Ochrona danych osobowych klasy enterprise za budżet startupu
Solowy prawnik co tydzień analizuje umowy. Każda z nich zawiera imiona i nazwiska klientów, warunki finansowe i numery NIP. Przed wysłaniem podsumowania do współpracującego radcy prawnego dane muszą zostać zanonimizowane.
Najtańsze narzędzie klasy enterprise do tego celu kosztuje 500 €/miesiąc. Darmowa opcja open-source wymaga programisty do konfiguracji — co najmniej 15 000 zł w czasie wdrożenia.
Żadne z nich nie wchodzi w grę. Zanonimizowanie jest więc pomijane, wykonywane ręcznie lub realizowane w sposób każdorazowo różny. Żadne z tych podejść nie spełnia wymogów art. 32 RODO.
Dwa bieguny rynku, nic pośrodku
Rynek narzędzi do ochrony danych osobowych dzieli się na dwie grupy, które prawie nigdy się nie stykają.
Segment enterprise (500–5 000+ €/miesiąc):
- Informatica TDM
- Delphix Dynamic Data Platform
- K2view (cena na zapytanie)
- IBM InfoSphere Optim
- Precisely Assure
Te narzędzia są projektowane dla środowisk danych z listy Fortune 500. Roczne umowy często startują od 50 000 €. Wdrożenie zajmuje tygodnie. Samo wypróbowanie wymaga rozmowy z działem sprzedaży.
Open-source (darmowe do pobrania, kosztowne w utrzymaniu):
- Microsoft Presidio
- ARX Data Anonymization
- sdcMicro (pakiet R)
Te narzędzia są funkcjonalne. Ale wymagają Pythona, Dockera lub R do uruchomienia. Bez dedykowanego wsparcia inżynieryjnego po prostu nie działają. Samodzielny hosting Presidio często kosztuje więcej niż zarządzana usługa SaaS. Zob. Presidio a anonym.legal: ROI zarządzanego SaaS.
Pomiędzy tymi dwoma grupami miliony organizacji nie mają realnej drogi do zgodności z przepisami.
Kto nie ma dobrego wyjścia
Ten sam profil użytkownika pojawia się na forach startupowych i w sieciach zawodowych:
Solowi prawnicy. Każdego dnia przetwarzają dane klientów. Obowiązują ich zarówno RODO, jak i zasady zachowania tajemnicy zawodowej. Narzędzie za 500 €/miesiąc przy okazjonalnym użyciu trudno uzasadnić. Podobnie jak płacenie programiście za wdrożenie Presidio.
Freelancerzy — analitycy danych. Kilka razy w miesiącu przetwarzają zbiory danych klientów. Przed udostępnieniem wyników wymagana jest anonimizacja. Subskrypcje enterprise kosztują więcej, niż wynosi wynagrodzenie za zlecenie.
Małe agencje HR. Zarządzają CV, aktami pracowniczymi i danymi o wynagrodzeniach. Zgodność z RODO nie jest opcją. Budżet na narzędzia to to, co zostanie po wypłatach — a czasem nie zostaje nic.
Startupy przed pierwszymi przychodami. Budują produkt, który przetwarza dane osobowe. Zgodność musi poprzedzać uruchomienie. Wolumen jest nieznany. Stałe miesięczne opłaty to zły pomysł.
Badacze akademiccy. Przepisy IRB wymagają de-identyfikacji przed udostępnieniem danych. Procedury zakupu w uczelniach mogą trwać sześć miesięcy. Badacze potrzebują narzędzia natychmiast, nie za pół roku.
Stawka regulacyjna
Kary z RODO są skalowane względem wielkości organizacji. Dla małych i średnich podmiotów liczby są realne:
- MŚP (do 250 pracowników): Kary od 800 € za incydent przy słabych środkach technicznych
- Podmioty średniej wielkości: 5 000 € i więcej za udokumentowane naruszenia
- Naruszenia systemowe: Do 4% globalnego obrotu przy naruszeniach Poziomu 1
RODO było projektowane z myślą o proporcjonalności. Wysokość kar skaluje się z wielkością organizacji. Ustawodawca zakładał jednak, że dostępne będą przystępne cenowo narzędzia. Rynek był powolny w ich dostarczeniu.
