde tespit edilmesi ve kaldırılması anlamına gelir. İngilizce veriler için %95 PII kaldırma ve Alman ulusal tanımlayıcılar için %0 PII kaldırma gerçekleştiren bir kuruluş, Alman verileri için uygun teknik önlemler uygulamamıştır.
Çok dilli yetenek için uyum yatırımı, AB çok dilli veri maruziyeti olan kuruluşlar için isteğe bağlı değildir. Bu, GDPR'nın gerektirdiği teknik önlemlerin bir bileşenidir.
Mevcut aracının standardı karşılayıp karşılamadığını değerlendiren çok uluslu kuruluşlar için: test "araç herhangi bir dilde e-posta adreslerini tespit edebilir mi?" değil, "araç, gerçek verilerimizde mevcut olan ulusal tanımlayıcı formatlarını tespit edebilir mi?" olmalıdır. Almanya, Fransa, Polonya, İsveç veya başka bir AB üye devletinden çalışanları, müşterileri veya hastaları olan AB operasyonları için, bu test yargı alanına özgü tanıyıcı kapsamı gerektirir.
Kaynaklar: