anonym.legal

By · Last updated 2026-03-15

Povratak na BlogPravna Tehnologija

Trajna anonimizacija: Rizik od uništenja dokaza

34,8% ChatGPT unosa sadrži osjetljive podatke (Cyberhaven). Rješenje — trajna anonimizacija — stvara vlastiti pravni rizik: spoliation. GDPR čl. 4(5) i Federalno pravilo 37(e) zahtijevaju reverzibilnost.

March 15, 202610 min čitanja
reversible encryptionspoliation risklegal discovery complianceGDPR pseudonymizationAES-256-GCM

Ažurirano za 2026.

Jedno rješenje, dva nova rizika

Mnogi uredi sada blokiraju curenja putem AI-a uklanjanjem imena i identifikatora prije nego što tekst dođe do AI pružatelja. Jednosmjerno hashiranje, tvrda redakcija ili potpuno uklanjanje sve djeluje sigurno. AI dobiva čisti tekst. Osjetljivi detalji ostaju interno.

Logika se drži na sigurnosnoj strani. Cyberhaven-ova studija za Q4 2025. utvrdila je da 34,8% sadržaja poslanog ChatGPT-u sadrži osjetljive podatke. Ponemonovo izvješće iz 2024. stavilo je prosječni trošak proboja putem AI-a na 2,1 milijun USD. Rizik je stvaran i trošak je visok.

Ali potpuno uklanjanje zamjenjuje jedan rizik za drugi: uništenje dokaza (spoliation).

Za urede koji su predmet tužbi ili revizija, uništavanje mogućnosti povrata sirovih zapisa može se računati kao uništenje dokaza prema saveznim i državnim pravilima.

Razmjeri dijeljenja putem AI-a

Istraživanje eSecurity Planet i Cyberhaven-a utvrdilo je da 77% osoblja dijeli osjetljive podatke s AI alatima svaki tjedan. To obuhvaća pravo, zdravstvo, financije i tehnologiju.

Dijeljeni sadržaj često uključuje:

  • Pisma klijentima i bilješke o slučaju
  • Nacrte ugovora i uvjete posla
  • Interne planove i poslovne zapise
  • Financijske modele i projekcije
  • Pravne memorandume i bilješke o slučaju
  • Pacijentske zapise i kliničke bilješke
  • HR datoteke i poruke zaposlenika

Kada je potpuno uklanjanje AI kontrola, svaki dokument koji prođe kroz nju može izgubiti svoju pravnu vrijednost. Ako ti dokumenti izađu na vidjelo u tužbi — što je vrlo vjerojatno kroz bilo koji višegodišnji period za urede u reguliranim područjima — ured je potencijalno izgubio dokaze.

Pogledajte naš pregled pravne usklađenosti za to kako anonym.legal ispunjava obveze otkrivanja dokaza. Također možete pregledati vodič za tokenski sustav kako biste vidjeli kako funkcionira pipeline maskiranja u praksi.

GDPR: Reverzibilnost je obvezna

Članak 4(5) GDPR-a definira pseudonimizaciju kao obradu osobnih zapisa na način koji znači da se više ne mogu pripisati određenom ispitaniku bez korištenja dodatnih podataka, pod uvjetom da se takvi dodatni podaci čuvaju zasebno.

Ključna točka: dodatni ključ koji omogućuje ponovnu vezu mora biti čuvan. Zapisi koji se mogu ponovo vezati putem pohranjenih ključeva broje se kao pseudonimizirani prema GDPR-u.

Zapisi koji se uopće ne mogu ponovo vezati nisu pseudonimizirani. Oni su anonimizirani. Razlika je važna:

  • Zapisi maskirani tokenima zadržavaju neke GDPR obveze, ali se mogu obnoviti za pravnu upotrebu.
  • Potpuno izbrisani zapisi mogu pasti izvan dosega GDPR-a, ali se uopće ne mogu obnoviti.

Smjernice Europskog odbora za zaštitu podataka 05/2022 potvrđuju da je reverzibilnost temeljni dio definicije. Uredi koji koriste jednosmjerno uklanjanje ne provode GDPR pseudonimizaciju. Ukidaju mogućnost obnavljanja zapisa.

Saznajte više na našem čvorištu za usklađenost i pregledu zaštite.

Federalna pravila: Test uništenja dokaza

Prema Federalnim pravilima građanskog postupka, stranke moraju čuvati zapise koji mogu biti relevantni za očekivanu pravnu radnju. Ova obveza počinje kada je tužba razumno predvidiva — ne kada je podnesena.

Pravilo 37(e) dopušta sudovima nametanje kazni kada stranka ne čuva pohranjene zapise. Kazne mogu uključivati:

  • Upute o negativnoj inferenci
  • Isključivanje dokaza
  • Sankcije koje okončavaju slučaj u ozbiljnim slučajevima

Evo kako se ovo odvija. Ured koristi AI radne tokove koji potpuno uklanjaju osjetljivi sadržaj u normalnom tijeku poslovanja. Ti zapisi kasnije postanu relevantni za tužbu. Ured ih je izmijenio tako da se sirovi tekst ne može obnoviti. Ako se to dogodilo nakon što je obveza čuvanja nastupila, slijedi izloženost zbog uništenja dokaza.

