anonym.legal
Bloga DönGDPR & Uyumluluk

Farklı İş Akışları İçin Farklı PII Araçları Kullanırsanız Başarısız Olacağınız GDPR Denetimi

Denetçiniz PII tespit kontrollerini talep ediyor. 'Beş farklı araç kullanıyoruz' yanıtı onların istediği cevap değil. İşte çapraz platform tutarlılığının neden bir uyum gerekliliği olduğu.

March 7, 20266 dk okuma
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

Denetim Anı

Veri Koruma Otoritesi müfettişi, uyum görevlisinin karşısında oturuyor. DPA, bir veri sahibi şikayetinin organizasyonun yanıtını inceliyor - kişisel verilerinin düzgün bir şekilde işlenmediğini düşünen eski bir müşteri.

Soru: "Çalışanlar tarafından işlenirken kişisel verilerin uygun bir şekilde anonimleştirildiğini sağlamak için organizasyonunuzun kullandığı teknik kontrolleri lütfen tanımlayın."

Uyum görevlisi başlar: "Avukatlarımız Word eklentisini kullanıyor. Destek ekibimiz AI araçları için Chrome uzantısını kullanıyor. Veri ekibimiz bir Python betiği var. Ve tek seferlik talepler için herkes web uygulamasını kullanabilir."

Müfettişin takip sorusu: "Bunlar aynı araç mı? Aynı tespit motoru mu? Aynı varlık kapsamı mı?"

Uyum görevlisi: "Hayır, bunlar farklı araçlar. Farklı çalışıyorlar."

İşte denetimin karmaşık hale geldiği an.

Araç Parçalanmasının 32. Madde Standardını Neden Başarısız Kıldığı

GDPR 32. Madde, veri koruma ilkelerini etkili bir şekilde uygulayan "uygun teknik ve organizasyonel önlemler" gerektirir. 32. Madde standardının iki bileşeni vardır:

Uygunluk: Önlemler, riske uygun olmalıdır. Birden fazla iş akışında rutin kişisel veri işleme için uygun teknik önlemler, tutarlı PII tespit kapsamını içerir - araçlara göre değişen en iyi çaba tespiti değil.

Gösterilebilirlik: Önlemler gösterilebilir olmalıdır. Madde 5(2) (hesap verebilirlik ilkesi), denetleyicinin "uyumunu gösterebilmesi" gerektiğini talep eder. Uyumun gösterilmesi, tutarlı kontrol uygulaması kanıtı gerektirir.

Parçalanmış araçlar gösterilebilirlikte başarısız olur. Araç A, kalibre edilmiş güven puanlarıyla 285 varlık türünü tespit ediyorsa, Araç B 50 varlık türünü ikili tespit ile tespit ediyorsa ve Araç C farklı eşiklerle 200 varlık türünü tespit ediyorsa - tutarlı, sistematik PII korumasını gösteremezsiniz. Bazı araçların bazı bağlamlarda kullanıldığını gösterebilirsiniz.

DPA'nın parçalanmış araçlar üzerindeki teknik değerlendirmesi: "Organizasyonun PII koruma için teknik kontrolleri iş akışları arasında tutarsızdır, bu da kapsamda boşluklar yaratmakta ve merkezi denetim izinin gözden geçirilmesini engellemektedir."

Boşluk Keşif Problemi

Parçalanmış araçlarla ilgili daha derin uyum sorunu: genellikle bir ihlal meydana gelene kadar kapsam boşluklarının nerede olduğunu bilmezsiniz.

Eğer Araç B (veri ekibi tarafından kullanılan) Araç A'nın (avukatlar tarafından kullanılan) tespit ettiği AB ulusal kimlik numaralarını tespit etmiyorsa, bu boşluk normal operasyonlar sırasında görünmez olabilir. Veri ekibi dosyaları AB ulusal kimliklerini tespit etmeden işler. Dosyalar herhangi bir uyarı üretmez. Boşluğun görünür bir işareti yoktur.

Boşluk, şu durumlarda görünür hale gelir:

  • Veri ekibi tarafından işlenen bir dosyada tespit edilmesi gereken bir AB ulusal kimliği görünür
  • O dosya uygunsuz bir şekilde paylaşılır
  • Veri sahibi, maruziyeti keşfeder ve bir GDPR şikayeti dosyalar

O noktada, DPA araştırması, veri ekibinin diğer ekiplerden farklı bir kapsama sahip bir araç kullandığını ortaya çıkarır - tanımlanması ve kapatılması gereken bir boşluk.

Sistematik kapsama, aynı varlık türlerinin tüm işleme bağlamlarında tutarlı bir şekilde tespit edildiği anlamına gelir, böylece boşluklar görünür hale gelir (herhangi bir iş akışında varlık türü X'in sıfır tespiti) görünmez değil (bazı iş akışlarında tespitler ama diğerlerinde değil).

