anonym.legal

By · Last updated 2026-06-05

Назад на блоготGDPR & Усогласеност

Неуспех на GDPR ревизија: Фрагментирани алатки за лични податоци

Вашиот ревизор бара контроли за детекција на лични податоци. 'Користиме пет различни алатки' не е одговорот кој го сакаат. Еве зошто меѓу-платформската конзистентност е клучна.

June 5, 20266 мин читање
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

Неуспех на GDPR ревизија: Фрагментирани алатки за лични податоци

Ажурирано за 2026 година.

Вашиот ревизор поставува едно прашање: "Какви технички контроли ги штитат личните податоци?" Погрешниот одговор: "Користиме пет различни алатки." Еве зошто користењето пет алатки не успева на GDPR ревизии — и како изгледа чист одговор.

Моментот на ревизијата

Истражувач на Органот за заштита на податоци се среќава со службеник за усогласеност. DPA разгледува жалба на субјект на податоци. Поранешен клиент тврди дека неговите податоци биле злоупотребени.

Прашањето: "Кои контроли ги користи вашата организација за да ги чува личните податоци безбедни кога вработените ги обработуваат?"

Службеникот за усогласеност: "Нашите правници го користат Word додатокот. Персоналот за поддршка го користи Chrome додатокот. Нашиот тим за податоци има Python скрипта. За еднократни барања, секој може да ја користи веб апликацијата."

Истражувачот: "Дали ова е иста алатка? Ист мотор? Иста покриеност?"

Службеникот за усогласеност: "Не. Работат различно."

Тоа е кога ревизијата станува тешка.

Зошто фрагментираните алатки не успеваат на член 32

GDPR член 32 бара "соодветни технички и организациски мерки." Стандардот има два дела.

Усогласеност со ризикот. Мерките мора да одговараат на ризикот. За лични податоци обработувани низ многу работни текови, потребна е конзистентна детекција на лични податоци. Детекцијата која варира по алатка не го исполнува ова.

Доказ. Мерките мора да бидат докажливи. Член 5(2) — принципот на одговорност — бара контролорите да "можат да докажат усогласеност." Тоа значи докази за конзистентна контрола. Не со најдобро залагање. Конзистентно.

Поделените алатки не успеваат на доказот. Алатката А детектира 285 типови ентитети. Алатката Б детектира 50. Алатката В детектира 200 но со различни прагови. Не можете да докажете конзистентна заштита со тоа стекло. Можете само да покажете дека некои алатки работеле во некои контексти.

Наод на DPA за поделени алатки гласи: "Техничките контроли за заштита на лични податоци се неконзистентни низ работните текови. Ова создава јазови во покриеноста и спречува централизиран преглед на ревизорската трага."

Проблемот со откривањето на јазовите

Често не знаете каде се вашите јазови во покриеноста додека не се случи прекршување.

Речеме дека Алатката Б (користена од тимот за податоци) не детектира броеви на ЕУ национален ID. Алатката А (користена од правници) детектира. Овој јаз е невидлив за време на нормалната работа. Датотеките се обработуваат. Не се активираат предупредувања. Ништо не изгледа погрешно.

Јазот се открива кога:

  • ЕУ национален ID се pojавува во датотека обработена од тимот за податоци
  • Таа датотека се споделува без контроли
  • Субјектот на податоците го открива изложувањето и поднесува GDPR жалба

Сега DPA открива јаз. Тимот за податоци работел со алатка со различна покриеност од другите тимови. Јаз кој требало да биде пронајден и затворен.

Унифицираната покриеност го поправа ова. Истите типови ентитети се детектираат низ сите контексти. Јазовите стануваат видливи — нула детекции на ентитет X во кој било работен тек — наместо скриени.

Видете GDPR член 32 и мониторинг на AI алатки за тоа што ревизорите бараат во техничките контроли.

Како изгледа чист одговор за усогласеност

Службеникот за усогласеност со унифицирана платформа одговара поинаку.

"Користиме една платформа за детекција на лични податоци низ сите работни текови. Правниците, агентите за поддршка и инженерите за податоци користат ист мотор за детекција. Интерфејсите се разликуваат — Word додаток, Chrome додаток, Desktop апликација — но моделот и поставувањето се исти. Сите обработки се евидентираат во централна ревизорска трага. Нашето поставување покрива 285+ типови ентитети со претходни поставки соодветни на јурисдикцијата. Можам да извлечам кој било временски период кој ви е потребен."

Овој одговор е:

  • Специфичен. Ја именува платформата и го објаснува поставувањето на повеќе платформи.
  • Конзистентен. "Ист мотор за детекција" директно го адресира проблемот со покриеноста.
  • Докажлив. Централна ревизорска трага значи дека доказите се подготвени на барање.

Кога истражувачот бара ревизорска трага за конкретен субјект на податоци, барањето се исполнува веднаш.

Стандардот за конзистентност меѓу платформи

За силна позиција на член 32, ова се минималните барања.

Конзистентност на детекцијата:

  1. Ист модел за детекција или API низ сите платформи
  2. Иста покриеност на типови ентитети — ако веб апликацијата проверува 285 ентитети, десктоп апликацијата мора исто
  3. Исти прагови на доверливост — ниту една алатка не е полабава или построга за ист тип ентитет
  4. Исти токени за замена за истите типови ентитети
  5. Централна ревизорска трага низ сите платформи

Барања за документација:

  • Снимка на конфигурацијата: тековна покриеност на ентитети и прагови
  • Историја на промени: што се сменило и кога
  • Доказ за покриеност: сите платформи го споделуваат истото поставување

Можете да го изградите ова за стек со повеќе алатки. Но тоа бара формално управување со конфигурацијата и редовни ревизии меѓу алатките. Единствена платформа го прави одговорот едноставен: "Ова е поставувањето. Се применува насекаде. Ова е ревизорската трага."

За поширок поглед на конзистентноста меѓу платформи, видете Усогласеност со лични податоци меѓу платформи: Mac, Linux, Windows.

Практична транзиција: Од фрагментирано до унифицирано

Чекор 1: Картографирајте алатки и покриеност

  • Наведете ги сите алатки по тим и работен тек
  • Документирајте ги типовите лични податоци кои ги детектира секоја алатка
  • Пронајдете ги јазовите — што детектира алатката А, а алатката Б пропушта?

Чекор 2: Дефинирајте го стандардот за покриеност

  • Врз основа на вашите обврски — типови ентитети по GDPR, HIPAA PHI, CCPA категории
  • Поставете еден стандард кој се применува на сите работни текови

Чекор 3: Изберете ја унифицираната платформа

  • Може ли да се постави низ веб, десктоп, Word и прелистувач?
  • Дали го исполнува вашиот стандард за покриеност?
  • Дали обезбедува централизирана ревизорска трага?

Чекор 4: Мигрирајте

  • Започнете со работните текови со највисок ризик
  • Преминувајте тим по тим и деактивирајте ги наследените алатки додека корисниците мигрираат
  • Евидентирајте ја миграцијата во вашиот дневник за усогласеност

Поделените алатки се еден од најчестите јазови на GDPR контролите пронајдени во ревизиите. За тоа како се pojавува во дистрибуирани тимови, видете Далечинска работа и GDPR: Неконзистентност на платформи.

Извори

Поврзани статии

GDPR & Усогласеност

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Усогласеност

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Усогласеност

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Подготвени да ги заштитите вашите податоци?

Започнете со анонимизација на PII со 285+ типови на ентитети на 48 јазици.

Започнете бесплатен пробен периодПогледнете ги карактеристиките

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.