anonym.legal

By · Last updated 2026-06-05

Zpět na blogGDPR a shoda

Selhání auditu GDPR: Roztříštěné nástroje OÚ

Váš auditor se ptá na kontroly detekce OÚ. Odpověď „Použííváme pět různých nástrojů“ není ta, kterou chce slyšet. Zde je vysvětlení, proč roztříštěnost napříč platformami u auditů GDPR selhává.

June 5, 20266 min čtení
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

Selhání auditu GDPR: Roztříštěné nástroje OÚ

Aktualizováno pro rok 2026.

Váš auditor se zeptá na jednu otázku: jaké technické kontroly chrání osobní data? Špatná odpověď: používáme pět různých nástrojů. Zde je vysvětlení, proč používání pěti nástrojů u auditů GDPR selhává — a jak vypadá čistá odpověď.

Moment auditu

Vyšetřovatel Úřadu pro ochranu osobních údajů (DPA) se setká s pracovníkem compliance. DPA prošetřuje stížnost subjektu údajů. Bývalý zákazník tvrdí, že s jeho daty bylo nesprávně nakládáno.

Otázka: Jaké kontroly vaše organizace používá k ochraně osobních dat, když je zaměstnanci zpracovávají?

Pracovník compliance: Naši právníci používají doplněk pro Word. Pracovníci podpory používají rozšíření Chrome. Náš datový tým má skript v Pythonu. Pro jednorázové požadavky může kdokoli použít webovou aplikaci.

Vyšetřovatel: Jsou to stejné nástroje? Stejný engine? Stejné pokrytí?

Pracovník compliance: Ne. Fungují různě.

V ten moment se audit stává obtížným.

Proč roztříštěné nástroje selhávají u článku 32

Článek 32 GDPR vyžaduje vhodná technická a organizační opatření. Standard má dvě části.

Přiměřenost riziku. Opatření musí odpovídat riziku. Pro osobní data zpracovávaná napříč mnoha pracovními postupy je vyžadována konzistentní detekce OÚ. Detekce, která se liší podle nástroje, tuto hranici nesplňuje.

Prokazatelnost. Opatření musí být prokazatelná. Článek 5(2) — zásada odpovědnosti — vyžaduje, aby správci byli schopni prokázat soulad. To znamená důkazy o konzistentní kontrole. Nikoli maximální úsilí. Konzistenci.

Rozdělení nástrojů selhává v prokazatelnosti. Nástroj A detekuje 285 typů entit. Nástroj B detekuje 50. Nástroj C detekuje 200, ale s jinými prahovými hodnotami. S takovým nástrojovým stackem nelze prokázat konzistentní ochranu. Lze pouze ukázat, že některé nástroje běžely v některých kontextech.

Zjištění DPA týkající se rozděleného nástrojového stacku zní: Technické kontroly pro ochranu OÚ jsou napříč pracovními postupy nekonzistentní. To vytváří mezery v pokrytí a brání centralizovanému přezkumu auditního záznamu.

Problém odhalení mezery

Často nevíte, kde jsou vaše mezery v pokrytí, dokud nedojde k porušení.

Řekněme, že nástroj B (používaný datovým týmem) nedetekuje čísla národních identifikačních dokladů EU. Nástroj A (používaný právníky) ano. Tato mezera je za normálního provozu neviditelná. Soubory se zpracovávají. Žádná upozornění se nespouštějí. Nic nevypadá špatně.

Mezera se objeví, když:

  • Číslo národního identifikačního dokladu EU se objeví v souboru zpracovaném datovým týmem
  • Tento soubor je sdílen bez kontrol
  • Subjekt údajů odhalí expozici a podá stížnost GDPR

Nyní DPA odhalí mezeru. Datový tým spustil nástroj s jiným pokrytím než ostatní týmy. Mezera, která měla být nalezena a uzavřena.

