anonym.legal

By · Last updated 2026-06-03

Powrót do blogaGDPR i zgodność

Wiele ram prawnych, jedno narzędzie

Zespoły compliance zarządzające RODO, HIPAA i CCPA muszą stosować różne standardy anonimizacji w zależności od kontekstu dokumentu.

June 3, 20267 min czytania
GDPR HIPAA CCPAmulti-framework complianceprivacy regulationcompliance presetsDPO tools

Jedno narzędzie, trzy ramy prawne

Zespół ds. prywatności przetwarza akta klientów z UE zgodnie z RODO w poniedziałek. Dokumentację medyczną zgodnie z HIPAA we wtorek. Dane konsumentów z Kalifornii zgodnie z CCPA w środę.

Każda ustawa ma inne wymagania. Każdy dokument potrzebuje innej konfiguracji.

Codzienne przełączanie między trzema zestawami reguł generuje błędy. Błędna konfiguracja na błędnym pliku powoduje naruszenie compliance lub utratę danych.

Nazwane profile zgodności rozwiązują ten problem. Jedna zapisana konfiguracja na każdą ustawę. Bez ręcznej rekonfiguracji.

RODO — zakres

RODO obejmuje wszystkie dane osobowe. Dotyczy każdej osoby fizycznej z UE, która może zostać zidentyfikowana. Nie istnieje stała lista tego, co się kwalifikuje. Każda informacja odnosząca się do osoby jest objęta zakresem.

Szczególne kategorie — dane zdrowotne, przekonania religijne, poglądy polityczne — podlegają dodatkowej ochronie na mocy art. 9.

Typowe typy encji w pracy z dokumentami: imiona i nazwiska, adresy, krajowe numery identyfikacyjne, adresy e-mail, numery telefonów, adresy IP, karty kredytowe.

Właściwa decyzja zależy od kontekstu. RODO nie ma stałej listy.

HIPAA — zakres

HIPAA Safe Harbor definiuje dokładnie 18 typów identyfikatorów. Wszystkie 18 muszą zostać usunięte z dokumentacji medycznej.

Dwie reguły zaskakują zespoły:

  • Daty redukowane są wyłącznie do roku. Miesiąc i dzień są usuwane. Rok pozostaje.
  • Obszary geograficzne mniejsze niż stan muszą zostać usunięte.

Reguły te dotyczą wyłącznie podmiotów objętych przepisami i ich partnerów biznesowych.

CCPA — zakres

CCPA obejmuje dane osobowe powiązane z mieszkańcami Kalifornii. Zakres jest szeroki. Obejmuje bezpośrednie identyfikatory, aktywność w Internecie, historię zakupów, dane geolokalizacyjne, dane biometryczne i wywnioskowane profile.

W pracy z dokumentami skupiaj się na bezpośrednich identyfikatorach: imionach i nazwiskach, numerach SSN, prawach jazdy, numerach paszportów, adresach e-mail, numerach kont, adresach IP, identyfikatorach urządzeń.

Historia zakupów i logi przeglądania rzadko pojawiają się jako zwykły tekst w dokumencie.

Dlaczego ręczne przełączanie zawodzi

Ręczne przełączanie generuje błędy. Plik RODO przetworzony z konfiguracją HIPAA pobiera reguły dotyczące dat, których RODO nie wymaga. Plik HIPAA przetworzony z konfiguracją RODO pomija reguły geograficzne wymagane przez Safe Harbor.

Badania pokazują, że ręczne przełączanie ram prawnych powoduje błędy w około 15% przypadków. Każdy błąd to naruszenie compliance lub utrata danych.

Pracownicy muszą pamiętać trzy zestawy reguł i za każdym razem stosować właściwy. To nie jest proces. To jest codzienne zgadywanie.

Trzy nazwane konfiguracje

Standard RODO — klienci z UE

Wykrywa: imiona i nazwiska, adresy, krajowe numery identyfikacyjne, adresy e-mail, numery telefonów, adresy IP, karty kredytowe.

Metoda: Redact.

