anonym.legal

By · Last updated 2026-05-09

블로그로 돌아가기GDPR 및 준수

DPO를 위한 GDPR 제28조 벤더 검토 체크리스트

GDPR 제35조는 고위험 처리에 대한 DPIA를 요구합니다. ISO 27001 인증은 보안 질문서 처리 시간을 73% 단축합니다.

May 9, 20269 분 읽기
DPO GDPR vendor assessmentGDPR Article 28 checklistDPIA anonymization toolISO 27001 procurementdata processor evaluation

DPO가 익명화 도구를 검토해야 하는 이유

GDPR은 고위험 업무에 대한 데이터 보호 영향 평가(DPIA)를 요구합니다. 대규모 PII 처리는 고위험입니다. 익명화 도구는 데이터 처리자입니다. 처리자 규정의 적용을 받습니다. 운영 전에 평가가 필요합니다.

두 가지가 요구됩니다. 처리자는 보안에 대한 '충분한 보장'을 제공해야 합니다. 모든 처리는 서면 계약으로 관리되어야 합니다. DPO로서 도구의 보안 통제, 하위 처리자, 파일 호스팅 위치, 침해 처리 방식, 데이터 처리 계약(DPA)을 기록해야 합니다.

ISO 27001 인증이 작업량을 줄입니다. BSI 조사에 따르면 인증받은 기업은 보안 질문서 처리 시간을 73% 단축합니다. Gartner 조사에 따르면 Fortune 500 입찰의 **78%**에서 ISO 27001이 요구됩니다. 인증받은 도구를 사용하면 인증서를 인용할 수 있습니다. 각 통제를 수동으로 확인할 필요가 없습니다. 미인증 도구는 더 많은 수동 검토가 필요합니다.

준수 개요보안 페이지에서 당사가 이 규정을 어떻게 충족하는지 확인하십시오.

7가지 확인 항목

모든 익명화 도구 또는 공급업체에 이 목록을 사용하십시오.

1. 데이터 처리 계약. GDPR 준수 DPA가 있습니까? 다음을 포함해야 합니다: 귀사의 지시에 따른 처리만 수행, 주의 의무, 보안 조치, 하위 처리자 통제, 권리 요청 지원, 파일 폐기 또는 반환, 감사 권한.

2. 보안 기록. 보안 조치가 문서화되어 있습니까? ISO 27001 인증 공급업체는 인증서와 적용 가능성 진술서를 제시할 수 있습니다. 이것으로 요건을 충족합니다.

3. 하위 처리자 목록. 도구가 하위 처리자를 사용합니까? 명시되어 있습니까? 모든 변경에 대해 사전 통보가 필요합니다. 클라우드 호스트, CDN, OCR 도구가 모두 해당됩니다. 누락된 이름이 흔한 문제점입니다.

4. 파일 호스팅 위치. 귀사의 데이터가 EU에서 호스팅됩니까? EU 호스팅은 EU 기반 기업에게 가장 간편합니다. 제로 지식 도구도 문제없습니다. 파일이 귀사 기기를 전혀 떠나지 않습니다. 미국 기반 공급업체는 표준계약조항(SCC)이 필요합니다.

5. 침해 통보. 공급업체가 침해 발생 시 얼마나 빨리 통보합니까? 법은 72시간 내에 규제 기관에 통보하도록 요구합니다. 공급업체가 먼저 귀사에 경고해야 합니다. DPA에 이를 명시하는지 확인하십시오.

6. 공급업체 DPIA. 공급업체가 자체 DPIA를 수행했습니까? 열람 가능합니까? DPIA가 없으면 귀사 기록에 빈틈이 생깁니다. 자주 발생하는 문제입니다.

7. 삭제 및 이동성. 공급업체가 삭제 및 이동성 요청을 처리할 수 있습니까? 제로 지식 도구는 파일을 저장하지 않으므로 삭제가 적용되지 않을 수 있습니다. DPIA에 이를 명시해야 합니다.

좋은 공급업체는 네 가지를 제공합니다: ISO 27001 인증, EU 호스팅 증명, 자체 DPIA, 서명된 DPA. 이 네 가지가 귀사 DPIA의 모든 빈틈을 채웁니다. 규제 기관이 만족할 것입니다.

공급업체 검토에 관한 일반적인 질문은 DPO FAQ를 참조하십시오.

참고 자료

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.