Dlaczego cenowanie tokenowe rozwiązuje problem
Stałe subskrypcje karzą tych, którzy korzystają rzadko. Solowy prawnik przetwarza 20 dokumentów miesięcznie. Zespół operacji prawnych — 2 000. Nie powinni płacić tej samej stawki.
Cenowanie tokenowe 0,0001 €/token oznacza, że koszt odpowiada rzeczywistemu użyciu:
- 20 dokumentów/miesiąc ≈ 0,50–1,00 €
- 200 dokumentów/miesiąc ≈ 5–10 €
- 2 000 dokumentów/miesiąc ≈ 50–100 €
Plany anonym.legal odzwierciedlają tę logikę:
| Plan | Koszt miesięczny | Tokeny | Dla kogo |
|---|---|---|---|
| Free | 0 € | 200/miesiąc | Okazjonalne użycie NGO, testy |
| Starter | 3 € | 1 000/miesiąc | Solo-praktycy, freelancerzy |
| Professional | 15 € | 4 000/miesiąc | Małe zespoły, regularne przetwarzanie |
| Business | 29 € | 10 000/miesiąc | Większe MŚP, przetwarzanie wsadowe |
Solowy prawnik na planie Starter płaci 36 €/rok. Mała firma na planie Business — 348 €/rok. To 17–100 razy mniej niż alternatywy korporacyjne. Detekcja ML jest ta sama: XLM-RoBERTa — ponad 285 typów encji w 48 językach.
Dla NGO artykuł RODO — narzędzia zgodności dla NGO opisuje bezpłatny plan.
Solowy prawnik: porównanie krok po kroku
Praktyk potrzebuje zanonimizować umowy przed wysłaniem podsumowań do klientów lub współpracujących radców prawnych.
Droga enterprise:
- Umów demo. Negocjuj cenę. Podpisz umowę.
- Koszt minimalny: 6 000 €/rok
- Czas do pierwszego przetworzonego dokumentu: 2–4 tygodnie
anonym.legal Starter:
- Rejestracja: 5 minut
- Wgraj plik i otrzymaj wynik: poniżej 3 minut
- Koszt miesięczny: 3 €
- Koszt roczny: 36 €
Różnica między 36 € a 6 000 € nie dotyczy funkcji. Dotyczy tego, czy zgodność z przepisami jest w ogóle możliwa.
Dla freelancerów — analityków danych w podobnej sytuacji zob. Przewodnik freelancera po anonimizacji zgodnej z RODO.
Obsługa dokumentów dla zastosowań MŚP
Narzędzia enterprise oferują ponad 1 000 reguł maskowania specyficznych dla formatów. Zostały stworzone dla dużych zespołów operacji prawnych. Większość MŚP ich nie potrzebuje.
Formaty istotne dla większości małych organizacji to: czysty tekst, PDF, dokumenty Word, pliki Excel i wejście API dla danych ustrukturyzowanych. anonym.legal obsługuje wszystkie te formaty. Luka w pokryciu formatów jest istotna dopiero w skali enterprise.
Dlaczego to ma znaczenie dla zgodności z przepisami
Artykuł 32 RODO wymaga odpowiednich środków technicznych. Dla większości małych organizacji „odpowiednie“ nie oznacza platformy za 50 000 €. Oznacza niezawodne narzędzie dopasowane do ich przepływu pracy i budżetu.
Gdy takiego narzędzia nie ma, zgodność z przepisami zawodzi domyślnie. Nie dlatego, że organizacje są niedbałe — ale dlatego, że rynek nie oferował żadnej realnej opcji.
Cenowanie tokenowe za 3 €/miesiąc zmienia ten stan rzeczy. Ta sama dokładność ML, z której korzystają duże zespoły prawne, jest teraz dostępna dla solowego prawnika, freelancera-analityka i startupu budującego swój pierwszy zgodny z przepisami produkt.
RODO obowiązuje wszystkich podmiotów przetwarzających jednakowo. Narzędzia do zapewnienia zgodności powinny być tak samo dostępne.