anonym.legal

By · Last updated 2026-05-31

Powrót do blogaGDPR i zgodność

Poza numerami SSN: anonimizacja wewnętrznych identyfikatorów

Każda organizacja ma wewnętrzne identyfikatory — numery pracownicze, numery kont, identyfikatory zamówień — które są osobiście identyfikowalne w kontekście, lecz pomijane przez standardowe narzędzia.

May 31, 20267 min czytania
custom PII detectionorganizational identifiersre-identification riskGDPR pseudonymizationcustom entity

Poza numerami SSN: anonimizacja wewnętrznych identyfikatorów organizacji

Twoje narzędzie RODO usuwa adresy e-mail. Usuwa numery telefonów. Usuwa imiona i nazwiska. Przepuszczasz przez nie eksporty obsługi klienta. Następnie udostępniasz wynik swojemu zespołowi analitycznemu.

Numer konta klienta nadal jest w każdym zgłoszeniu. Identyfikator zamówienia nadal tam jest. Wewnętrzny identyfikator użytkownika również.

Te identyfikatory wyglądają niegroźnie z osobna. Bez tabeli przeglądowej nie wskazują konkretnej osoby. Ale Twój zespół analityczny tę tabelę ma. Ma ją Twój CRM. Ma ją Twoja baza danych obsługi. Każdy z dostępem może znaleźć osobę w ciągu sekund.

To jest naruszenie RODO. Narzędzie nie zawiodło — po prostu nigdy nie powiedziano mu, by szukało Twoich identyfikatorów.

Co wykrywają standardowe narzędzia PII

Standardowe narzędzia PII obsługują formaty universalne — to, czego używa każda organizacja.

Standardowe narzędzia wykrywają:

  • Numery ubezpieczenia społecznego (SSN w USA, NINO w UK, formaty krajowych numerów identyfikacyjnych UE)
  • Adresy e-mail
  • Numery telefonów
  • Numery kart kredytowych
  • Imiona i nazwiska
  • Numery paszportów i prawa jazdy

Standardowe narzędzia nie wykrywają:

  • Identyfikatorów pracowniczych w formacie EMP-XXXXX
  • Numerów kont klientów w formacie ACC-XXXXXXXX-XX
  • Identyfikatorów zamówień w formacie ORD-XXXXXXX
  • Wewnętrznych identyfikatorów użytkowników w formacie UUID lub niestandardowym
  • Kodów referencyjnych specyficznych dla partnerów

Standardowe narzędzia wyszukują wzorce uniwersalne. Twoje wewnętrzne identyfikatory nie są universalne. Wymagają niestandardowej konfiguracji, by zostać znalezione.

Ryzyko ponownej identyfikacji

Firma eksportuje zgłoszenia obsługi do przeglądu jakości. Standardowe usunięcie PII usuwa imiona, e-maile i numery telefonów. Numery kont w formacie ACC-XXXXXXXX-XX pozostają nienaruszone.

Eksport trafia do zespołu analitycznego. Analityk łączy tabelę zgłoszeń z bazą klientów po numerze konta. Osoba jest identyfikowana natychmiast. Nie potrzeba żadnych sztuczek — to rutynowe złączenie SQL.

Art. 4 ust. 5 RODO definiuje pseudonimizację jako przetwarzanie, przy którym dane „nie mogą być już przypisane konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.” Numery kont nie spełniają tego kryterium. Dodatkowe informacje — Twoja baza klientów — są tu, w Twojej organizacji.

„Zanonimizowany” eksport nie był anonimowy.

Budowanie niestandardowych wzorców encji

Konfiguracja niestandardowych encji jest szybka. Zespoły ds. zgodności mogą to zrobić bez wsparcia inżynierskiego.

Krok 1: Wypisz swoje formaty identyfikatorów.

Zapisz każdy z nich. Na przykład: konto ACC-XXXXXXXX-XX, identyfikator zamówienia ORD-XXXXXXX, identyfikator pracownika EMP-XXXXX.

Krok 2: Opisz format prostym językiem.

„Numery kont zaczynają się od ACC, potem myślnik, potem 8 cyfr, potem myślnik, potem 2 wielkie litery.”

Generowanie wzorca wspomagane AI zwraca: ACC-\d{8}-[A-Z]{2}

Krok 3: Przetestuj na przykładowych danych.

Prześlij 20–30 dokumentów. Potwierdź, że wszystkie wystąpienia zostały znalezione. Potwierdź brak fałszywych trafień.

Krok 4: Wybierz metodę.

Dla identyfikatorów używanych jako klucze złączeń, gdzie analiza wymaga powiązania rekordów:

  • Pseudonimizuj. Zastąp ACC-00123456-AB przez ACC-99876543-XY za każdym razem konsekwentnie. To samo wejście zawsze daje ten sam wynik. Złączenia nadal działają. Oryginalnej wartości nie można odtworzyć bez klucza.