Temiz Bir Uyum Cevabı Nasıl Görünür

Birleşik bir platforma sahip uyum görevlisi, müfettişin sorusuna farklı bir şekilde yanıt verebilir:

"Tüm çalışan iş akışlarında tek bir PII tespit platformu kullanıyoruz. Avukatlar, destek temsilcileri ve veri mühendisleri aynı temel tespit motorunu kullanıyor - farklı arayüzler (Word Eklentisi, Chrome Uzantısı, Masaüstü Uygulaması) ama aynı model ve yapılandırma. Tüm işleme merkezi bir denetim izinde kaydedilmektedir. Standart yapılandırmamız, yargı alanına uygun ön ayarlarla 285'ten fazla varlık türünü tespit eder. Gözden geçirmeniz için istediğiniz herhangi bir zaman dilimi için denetim izini çekebilirim."

Bu cevap:

  • Özgül: Platformu adlandırır ve çoklu platform dağıtımını açıklar
  • Tutarlı: "Aynı temel tespit motoru" kapsam tutarsızlığı endişesini ele alır
  • Gösterilebilir: Merkezi denetim izi, kanıtın mevcut olduğu anlamına gelir

Müfettişin takip sorusu şu olabilir: "Bu veri sahibi için son 12 ayın denetim izini gösterin." Merkezi bir denetim izi ile bu talep karşılanabilir.

Çapraz Platform Tutarlılık Standardı

PII anonimleştirme için savunulabilir bir 32. Madde uyum duruşu oluşturan organizasyonlar için:

Minimum tutarlılık gereksinimleri:

  1. Aynı tespit modeli veya API (sadece benzer araçlar değil - aynı temel model)
  2. Tüm platformlarda aynı varlık türü kapsamı (web uygulaması 285 varlığı kontrol ediyorsa, masaüstü uygulaması da aynı 285 varlığı kontrol etmelidir)
  3. Platformlar arasında aynı güven eşiği yapılandırması (hiçbir araç, aynı varlık türü için diğerlerinden "daha gevşek" veya "daha katı" olmamalıdır)
  4. Tüm platformlarda aynı varlık türleri için aynı değiştirme/anonimleştirme belirteçleri
  5. Tüm platformlar arasında tüm işleme verilerini toplayan merkezi bir denetim izi

Dokümantasyon gereksinimleri:

  • Yapılandırma anlık görüntüsü: mevcut varlık kapsamı ve eşik yapılandırması nedir?
  • Değişiklik geçmişi: yapılandırma en son ne zaman değiştirildi ve ne değişti?
  • Kapsama kanıtı: Tüm platformların aynı kapsama sahip olduğunu nasıl biliyorsunuz?

Organizasyonlar, çoklu araç yığınları için bu dokümantasyonu oluşturabilir, ancak bu, resmi yapılandırma yönetimi ve düzenli çapraz araç denetimi gerektirir. Merkezi yapılandırma ile tek platform dağıtımı bunu basitleştirir: "İşte yapılandırma. Tüm platformlara uygulanır. İşte denetim izi."

Parçalanmıştan Birleşik Bir Yapıya Pratik Geçiş

Parçalanmış bir araç manzarasını yöneten uyum görevlileri için:

Adım 1: Mevcut araçları ve kapsamı haritalayın

  • Kullanılan her aracı, ekip ve iş akışına göre belgeleyin
  • Her aracın varlık kapsamını belgeleyin (hangi PII türlerini tespit ediyor?)
  • Kapsam boşluklarını tanımlayın (Araç A'nın tespit ettiği ama Araç B'nin kaçırdığı nedir?)

Adım 2: Hedef kapsam standardını tanımlayın

  • Düzenleyici yükümlülüklerinize dayanarak (GDPR varlık türleri, HIPAA PHI tanımlayıcıları, CCPA kategorileri)
  • Tüm iş akışlarında uygulanması gereken standardı tanımlayın

Adım 3: Birleşik platformu tanımlayın

  • Hangi araç tüm kullanım durumlarında dağıtılabilir (web, masaüstü, Word, tarayıcı)?
  • Hedef kapsam standardını karşılıyor mu?
  • Merkezi bir denetim izi sağlıyor mu?

Adım 4: Uygulayın ve geçiş yapın

  • En yüksek riskli iş akışlarıyla başlayın (PII'nin en olası şekilde kötü yönetileceği yerler)
  • Ekipten ekibe geçiş yapın, kullanıcılar birleşik platforma geçtikçe eski araçları devre dışı bırakın
  • Geçişi uyum kaydında belgeleyin

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Uyumluluk

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle