ANSPDCP Romania: Rủi Ro GDPR trong BPO
Cơ quan bảo vệ dữ liệu của Romania đang tăng cường thực thi GDPR. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) giám sát một trong những lĩnh vực thuê ngoài phát triển nhanh nhất EU.
Bucharest, Cluj-Napoca và Iași xử lý hồ sơ công dân EU từ Đức, Pháp, Vương quốc Anh và Hà Lan. ANSPDCP đã phạt GDPR tổng cộng 1,8 triệu euro từ năm 2022 đến 2024. Các công ty BPO và thuê ngoài xuất hiện trong hầu hết các vụ đó.
Rủi Ro BPO: Bốn Lĩnh Vực Rủi Ro Chính
Khối lượng lớn dữ liệu cá nhân. Trung tâm cuộc gọi xử lý tranh chấp hóa đơn. Họ xử lý tên, địa chỉ, số tài khoản và lịch sử thanh toán. Nhóm hỗ trợ IT truy cập hệ thống khách hàng. Các hệ thống đó chứa dữ liệu cá nhân.
Hồ sơ công dân EU được xử lý ở nước ngoài. Các chủ thể dữ liệu thường là người Đức, Pháp, Hà Lan hoặc Anh. Khi xảy ra vi phạm, họ liên hệ cơ quan tại quê hương. Điều đó thêm nguy cơ BfDI, CNIL, ICO hoặc AP NL chồng lên nguy cơ của ANSPDCP. Để biết thêm về các vụ xuyên biên giới, xem hướng dẫn BfDI về GDPR ở Đức.
Chuỗi xử lý phụ yếu kém. ANSPDCP phát hiện rằng 45% công ty địa phương thiếu thỏa thuận xử lý dữ liệu hợp lệ với các bên xử lý phụ. Mỗi DPA phải nêu rõ các bước kỹ thuật mà bên xử lý phụ sẽ thực hiện.
Thiếu sót trong chấm dứt quyền truy cập. BPO có tỷ lệ luân chuyển nhân viên cao. ANSPDCP tìm thấy nhân viên cũ vẫn có quyền truy cập hoạt động nhiều tuần sau khi nghỉ việc. Điều này xuất hiện trong hết vụ này đến vụ khác.
CNP: Mã Định Danh Chính của Romania
Cod Numeric Personal (CNP) là mã số quốc gia 13 chữ số. Nó chứa thông tin cá nhân quan trọng:
- Chữ số 1: Giới tính và thế kỷ sinh (1=nam 1900-1999, 2=nữ 1900-1999, 5=nam 2000+, 6=nữ 2000+, 7=nam nước ngoài thường trú, 8=nữ nước ngoài thường trú)
- Chữ số 2-7: Ngày sinh (NNTTNN)
- Chữ số 8-9: Mã tỉnh sinh
- Chữ số 10-12: Số thứ tự
- Chữ số 13: Chữ số kiểm tra (modulus 11 có trọng số)
CNP lưu trữ giới tính, ngày sinh, vùng sinh quán và tình trạng cư trú. Điều đó làm cho nó phong phú hơn nhiều so với hầu hết các ID EU. ANSPDCP đã đặt CNP gần với trạng thái danh mục đặc biệt.
Khoảng cách phát hiện. Đánh giá năm 2024 của ANSPDCP cho thấy 78% công cụ PII tại các công ty thuê ngoài không thể phát hiện CNP. Hầu hết thiếu kiểm tra tổng kiểm tra. Số CNP trong hồ sơ khách hàng và nhân viên không được phát hiện. Hồ sơ gửi cho công ty mẹ có thể chứa thông tin công dân đang hoạt động. Các đánh giá sau vi phạm phát hiện CNP trong hồ sơ được đánh dấu là "đã ẩn danh".
Trọng Tâm Thực Thi: 2024-2025
Ghi âm trung tâm cuộc gọi. ANSPDCP đã nhắm vào các ghi âm không có kế hoạch lưu trữ hoặc kiểm soát truy cập. Giữ âm thanh "vô thời hạn cho mục đích tuân thủ" mà không có kế hoạch xóa vi phạm GDPR.
Thuê ngoài y tế. Các công ty xử lý hồ sơ bệnh viện, yêu cầu hoặc hồ sơ đơn thuốc có rủi ro cao nhất. Thông tin sức khỏe là danh mục đặc biệt theo Điều 9. Chúng yêu cầu cơ sở pháp lý rõ ràng, DPIA và các biện pháp kiểm soát kỹ thuật mạnh.
Ghi nhật ký truy cập. Các cuộc kiểm toán ANSPDCP phát hiện nhật ký yếu. Các công ty không thể ghi lại hồ sơ nào đã được truy cập, bởi ai hoặc khi nào. Nhật ký phải đủ toàn diện để xác định phạm vi vi phạm sau khi nó xảy ra.
Ngôn Ngữ: Một Khoảng Cách Ẩn
Tài liệu địa phương chứa các mã định danh mà công cụ chung bỏ sót.
Cartea de identitate (CI). Đây là thẻ căn cước quốc gia. Nó có định dạng số riêng. Bản sao quét trong hồ sơ tuyển dụng yêu cầu logic phát hiện cụ thể.
NER đặc thù ngôn ngữ. Phiếu hỗ trợ và tin nhắn khách hàng yêu cầu NLP được xây dựng cho ngôn ngữ này. Các công cụ được huấn luyện bằng tiếng Anh hoạt động kém.
Định dạng địa chỉ. Các từ như Strada, Bulevardul và Numărul là đặc thù của thị trường này. Các mô hình được huấn luyện bằng tiếng Anh hoặc tiếng Đức thường bỏ sót chúng.
Để biết các bước đáp ứng tiêu chuẩn của ANSPDCP, xem hướng dẫn về tính nhất quán ẩn danh hóa cho kiểm toán GDPR.
Những Gì Công Ty BPO Cần
Bốn điều đáp ứng tiêu chuẩn kỹ thuật của ANSPDCP:
- Phát hiện CNP với xác thực tổng kiểm tra
- Phát hiện Cartea de identitate và hộ chiếu
- NER đặc thù ngôn ngữ
- Thỏa thuận xử lý phụ với các bước kỹ thuật được nêu tên