anonym.legal

By · Last updated 2026-06-05

Назад до блогуGDPR та відповідність

ANSPDCP Румунія: GDPR у BPO та ризик CNP

BPO-сектор Румунії щодня обробляє 2,3 млн записів клієнтів з ЄС. ANSPDCP наклав штрафи на суму €1,8 млн у 2022–2024 рр. 78% інструментів не виявляють румунський CNP належним чином.

June 5, 20268 хв читання
Romania ANSPDCPCNP detectionBPO GDPREastern Europe complianceoutsourcing data protection

ANSPDCP Румунія: ризики GDPR у сфері BPO

Румунський орган із захисту конфіденційності посилює правозастосування GDPR. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) охоплює один із найбільш динамічних секторів аутсорсингу в ЄС.

Бухарест, Клуж-Напока та Яси обробляють записи громадян ЄС з Німеччини, Франції, Великої Британії та Нідерландів. ANSPDCP наклав штрафи за GDPR на суму €1,8 мільйона з 2022 по 2024 рік. BPO-компанії та аутсорсингові фірми фігурували в більшості цих справ.

Ризики BPO: чотири ключові зони

Великі обсяги персональних записів. Кол-центри вирішують питання виставлення рахунків. Вони обробляють імена, адреси, номери рахунків та історію платежів. Команди IT-підтримки мають доступ до клієнтських систем. Ці системи містять персональну інформацію.

Записи громадян ЄС, що обробляються за кордоном. Постраждалі особи часто є громадянами Німеччини, Франції, Нідерландів або Великої Британії. У разі витоку вони звертаються до свого регулятора за місцем проживання. Це додає ризик відповідальності перед BfDI, CNIL, ICO або AP NL на додаток до власних санкцій ANSPDCP. Докладніше про транскордонні справи читайте в нашому посібнику щодо GDPR BfDI Німеччина.

Слабкі ланцюжки субпроцесорів. ANSPDCP встановив, що 45% місцевих компаній не мають чинних Угод про обробку даних із субпроцесорами. Кожна DPA повинна містити перелік технічних заходів, яких зобов'язується дотримуватися субпроцесор.

Прогалини у відкликанні доступу. У BPO-секторі висока плинність кадрів. ANSPDCP виявляє, що колишні співробітники зберігають активний доступ через тижні після звільнення. Це фігурує в справах раз за разом.

CNP: ключовий ідентифікатор Румунії

Cod Numeric Personal (CNP) — це 13-значний національний ідентифікаційний номер. Він зберігає ключові персональні відомості:

  • Цифра 1: стать та сторіччя народження (1=чоловік 1900–1999, 2=жінка 1900–1999, 5=чоловік 2000+, 6=жінка 2000+, 7=чоловік-іноземний резидент, 8=жінка-іноземний резидент)
  • Цифри 2–7: дата народження (РРММДД)
  • Цифри 8–9: код повіту народження
  • Цифри 10–12: порядковий номер
  • Цифра 13: контрольна цифра (зважений модуль 11)

CNP зберігає стать, дату народження, регіон народження та статус резидента. Це робить його значно інформативнішим, ніж більшість ідентифікаторів ЄС. ANSPDCP фактично прирівнює CNP до даних особливої категорії.

Прогалина у виявленні. Огляд ANSPDCP 2024 року виявив, що 78% інструментів для роботи з персональними даними в аутсорсингових компаніях не виявляють CNP. Більшість із них не мають перевірки контрольної суми. Номери CNP у клієнтських записах та кадрових файлах залишаються непоміченими. Записи, що надсилаються материнським компаніям, можуть містити реальні дані громадян. Перевірки після витоків виявляють CNP у файлах, позначених як «анонімізовані».

Правозастосування у 2024–2025 роках

Аудіозаписи кол-центрів. ANSPDCP цілеспрямовано перевіряє записи без плану зберігання або засобів контролю доступу. Зберігання аудіо «без обмеження терміну для цілей відповідності» без графіка видалення є порушенням GDPR.

Аутсорсинг охорони здоров'я. Компанії, що обробляють медичні записи, страхові претензії або дані про рецепти, стикаються з найвищим ризиком. Медичні записи є даними особливої категорії за статтею 9. Вони потребують явної правової підстави, DPIA та надійних технічних засобів контролю.

Ведення журналів доступу. Аудити ANSPDCP виявляють слабкі журнали. Компанії не можуть показати, до яких записів, ким і коли здійснювався доступ. Журнали повинні бути достатньо повними, щоб визначити масштаб витоку після його настання.

Мова: прихована прогалина

Локальні документи містять ідентифікатори, які стандартні інструменти пропускають.

Cartea de identitate (CI). Це національне посвідчення особи. Воно має власний формат номера. Відскановані копії у файлах прийому на роботу потребують спеціальної логіки виявлення.

Мовно-специфічна NER. Тікети підтримки та повідомлення клієнтів потребують обробки природної мови, розробленої для цієї мови. Інструменти, навчені на англійській мові, дають погані результати тут.

Формати адрес. Такі слова, як Strada, Bulevardul та Numărul, є унікальними для цього ринку. Моделі, навчені на англійській або німецькій, часто пропускають їх.

Кроки для відповідності стандарту ANSPDCP описані в нашому посібнику зі стабільності анонімізації для аудитів GDPR.

Що потрібно BPO-компаніям

Чотири заходи відповідають технічному стандарту ANSPDCP:

  1. Виявлення CNP із перевіркою контрольної суми
  2. Виявлення Cartea de identitate та паспорта
  3. Мовно-специфічна NER
  4. Угоди із субпроцесорами з конкретними технічними заходами

Джерела

Схожі статті

GDPR та відповідність

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR та відповідність

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR та відповідність

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готові захистити свої дані?

Почніть анонімізувати PII з 285+ типами сутностей на 48 мовах.

Почати безкоштовну пробну версіюПереглянути функції

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.