Інструменти PII лише для англійської: відповідальність за GDPR
Оновлено для 2026 року
Реалії правозастосування
GDPR стосується результатів, а не зусиль. Компанія може добросовісно використовувати інструмент виявлення PII. Але якщо цей інструмент пропускає французькі, німецькі чи польські ідентифікатори, компанія все одно порушила Статтю 32. Правило вимагає «відповідних технічних заходів». Інструмент, що не може знайти ідентифікатори у ваших записах, цьому вимогу не відповідає. Добрі наміри цього не змінюють.
Захист «ми використовували інструмент» не спрацьовує. Наглядові органи дивляться на конкретні використані інструменти. Коли інструмент, орієнтований на англійську мову, обробляв багатомовні записи, Стаття 32 стає ключовим питанням.
Це реальна модель правозастосування. Вона спостерігалась у справах GDPR по всьому ЄС.
Що знаходять наглядові органи
Дані GDPR за 2024 рік показують, що порушення Статті 32 входять до числа найбільш поширених підстав для штрафів. Компанії посилаються на автоматизовані інструменти анонімізації як доказ технічних заходів. Наглядові органи потім перевіряють, чи ці інструменти працюють.
Для глобальних роботодавців ризик є системним. Візьмемо HR-платформу. Вона видаляє персональні дані перед аналітикою. Вона може видаляти англійські адреси електронної пошти та номери телефонів. Але вона залишає французькі номери NIR, німецькі Steuer-ID та польські номери PESEL. Шведські personnummers також залишаються.
Компанія вважає, що записи чисті. Наглядовий орган знаходить, що 40% ідентифікаторів у «анонімізованому» наборі даних досі присутні. Це національні ідентифікатори, які інструмент ніколи не покривав.
Формати ідентифікаторів, які пропускають інструменти лише для англійської
Національні ідентифікатори ЄС відрізняються від американських і загальних форматів. Інструменти лише для англійської не можуть їх виявити:
Ідентифікаційний номер платника податків Німеччини: 11-значний формат із контрольною сумою. Інструменти, побудовані для шаблонів американського SSN (9 цифр), його не знаходять.
Французький NIR (numéro de sécurité sociale): 15-значний формат. Кодує стать, рік народження та департамент. Загальні шаблони ідентифікаторів до нього не підходять.
Шведський Personnummer: 10 або 12 цифр із контрольною цифрою Луна. Формат змінюється для людей, народжених до 1990 року. Загальні шаблони цього не враховують.
Польський PESEL: 11 цифр із кодованою датою народження та статтю. Без перевірок контрольної суми рівень хибних спрацьовувань стає надто високим.
Це поширені ідентифікатори. Будь-який роботодавець ЄС, постачальник медичних послуг або фінансова компанія, що обробляє німецькі, французькі, шведські чи польські записи, зустрінеться з ними. Вони не є рідкісними. Дивіться наш довідник сутностей для повного списку підтримуваних типів ідентифікаторів.
GDPR ґрунтується на результатах
Стаття 32 GDPR вимагає «відповідних технічних та організаційних заходів». Планка встановлена для результатів. Чи використовувала організація інструмент? Це не правильне питання. Чи захистив інструмент персональні записи, які він обробляв? Ось правильне питання.
Для організацій із багатомовними записами ЄС «відповідний» означає виявлення німецьких Steuer-ID в тому ж проході, що й англійські адреси електронної пошти. Організація, що знаходить 95% англійського вмісту, але 0% німецьких національних ідентифікаторів, не відповідає цій вимозі. Прогалина не проходить перевірку для її німецьких записів.
Багатомовне покриття не є необов'язковим. Це частина того, що вимагає Стаття 32. Крапка. Наш посібник з відповідності GDPR охоплює повну систему вимог.
Як оцінити свій інструмент
Правильне питання для вашого інструменту є простим. Чи може він знаходити адреси електронної пошти будь-якою мовою? Це менш важливо. Чи може він знаходити формати національних ідентифікаторів у ваших реальних записах? Ось справжній тест.
Для операцій ЄС, що обслуговують Німеччину, Францію, Польщу або Швецію, це означає покриття розпізнавачів, специфічних для відповідної локалі. Якщо ваш інструмент не може показати надійні показники виявлення для цих форматів, розглядайте прогалину як живий ризик для відповідності вимогам. Наша сторінка безпеки та відповідності пояснює, як ми забезпечуємо багатомовне покриття.
anonym.legal виявляє німецький Steuer-ID, французький NIR, шведський Personnummer, польський PESEL і національні ідентифікатори для всіх держав — членів ЄС. Кожен розпізнавач використовує перевірку контрольної суми для точних результатів.