Dla identyfikatorów niepotrzebnych w analizie:

  • Redaguj. Zastąp przez [REDACTED]. Proste. Trwałe.

Krok 5: Zapisz jako współdzielony preset.

Zapisz niestandardową encję — lub ich zestaw — jako współdzielony preset. Konfiguracja stosuje się do wszystkich trybów użycia: przesyłania wsadowego, wywołań API, interfejsu przeglądarkowego. Nowi członkowie zespołu otrzymują pełną konfigurację od razu.

Studium przypadku: 180 000 zgłoszeń obsługi

Firma znalazła 180 000 zgłoszeń obsługi w swojej hurtowni analitycznej. Imiona i e-maile zostały usunięte. Numery kont — nie. Każde zgłoszenie nadal zawierało aktywną wartość ACC-XXXXXXXX-XX.

Harmonogram naprawy:

  1. Specjalista ds. zgodności definiuje wzorzec ACC — 15 minut
  2. Testuje go na 30 przykładowych zgłoszeniach — 20 minut
  3. Potwierdza dokładność — 10 minut
  4. Przetwarza 180 000 zgłoszeń w nocnym przebiegu wsadowym
  5. Zastępuje tabele w hurtowni czystymi wersjami

Łączny czas pracy specjalisty ds. zgodności: 45 minut. Bez wsparcia niestandardowych encji naprawa wymagałaby zgłoszenia inżynieryjnego, przeglądu kodu i wdrożenia. To tygodnie, nie godziny.

Dokładniejsze spojrzenie na to, jak niestandardowe identyfikatory tworzą ryzyko w narzędziach AI do obsługi klienta, znajdziesz w artykule RODO a AI w obsłudze klienta — niestandardowe identyfikatory.

Gdzie rozprzestrzeniają się wewnętrzne identyfikatory

Wewnętrzne identyfikatory pojawiają się w więcej miejscach, niż większość zespołów oczekuje.

Dokumenty wewnętrzne:

  • Notatki ze spotkań z odniesieniami do numerów kont lub zamówień
  • Wątki e-mail dotyczące spraw klientów
  • Prezentacje z danymi z case studies

Udostępniane stronom trzecim:

  • Raporty dla regulatorów z numerami referencyjnymi spraw
  • Pliki audytowe z odniesieniami do klientów
  • Pliki dostawców zawierające identyfikatory klientów

Badania i analityka:

  • Zbiory danych o ścieżce klienta
  • Eksporty do przeglądu jakości obsługi
  • Dane treningowe dla wewnętrznych modeli ML

Każdy kontekst wymaga tej samej konfiguracji niestandardowych encji, by wytworzyć naprawdę anonimowy wynik.

Pseudonimizacja a anonimizacja

RODO wyznacza wyraźną granicę.

Pseudonimizacja zastępuje identyfikatory namiastkami. Oryginalną osobę można ponownie zidentyfikować, jeśli ktoś ma tabelę przeglądową. Te dane są nadal danymi osobowymi. Zmniejsza ryzyko — nie znosi obowiązków wynikających z RODO.

Anonimizacja usuwa możliwość ponownej identyfikacji. Dane anonimowe nie są danymi osobowymi. RODO do nich nie ma zastosowania.

Numery kont i zamówień są pseudonimowe, gdy istnieją tabele przeglądowe. Zastąpienie ich stałymi namiastkami obniża ryzyko, ale RODO nadal obowiązuje. Zastąpienie losowymi tokenami — i usunięcie klucza — znosi obowiązek wynikający z RODO, lecz uniemożliwia analizę opartą na złączeniach.

Dla udostępniania stronom trzecim niemającym Twoich tabel przeglądowych: pseudonimizacja może być wystarczająca. Dla wewnętrznej analityki niezbędna jest pełna anonimizacja lub rygorystyczna kontrola dostępu. W przewodniku po zgodności prawnej opisano, jak dokumentować każde podejście dla celów RoPA.

Podsumowanie

Luka nie wynika z awarii narzędzia. To luka w konfiguracji. Żadne narzędzie nie może znać Twojego formatu numeru konta, jeśli mu o nim nie powiesz.

Konfiguracja niestandardowych encji zamyka lukę w ciągu godzin. Zespoły ds. zgodności definiują formaty, testują je na przykładowych danych i stosują we wszystkich trybach użycia — bez wsparcia inżynierskiego.

180 000 nieredagowanych numerów kont nie było tam dlatego, że narzędzie zawiodło. Były tam dlatego, że nigdy nie powiedziano mu, by ich szukało.

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.