anonym.legal

By · Last updated 2026-06-05

Zpět na blogGDPR a shoda

DSB Rakousko: Schrems, NOYB a přenosy dat

Rakouský DSB je domovským dozorovým úřadem organizace NOYB (v letech 2022–2024 vyřídil 422 stížností). Rozhodnutí ve věci Google Analytics, riziko Schrems III a 78 % případů DSB zaměřených na přenosy dat.

June 5, 20268 min čtení
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

Rakouský Datenschutzbehörde (DSB) je vedoucím dozorovým úřadem pro případy podávané organizací NOYB — None of Your Business — neziskovou advokační organizací na ochranu soukromí, kterou založil Max Schrems. NOYB od roku 2018 podala přes 1 000 strategických stížností podle GDPR a DSB jich v letech 2022–2024 vyřídil 422. Pochopit vymáhání ze strany DSB znamená pochopit strategické soudní spory, které dvakrát přetvořily právo přenosů dat v EU.

NOYB a DSB: vzorec strategického vymáhání

Schrems I (2015): Stížnost Maxe Schremse na přenosy dat EU–USA ze strany Facebooku nakonec vedla ke zrušení rámce Safe Harbor, který využívalo více než 4 000 společností.

Schrems II (2020): Schrems'ova návazná výzva zrušila americký štít ochrany soukromí EU–USA (EU-US Privacy Shield), čímž zasáhla více než 5 000 společností a vyvolala nouzové přejednání, jehož výsledkem je současný rámec EU–USA pro ochranu soukromí (2023).

Očekávaný Schrems III (2025–2026): NOYB podala výzvy vůči rozhodnutí o přiměřenosti DPF s argumentem, že oddíl 702 zákona FISA zůstává neslučitelný s GDPR. Předložení věci Soudnímu dvoru EU je očekáváno.

78 % případů vymáhání DSB se týká přenosů dat nebo integrací třetích stran — toto zaměření na přenosy je určující charakteristikou rakouského vymáhání.

Rozhodnutí DSB ve věci Google Analytics

Rozhodnutí DSB ve věci Google Analytics z ledna 2022 nastavilo vzorec pro veškeré následné vymáhání v oblasti přenosů:

  1. IP adresy jsou osobní data. Dokonce i zkrácené IP adresy v kombinaci s daty relace umožňují reidentifikaci v databázi Google.
  2. Přístup amerického dodavatele = přenos. Když mohou američtí technici přistupovat k datům uživatelů z EU (za účelem podpory, údržby nebo na zákonný příkaz), tento přístup představuje přenos dat ve smyslu GDPR.
  3. Standardní smluvní doložky bez adekvátního TIA = porušení. Standardní smluvní doložky bez posouzení dopadu přenosu prokazujícího, že americké sledovací právo jejich platnost nemaří, jsou nedostačující.

DSB shledal, že odpovědným správcem dat za nelegální přenos byl provozovatel rakouské webové stránky — nikoliv Google. Tento princip se dotýká každé firmy z EU, která do svých stránek vkládá skripty třetích stran.

Doplňková technická opatření: co skutečně funguje

Po rozhodnutí Schrems II vydal EDPB pokyny k doplňkovým technickým opatřením vyžadovaným v případech, kdy samotné standardní smluvní doložky nestačí. DSB tato doporučení vymáhá:

Šifrování s klíči drženými v EU: Pokud jsou osobní data z EU šifrována před přenosem do USA a dešifrovací klíče jsou výhradně v rukou držitelů klíčů se sídlem v EU, jsou data pro účely přenosu podle GDPR fakticky anonymní — americké úřady nemohou vynutit přístup k datům, která nemohou přečíst.

Pseudonymizace před přenosem: Pokud přenášená data obsahují pouze pseudonymní identifikátory (klíč pro reidentifikaci je držen v EU), přenášená data nepředstavují „osobní data“ pro účely přenosu.

Místní zpracování: Data, která nikdy neopustí infrastrukturu hostovanou v EU, se zcela vyhnou požadavkům na přenos. Přenášejí se pouze agregované a skutečně anonymizované statistiky.

DSB shledal, že organizace používající americké SaaS dodavatele pro zpracování osobních dat z EU musí buď tato opatření implementovat, nebo prokázat, že data jsou skutečně anonymizována.

Riziko Schrems III pro organizace využívající americké dodavatele

Organizace spoléhající výhradně na rámec EU–USA pro ochranu soukromí (DPF) při přenosech dat do USA čelí konkrétnímu riziku: pokud NOYB uspěje se svou výzvou u Soudního dvora EU — jak tomu bylo v případě Safe Harbor (2015) a Privacy Shield (2020) — budou muset organizace okamžitě hledat alternativní mechanismy přenosu.

Organizace využívající doplňková technická opatření (šifrování s klíči drženými v EU, skutečná anonymizace před přenosem) jsou vůči zrušení DPF chráněny. Přenos technicky nenastane, pokud jsou data skutečně anonymizována nebo šifrována klíči, k nimž americký dodavatel nemá přístup.

Concrete pro rakouské operace: webová analytika pomocí amerických nástrojů (Google Analytics, Mixpanel, Amplitude), CRM systémy s americkými mateřskými společnostmi (Salesforce, HubSpot) a cloudová infrastruktura s přístupem administrátorů z USA — to vše zakládá expozici vůči vymáhání ze strany DSB. Zmírněním je zajistit, aby osobní data v těchto systémech byla buď skutečně anonymizována, než se dostanou do systémů dodavatele, nebo šifrována klíči drženými výhradně správcem dat v EU.

Zdroje:

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.