anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگGDPR و انطباق

DSB اتریش: Schrems و انتقال داده

مرجع حفاظت داده اتریش (DSB) خانه NOYB است که ۴۲۲ شکایت را بین ۲۰۲۲ تا ۲۰۲۴ رسیدگی کرد. حکم Google Analytics، ریسک Schrems III و ۷۸٪ از پرونده‌های DSB که انتقال داده را هدف قرار می‌دهند.

June 5, 20268 دقیقه مطالعه
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

DSB اتریش: Schrems و انتقال داده

مرجع حفاظت داده اتریش (Datenschutzbehörde یا DSB) نهاد نظارتی خانه NOYB است. NOYB مخفف «هیچ‌کدام از کارهای شما» است. Max Schrems این گروه را تأسیس کرد. این سازمان از سال ۲۰۱۸ بیش از ۱۰۰۰ شکایت GDPR ثبت کرده است. DSB بین ۲۰۲۲ و ۲۰۲۴ تعداد ۴۲۲ مورد از این پرونده‌ها را رسیدگی کرد.

این سابقه اهمیت دارد. DSB در مرکز دو نبرد قانونی قرار دارد که پیشتر قوانین انتقال اتحادیه اروپا را تغییر داده‌اند.

NOYB و DSB: یک الگو

Schrems I (2015): Schrems شکایتی درباره جریان‌های داده اتحادیه اروپا به آمریکا از Meta ثبت کرد. دیوان عدالت اتحادیه اروپا Safe Harbor را باطل کرد. بیش از ۴۰۰۰ شرکت از آن چارچوب استفاده می‌کردند.

Schrems II (2020): یک چالش دوم Privacy Shield را هدف قرار داد. بیش از ۵۰۰۰ شرکت به آن متکی بودند. فروپاشی آن مذاکرات جدیدی را اجباری کرد. نتیجه چارچوب حریم خصوصی داده اتحادیه اروپا-آمریکا (DPF) بود که در سال ۲۰۲۳ اجرایی شد.

Schrems III پیش‌بینی‌شده (۲۰۲۵–۲۰۲۶): NOYB تصمیم اعطای کفایت DPF را به چالش کشیده است. استدلال این گروه این است که بخش ۷۰۲ قانون FISA همچنان با GDPR در تعارض است. انتظار می‌رود پرونده به دیوان عدالت اتحادیه اروپا ارجاع داده شود.

۷۸٪ از پرونده‌های DSB شامل انتقال داده به خارج از کشور یا ابزارهای شخص ثالث است. این تمرکز مقامات اتریشی را از سایر نهادهای اروپایی متمایز می‌کند.

حکم Google Analytics توسط DSB

تصمیم ژانویه ۲۰۲۲ DSB درباره Google Analytics الگویی برای پرونده‌های انتقال داده ایجاد کرد.

سه یافته کلیدی از آن به دست آمد:

  1. آدرس‌های IP داده شخصی هستند. حتی آدرس‌های IP ناقص می‌توانند در سیستم‌های Google شناسایی مجدد را ممکن سازند. سوابق جلسه وضعیت را بدتر می‌کند.
  2. دسترسی فروشنده آمریکایی انتقال محسوب می‌شود. وقتی مهندسان آمریکایی می‌توانند به سوابق کاربران اروپایی دسترسی داشته باشند، این دسترسی یک انتقال تحت GDPR است. این موضوع شامل پشتیبانی، نگهداری و دستورات قانونی می‌شود.
  3. SCCها بدون TIA کافی نیستند. قراردادهای استاندارد نیازمند یک ارزیابی تأثیر انتقال (TIA) هستند. این TIA باید نشان دهد که قوانین جاسوسی آمریکا محافظت‌های SCC را باطل نمی‌کند.

DSB اپراتور اتریشی سایت را مسئول دانست — نه Google را. اپراتور کنترل‌کننده بود. این قانون برای هر کسب‌وکار اروپایی که اسکریپت‌های شخص ثالث را جاسازی می‌کند صدق می‌کند. برای اطلاعات درباره وظایف کنترل‌کننده، راهنمای انطباق GDPR را ببینید.

اقدامات فنی اضافی

پس از Schrems II، هیئت حفاظت داده اروپا (EDPB) راهنمایی درباره اقدامات فنی اضافی منتشر کرد. این اقدامات زمانی اعمال می‌شوند که SCCها به‌تنهایی کافی نباشند. DSB این راهنمایی را اجرا می‌کند.

سه رویکرد از نظر DSB قابل قبول هستند:

رمزگذاری با کلیدهای نگهداری‌شده در اروپا. سوابق را قبل از خروج از اروپا رمزگذاری کنید. کلیدهای رمزگشایی را در اختیار اروپا نگه دارید. اگر مراجع آمریکایی فروشنده را مجبور به تسلیم فایل‌ها کنند، آن‌ها متن رمزشده‌ای دریافت می‌کنند که نمی‌توانند بخوانند.

شبه‌ناشناس‌سازی قبل از انتقال. فقط توکن‌های شبه‌ناشناس را از مرزها عبور دهید. کلید شناسایی مجدد را در داخل اروپا نگه دارید. فایل‌های منتقل‌شده هیچ داده شخصی مستقیمی ندارند.

پردازش محلی. تمام پردازش‌ها را روی سرورهای میزبانی‌شده در اروپا انجام دهید. فقط آمارهای جمعی و واقعاً ناشناس را انتقال دهید. هیچ سابقه شخصی از مرز عبور نمی‌کند.

DSB این موضع را تأیید کرده است. گروه‌هایی که از فروشندگان SaaS آمریکایی برای داده‌های شخصی اروپایی استفاده می‌کنند باید حداقل یکی از این رویکردها را اعمال کنند. یا باید ثابت کنند که محتوای منتقل‌شده واقعاً ناشناس است.

ریسک Schrems III

شرکت‌هایی که فقط به DPF متکی هستند با ریسک مشخصی مواجه هستند. اگر چالش NOYB در دیوان عدالت موفق شود، آن شرکت‌ها باید سریعاً ابزارهای انتقال جدیدی بیابند. این دقیقاً همان چیزی است که در سال‌های ۲۰۱۵ و ۲۰۲۰ اتفاق افتاد.

گروه‌هایی که از اقدامات فنی اضافی استفاده می‌کنند محافظت می‌شوند. اگر محتوا واقعاً ناشناس باشد، هیچ انتقال GDPR صورت نمی‌گیرد. فروپاشی DPF برای آن‌ها هیچ تغییری ایجاد نمی‌کند.

برای عملیات اتریشی: ابزارهای تحلیلی (Google Analytics، Mixpanel، Amplitude) همگی ریسک DSB ایجاد می‌کنند. سیستم‌های CRM با شرکت‌های مادر آمریکایی (Salesforce، HubSpot) نیز همین‌طور. پلتفرم‌های ابری که کارکنان آمریکایی دسترسی مدیریتی دارند همان ریسک را دارند.

راه‌حل در هر مورد یکسان است. مطمئن شوید سوابق شخصی قبل از رسیدن به فروشنده واقعاً ناشناس هستند. یا آن‌ها را با کلیدهایی که تنها کنترل‌کننده اروپایی در اختیار دارد رمزگذاری کنید. مرور کلی امنیت و انطباق ما توضیح می‌دهد که طراحی بدون دانش چگونه مشکل انتقال را از ریشه برطرف می‌کند.

منابع

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.