anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

RODO, CCPA i PDPA w jednym narzędziu

Pracownicy w UE podlegają RODO, pracownicy w USA przetwarzają dane objęte CCPA, pracownicy w regionie APAC działają pod PDPA. Trzy jurysdykcje, jeden rozproszony zespół.

June 5, 20268 min czytania
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

RODO, CCPA i PDPA w jednym narzędziu

Zaktualizowano w 2026 r.

Pracownicy w UE podlegają RODO. Pracownicy w Kalifornii obsługują dane objęte CCPA. Pracownicy w Singapurze pracują pod PDPA. Trzy reżimy prawne. Jedna wspólna baza danych.

To jest globalny problem privacy dla rozproszonych zespołów. Rekordy klientów, do których uzyskują dostęp, są te same. Przepisy regulujące te rekordy — nie.

Luka jurysdykcyjna

Zespół wsparcia w Niemczech, Kalifornii i Singapurze może otwierać to samo konto klienta. Imię, adres e-mail i dane konta w tym rekordzie podlegają różnym przepisom w każdym kraju.

Pod RODO każde użycie danych musi mieć podstawę prawną. Pod CCPA klient może żądać usunięcia danych i rezygnacji z ich przetwarzania. Pod PDPA obowiązują zasady zgody i transferu danych.

Udostępnienie pliku klienta asystentowi AI może jednocześnie uruchomić obowiązki wynikające ze wszystkich trzech ustaw. Jedna czynność. Trzy reżimy.

Regionalne oprogramowanie nie rozwiązuje tego problemu. Wręcz go pogłębia.

Dlaczego jedna platforma na region nie działa

Naturalnym odruchem jest dopasowanie oprogramowania do lokalizacji. Pracownicy w USA dostają rozwiązanie dla USA. Pracownicy w UE dostają rozwiązanie dla UE. Pracownicy w regionie APAC dostają rozwiązanie dla APAC.

W praktyce to podejście zawodzi.

Dane nie podążają za platformą. Agent z Kalifornii obsługujący skargę niemieckiego klienta nadal podlega RODO. Prawo klienta z UE do usunięcia danych ma zastosowanie. Rozwiązanie dla USA może nie uwzględniać niemieckich numerów identyfikacyjnych ani numerów IBAN. To luka.

Konfiguracja rozbija się na trzy systemy. Trzy platformy oznaczają trzy ścieżki audytu. Trzy zestawy konfiguracji. Trzy zestawy typów encji, które mogą się nie pokrywać. Jeden ujednolicony raport staje się ręcznym zadaniem scalania danych.

Transfery transgraniczne nie mają jednoznacznej odpowiedzi. Analityk z USA może otrzymać eksport z danymi klientów z UE. Zgodnie z RODO prawo podąża za podmiotem danych — nie za lokalizacją analityka. Rozwiązanie tylko dla USA tego nie naprawia.

Zapoznaj się z przewodnikiem po zgodności prawnej, aby sprawdzić, jak nakładają się obowiązki transgraniczne.

Pokrycie encji w różnych regionach

Identyfikatory PII różnią się w zależności od kraju. Platforma zbudowana dla jednego rynku pominie identyfikatory z innych.

Encje UE (RODO):

  • Dowód osobisty i NIP/numer podatkowy (Niemcy).
  • Numer ubezpieczenia społecznego (Francja).
  • DNI i NIE (Hiszpania).
  • IBAN i BIC dla bankowości unijnej.

Encje USA (CCPA / HIPAA):

  • Numer ubezpieczenia społecznego (SSN) i EIN.
  • Numery prawa jazdy poszczególnych stanów.
  • Numery Medicare i Medicaid.
  • 18 chronionych identyfikatorów zdrowotnych HIPAA.

Encje APAC (PDPA, PIPL, PDPB):

  • Numer NRIC i FIN (Singapur).
  • Tajski numer identyfikacyjny (13 cyfr).
  • Chiński dowód osobisty (18 cyfr) i numery telefonów komórkowych.
  • Indyjskie numery Aadhaar i PAN.