Wykluczaj daty, chyba że data urodzenia jest w zakresie. Uwzględniaj adresy IP przy pracy z danymi online.

HIPAA Safe Harbor — opieka zdrowotna

Wykrywa: imiona i nazwiska, daty, lokalizacje mniejsze niż stan, telefon, faks, e-mail, SSN, numery dokumentacji medycznej, numery ubezpieczenia zdrowotnego, numery kont, numery certyfikatów, identyfikatory pojazdów, identyfikatory urządzeń, adresy URL, adresy IP, identyfikatory biometryczne. Obejmuje wszystkie 18 typów Safe Harbor.

Metoda: Redact. Dla dat: zachowaj rok. Usuń miesiąc i dzień.

Dodaj niestandardowy wzorzec dla formatu numeru dokumentacji medycznej Twojej placówki.

CCPA — konsumenci z Kalifornii

Wykrywa: imiona i nazwiska, adresy, numery telefonów, adresy e-mail, numery SSN, prawa jazdy, numery paszportów, karty kredytowe, adresy IP, adresy URL, numery kont, identyfikatory urządzeń.

Metoda: Replace (najlepiej do analityki) lub Redact.

Każda zapisana konfiguracja blokuje decyzję compliance. Operator wybiera profil odpowiadający prawnemu kontekstowi dokumentu. Żadnej listy encji do zbudowania. Żadnej metody do wyboru.

Wskaźniki błędów przed i po

Przed nazwanymi profilami: Pracownicy ręcznie konfigurują narzędzie dla każdej ustawy. Wskaźnik błędów sięga 15%. Coroczne audyty każdego roku ujawniają wyniki dotyczące błędnego stosowania ram prawnych.

Po wdrożeniu nazwanych profili: Pracownicy wybierają zapisany profil. Konfiguracja jest stała. Wskaźnik błędów spada poniżej 2%. Pozostałe błędy wynikają z wybrania niewłaściwego profilu. Przegląd jakości je wychwytuje. Audyty przechodzą bez wyników.

Kluczowa zmiana: decyzja compliance przesuwa się z codziennego wykonania do tworzenia profilu. Specjalista decyduje raz. Każdy operator stosuje to bez myślenia.

Prowadzenie wieloramowego zespołu

Przypisz odpowiedzialność. Jeden lider na ustawę. Lider RODO jest właścicielem profilu RODO. Oficer HIPAA jest właścicielem konfiguracji HIPAA. Każdy lider przegląda swój profil kwartalnie.

Kieruj według źródła. Dane klientów z UE używają profilu RODO. Dane medyczne z USA używają profilu HIPAA. Dane konsumentów z Kalifornii używają profilu CCPA.

Rejestruj każde uruchomienie. Logi przetwarzania rejestrują, który profil był używany dla każdej partii. Gdy audytor zapyta, jak plik był przetwarzany, odpowiedzią jest nazwa profilu, data i log konfiguracji.

Aktualizuj automatycznie. Gdy EROD wydaje nowe wytyczne, lider RODO aktualizuje współdzieloną konfigurację. Wszystkie przyszłe uruchomienia uwzględniają tę zmianę. Nikt nie musi być informowany indywidualnie.

Szeroksze spojrzenie na zarządzanie profilami i dowody audytowe — patrz presety anonimizacji a spójność audytu RODO. Szczegóły dotyczące pokrycia encji HIPAA Safe Harbor — patrz de-identyfikacja HIPAA Safe Harbor w badaniach medycznych.

Podsumowanie

Trzy ustawy. Trzy zapisane profile. Jedno narzędzie.

Złożoność tkwi na poziomie definiowania profilu. Nie w codziennym przetwarzaniu. Operatorzy nie muszą znać reguł dotyczących dat w HIPAA. Muszą wiedzieć, który profil odpowiada dokumentowi przed nimi.

Nazwane konfiguracje zmniejszają obciążenie poznawcze. Redukują błędy. Sprawiają, że zgodność jest możliwa do udowodnienia.

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.