Ovo nije rubni slučaj. Uredi u reguliranim područjima s ponavljajućom pravnom izloženošću suočavaju se s konstantno predvidivim tužbama kroz širok raspon vrsta dokumenata. Raspoređivanje potpunog uklanjanja kroz sve radne tokove — bez izuzetaka za zapise s rizikom — stvara veliki rizik od uništenja dokaza.

Reverzibilno nasuprot ireverzibilnog: Ključna razlika

Razlika između reverzibilnog i jednosmjernog maskiranja je u dizajnu.

Jednosmjerno: nema puta natrag

SHA-256 hashiranje imena producira fiksni hash. Ime se ne može iz njega izvesti. Tvrda redakcija uklanja tekst pa je sirovi sadržaj nestao.

Reverzibilno: obnova je moguća

Zamjena tokena s čuvanjem ključeva i AES-256-GCM enkripcija oba transformiraju zapise na načine koji se mogu poništiti. Ime zamijenjeno tokenom može se obnoviti putem tablice pretraživanja. AES-256-GCM sadržaj može se dešifrirati odgovarajućim ključem. Sirovi tekst ostaje dostupan.

Za AI zaštitu, obje metode funkcioniraju na isti način. AI obrađuje tokene i nikad ne vidi stvarne zapise.

Za pravnu obvezu, funkcionira samo reverzibilno maskiranje tokenima. Jednosmjerne metode ukidaju mogućnost obnove i stvaraju rizik od uništenja dokaza naveden gore.

Pročitajte kako naš tokenski sustav ovo obrađuje od kraja do kraja. Za dublje kontekst, pogledajte rječnik i česta pitanja.

Dizajn koji ispunjava oba uvjeta

Dizajn koji ispunjava i AI sigurnost i pravne obveze otkrivanja koristi reverzibilno AES-256-GCM maskiranje tokenima:

  1. Zapisi se obrađuju prije nego što dosegnu bilo koji AI alat.
  2. Osjetljivi elementi — imena, identifikatori, PHI, povjerljivi sadržaj — zamjenjuju se strukturiranim tokenima.
  3. Mapa tokena čuva se u zasebnoj pohrani s kontrolama pristupa koje odgovaraju vrsti podataka.
  4. AI obrada odvija se na kopiji s tokenima. AI nikad ne vidi stvarne zapise.
  5. Rezultati se obnavljaju korištenjem mape tokena za normalnu poslovnu upotrebu.
  6. Mapa tokena stavlja se pod pravnu zaštitu kada nastupe obveze otkrivanja.

Pod ovim dizajnom, nikakav sirovi sadržaj nikad nije izgubljen. AI pružatelj ga nikad ne vidi u upotrebljivom obliku. Mapa tokena čuva mogućnost obnove kada zakon to zahtijeva. Rizik od uništenja dokaza je uklonjen — nijedan zapis nije uništen. Samo su maskirani na način koji se može poništiti.

Članak 4(5) GDPR-a je ispunjen: dodatni ključ (mapa tokena) čuva se zasebno s odgovarajućim tehničkim i procesnim zaštitnim mjerama. Obveza čuvanja prema Federalnim pravilima je ispunjena: sirovi zapisi mogu se obnoviti kada se primijeni pravna zaštita.

Istražite naš pristup otkrivanju entiteta, pregled zaštite i planove i cijene za potpune detalje.

Binarni izbor

Uredi se suočavaju s jasnim raskršćem:

  • Trajno ukloniti podatke — riješiti problem curenja AI-a, ali stvoriti pravni rizik.
  • Koristiti reverzibilno maskiranje tokenima — istovremeno ispuniti i potrebe zaštite i usklađenosti.

Prosječni trošak proboja putem AI-a od 2,1 milijun USD pokreće sigurnosnu odluku. Ali ni sankcije za uništenje dokaza nisu jeftine. U slučajevima s visokim financijskim ulozima, troškovi mogu dosegnuti isti red veličine. Oba rizika zaslužuju mjesto u odluci.

Zdrava AI politika pokriva oba kraja. Blokira osjetljive zapise da napuste tvrtku u upotrebljivom obliku. I čuva te iste zapise dostupnima kada sud ili regulatorno tijelo zatraži. Reverzibilno maskiranje tokenima jedina je metoda koja to čini istovremeno.

Za više pozadine, pogledajte naš opis osnivača i studije slučaja.

Izvori

  • Cyberhaven Q4 2025: Izlaganje podataka u AI alatima — poveznica
  • IBM / Ponemon Institute: Izvješće o troškovima proboja podataka 2024. — poveznica
  • Smjernice EDPB 05/2022 o pseudonimizaciji — poveznica
  • Federalna pravila građanskog postupka Pravilo 37(e) — poveznica
  • E-Discovery LLC: Redakcije relevantnosti i pravni standardi — poveznica

Povezani Članci

Pravna Tehnologija

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Pravna Tehnologija

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Pravna Tehnologija

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.