Rozwiązanie zorientowane na USA niezawodnie wykrywa numery SSN. Pominie jednak numer dowodu osobistego z Niemiec. Rozwiązanie dla UE pokrywa IBAN i krajowe numery identyfikacyjne. Może nie wykryć numeru Aadhaar.

Pełne pokrycie oznacza typy encji dla każdego istotnego rynku. Nie tylko dla rynku macierzystego oprogramowania.

Przeglądaj pełną bibliotekę encji pod adresem /entities.

Konfiguracja presetów dla każdej jurysdykcji

Praktyczne rozwiązanie: jeden silnik wykrywania z presetami dla każdego regionu.

Preset RODO Standard (pracownicy w UE): Wszystkie 18 typów danych osobowych RODO. Formaty krajowych numerów identyfikacyjnych UE. Numery bankowe UE. Progi ustawione zgodnie z szerokim zakresem RODO.

Preset CCPA / HIPAA (pracownicy w USA): SSN, EIN, numery Medicare i Medicaid. Formaty dokumentów tożsamości i prawa jazdy poszczególnych stanów. Numery kont finansowych USA. 18 typów PHI HIPAA dla pracowników obsługujących dokumentację medyczną.

Preset Privacy APAC (pracownicy w regionie APAC): NRIC i FIN (Singapur). Tajski numer identyfikacyjny. Chiński dowód osobisty i numery telefonów komórkowych. Indyjskie numery Aadhaar i PAN. Flagi krajowe tam, gdzie są potrzebne.

Każdy preset jest konfigurowany raz, centralnie. Jest dostępny dla każdej osoby. Należy go stosować zgodnie z regionem pracownika lub regionem podmiotu danych. Kryterium jest ten, który nakłada surowsze wymogi. Silnik stosuje surowszą regułę.

Dowiedz się, jak działają presety, w FAQ.

Studium przypadku: 50-osobowa firma SaaS

Zdalnie działająca firma SaaS przeprowadziła roczny audyt privacy. Pracownicy byli w Niemczech (18 osób), Kalifornii (22 osoby) i Singapurze (10 osób).

Przed zmianą:

Grupa w Niemczech korzystała z unijnej platformy do maskowania. Grupa w Kalifornii używała rozwiązania dla USA z ograniczonym pokryciem encji UE. Grupa w Singapurze nie miała żadnego oprogramowania do maskowania. Audit ujawnił nierówne standardy we wszystkich trzech regionach. Luka w Singapurze pozostała otwarta.

Po przejściu na jedną platformę:

  • Preset RODO dla Niemiec, z typami encji UE i obsługą 48 języków.
  • Preset CCPA dla Kalifornii, obejmujący typy encji USA i kategorii CCPA.
  • Preset PDPA dla Singapuru, obejmujący identyfikatory APAC.
  • Jedna centralna ścieżka audytu obejmująca wszystkich 50 pracowników.
  • Rezydencja danych w UE dla wszystkich rekordów przetwarzanych przez usługę.

Ta konfiguracja spełnia wymogi art. 46 RODO w zakresie transferów transgranicznych w ramach usługi.

Wynik audytu 2025: Zero niezgodności dotyczących rozbieżności w maskowaniu. Wcześniejsza luka w Singapurze została zamknięta.

Zapoznaj się z dokumentacją środków technicznych w grupach korporacyjnych pod adresem /security-compliance.

Podsumowanie

Globalna zgodność z przepisami privacy to nie trzy odrębne problemy. To jeden problem: spójne kontrole techniczne we wszystkich regionach.

Ten sam silnik wykrywania. Ta sama ścieżka audytu. Różne presety dla różnych przepisów. Jedna usługa obsługuje wszystkie trzy.

Dowiedz się, jak anonym.legal wspiera globalne zespoły, na stronie /pricing.

Źródła

  • RODO art. 3: Zakres terytorialny. gdpr-info.eu/art-3-gdpr/
  • California Consumer Privacy Act (CCPA/CPRA). oag.ca.gov/privacy/ccpa
  • Tajska ustawa o ochronie danych osobowych (PDPA). pdpa.go.th
  • RODO art. 46: Transfery transgraniczne. gdpr-info.eu/art-46-gdpr/

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.