Sjednocené pokrytí to napraví. Stejné typy entit jsou detekovány ve všech kontextech. Mezery se stanou viditelnými — nulová detekce entity X v jakémkoli pracovním postupu — spíše než skrytými.

Viz GDPR článek 32 a monitorování nástrojů AI pro informace o tom, co auditoři hledají v technických kontrolách.

Jak vypadá čistá odpověď na soulad

Pracovník compliance se sjednocenou platformou odpovídá jinak.

Používáme jednu platformu pro detekci OÚ napříč všemi pracovními postupy. Právníci, pracovníci podpory a datoví inženýři používají stejný detekční engine. Rozhraní se liší — doplněk Word, rozšíření Chrome, desktopová aplikace — ale model a nastavení jsou stejné. Veškeré zpracování se zaznamenává do centrálního auditního záznamu. Naše nastavení pokrývá 285+ typů entit s přednastavenými hodnotami odpovídajícími jurisdikci. Mohu vytáhnout jakékoli časové období, které potřebujete.

Tato odpověď je:

  • Konkrétní. Jmenuje platformu a vysvětluje nastavení pro více platforem.
  • Konzistentní. Stejný detekční engine se přímo zabývá obavou o pokrytí.
  • Prokazatelná. Centrální auditní záznam znamená, že důkazy jsou připraveny na vyžádání.

Když vyšetřovatel požádá o auditní záznam pro konkrétní subjekt údajů, žádost je okamžitě splněna.

Standard konzistence napříč platformami

Pro silnou pozici podle článku 32 jsou toto minimální požadavky.

Konzistence detekce:

  1. Stejný detekční model nebo API napříč všemi platformami
  2. Stejné pokrytí typů entit — pokud webová aplikace kontroluje 285 entit, desktopová aplikace musí také
  3. Stejné prahové hodnoty spolehlivosti — žádný nástroj není uvolněnější ani přísnější pro stejný typ entity
  4. Stejné náhradní tokeny pro stejné typy entit
  5. Centrální auditní záznam napříč všemi platformami

Požadavky na dokumentaci:

  • Snímek konfigurace: aktuální pokrytí entit a prahové hodnoty
  • Historie změn: co se změnilo a kdy
  • Důkaz pokrytí: všechny platformy sdílejí stejné nastavení

Toto lze vybudovat pro nástrojový stack s více nástroji. Ale vyžaduje to formální správu konfigurace a pravidelné meziplatformní audity. Jedna platforma dává jednoduchou odpověď: Toto je nastavení. Platí všude. Toto je auditní záznam.

Pro širší pohled na konzistenci napříč platformami viz Soulad s ochranou OÚ napříč platformami: Mac, Linux, Windows.

Praktický přechod: Od roztříštění ke sjednocení

Krok 1: Zmapujte nástroje a pokrytí

  • Vypište každý nástroj podle týmu a pracovního postupu
  • Zdokumentujte, jaké typy OÚ každý nástroj detekuje
  • Najděte mezery — co detekuje nástroj A, co nástroj B přehlédne?

Krok 2: Definujte standard pokrytí

  • Na základě vašich povinností — typy entit GDPR, PHI HIPAA, kategorie CCPA
  • Nastavte jeden standard platný pro všechny pracovní postupy

Krok 3: Vyberte sjednocenou platformu

  • Může být nasazena napříč webem, desktopem, Wordem a prohlížečem?
  • Splňuje váš standard pokrytí?
  • Poskytuje centralizovaný auditní záznam?

Krok 4: Migrujte

  • Začněte s pracovními postupy s nejvyšším rizikem
  • Přecházejte tým po týmu a deaktivujte starší nástroje, jak uživatelé migrují
  • Zaznamenejte migraci do svého compliance logu

Roztříštění nástrojů je jednou z nejčastějších mezer v kontrolách GDPR nalezených při auditech. Informace o tom, jak se to projevuje v distribuovaných týmech, naleznete v článku Vzdálená práce a GDPR: Nekonzistence platforem.

Zdroje

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.