anonym.legal

By · Last updated 2026-06-05

Zpět na blogGDPR a shoda

Vzdálená práce a GDPR: Nekonzistence platforem

Týmy v kanceláři používají plně vybavený desktopový software. Vzdálení pracovníci používají webové aplikace s potenciálně odlišným nastavením. Soudy EU říkají, že samotné zásady nestačí.

June 5, 20266 min čtení
remote work GDPRplatform consistencyhybrid workplace privacytechnical controlsGDPR compliance

Vzdálená práce a GDPR: Problém mezery v platformách

Aktualizováno pro rok 2026.

Většina programů GDPR byla vytvořena pro kancelářské prostředí. Všichni zaměstnanci používali spravované pracovní stanice. IT oddělení nastavilo jednu konfiguraci na každém počítači. Nastavení bylo jednotné.

Vzdálená a hybridní práce to změnila. Dnes může stejná osoba zpracovávat osobní data z kancelářské pracovní stanice v pondělí a z domácího notebooku v pátek. Povinnost GDPR se podle místa nemění. Technické kontroly se ale často mění.

Proč lokalita vytváří mezeru

Článek 32 GDPR je jasný: organizace musí uplatňovat vhodná technická opatření k ochraně osobních dat. Pravidlo neříká v kanceláři. Platí všude, kde jsou data zpracovávána.

Když se kancelářské a vzdálené nástroje liší, liší se i kontroly. Tato mezera je compliance problémem.

V rámci většiny týmů nyní existují čtyři pracovní vzorce.

  • Kancelářští pracovníci na spravovaných pracovních stanicích s IT-nasazeným softwarem.
  • Vzdálení pracovníci na domácím hardwaru — firemně spravovaném nebo BYOD.
  • Mobilní pracovníci na jakémkoli dostupném zařízení s omezenou kontrolou konfigurace.
  • Hybridní pracovníci přepínající mezi oběma prostředími každý týden.

Každé prostředí může provozovat jiné nástroje, různé verze a různá nastavení. Článek 32 GDPR se vztahuje na všechny čtyři.

Co nyní soudy očekávají

Soudy jasně ukázaly, že samotná zásada nesplňuje požadavky článku 32 GDPR. Je vyžadován důkaz o operativních technických kontrolách.

Zásada, která říká zaměstnancům, aby před použitím nástrojů AI anonymizovali data, není technická kontrola. Opatření, které anonymizaci zajišťuje, je kontrolou. Pokud toto opatření není konzistentně nasazeno napříč kancelářskými a vzdálenými prostředími, kontrola selhává. Nekonzistentní kontrola není vyhovující kontrolou.

Čtyři oblasti, kde musí konzistence platit

Pro nástroje anonymizace OÚ konzistence napříč lokalitami znamená čtyři věci.

Pokrytí entit: Stejné typy entit jsou detekovány v kanceláři i doma. Ne přibližně stejné — přesně stejné. Různé detekční enginy znamenají, že pokrytí nelze prokázat jako rovnocenné.

Prahové hodnoty spolehlivosti: Stejná prahová hodnota spouští automatickou anonymizaci na obou místech. Entita označená při 87% spolehlivosti v kanceláři by neměla dostat pouze varování doma.

Konfigurace přednastavení: Přednastavení GDPR Standard compliance týmu se uplatňuje v obou prostředích. Úložiště na straně serveru znamená, že změny dosahují každého přístupového bodu najednou.

Auditní záznam: Zpracování z domova a z kanceláře se zobrazuje v jednom centralizovaném logu. Neexistuje žádný samostatný vzdálený log, který by bylo třeba následně sladit.

Riziko desktopové vs. webové aplikace

Mnoho organizací nasazuje desktopovou aplikaci pro kancelářské uživatele a webovou aplikaci pro vzdálené zaměstnance. Ani od stejného dodavatele se tyto dva produkty mohou rozejít.

  • Cykly aktualizací se liší. Desktopová aplikace může zaostávat za webovou aplikací o několik verzí.
  • Dědičnost konfigurace se může přerušit. Přednastavení aktualizované ve webové aplikaci nemusí dosáhnout desktopu.
  • Logování se může rozdělit. Desktopová aplikace může zapisovat lokální logy, zatímco webová aplikace loguje centrálně.

Test compliance je jednoduchý: dokážete prokázat, že na každém dokumentu proběhla stejná detekce? Pokud odpověď vyžaduje sloučení dvou různých formátů logů, kontroly nejsou v souladu.

Jak funguje pokrytí nezávislé na platformě

Praktická odpověď je jedno serverové detekční API používané každým rozhraním. Desktopová aplikace, webová aplikace a rozšíření prohlížeče volají stejný engine. Běží jeden model. Výsledek je všude stejný.

Tento přístup řeší všechny čtyři oblasti konzistence.

  • Detekce běží na serveru. Pokrytí je identické napříč rozhraními.
  • Prahové hodnoty jsou nastaveny jednou a aplikovány API. Nedochází k žádnému odchýlení na straně klienta.
  • Přednastavení jsou uložena na straně serveru. Každé rozhraní je načítá za běhu.
  • Všechny události jdou do jedné auditní databáze. Jeden dotaz pokrývá celý tým.

IT nasadí rozšíření prohlížeče vzdáleným pracovníkům se stejným přednastavením jako desktopová aplikace. Jeden konfigurační dokument pokrývá všechna prostředí.

Případová studie podnikového týmu

Compliance tým 35 lidí odhalil mezeru v platformě při interním auditu. Tým měl 20 zaměstnanců v Mnichově a 15 vzdálených po celém Německu a Nizozemsku.

Kancelářští zaměstnanci používali desktopový nástroj OÚ pro Windows s 285+ typy entit a přednastavením GDPR. Vzdálení zaměstnanci používali webový nástroj od jiného dodavatele. Pokrýval přibližně 80 typů entit a neměl žádné přednastavení GDPR. Stejný tým. Stejná data. Různé nástroje.

Tým se sjednotil na jednu platformu.

  • Desktopová aplikace nainstalovaná na spravovaných pracovních stanicích v mnichovské kanceláři.
  • Webová aplikace se stejným přednastavením pro všechny vzdálené zaměstnance.
  • Rozšíření Chrome nasazené na všechna zařízení pro používání AI v prohlížeči.
  • IT spravuje jedno přednastavení. Automaticky se synchronizuje s každým rozhraním.

Po sjednocení tým vypracoval jeden dokument Technických opatření pokrývající všech 35 členů. Jeden auditní záznam. Jedna čtvrtletní kontrola konfigurace. Zjištění z interního auditu bylo uzavřeno do 8 týdnů.

Další informace o dokumentaci auditu naleznete v průvodci právním souladu. Pro technické kontroly v praxi viz přehled zabezpečení.

Závěr

Vzdálená práce GDPR nezměnila. Změnila, kde jsou data zpracovávána. Tento posun odhalil mezeru, kterou jednotné kancelářské nastavení skrývalo.

Konzistentní technické kontroly znamenají stejnou detekci, stejné prahové hodnoty a stejný auditní záznam. Platí bez ohledu na to, kde zaměstnanec pracuje. Serverový přístup dělá z konzistence výchozí stav. Roztříštění platforem dělá z nekonzistence výchozí stav.

Zjistěte, jak anonym.legal nasazuje sjednocené kontroly OÚ napříč vzdálenými a kancelářskými prostředími.

Zdroje

  • GDPR článek 32: Bezpečnost zpracování. gdpr-info.eu/art-32-gdpr/.
  • Pokyny EDPB 4/2019 k ochraně dat od návrhu. edpb.europa.eu.
  • Pokyny ICO k odpovědnosti a správě. ico.org.uk.

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.