anonym.legal

By · Last updated 2026-06-05

Nazaj na blogGDPR in skladnost

Neuspeh revizije GDPR: razdrobljena orodja OOI

Vas revizor sprasa za nadzor nad zaznavo OOI. 'Uporabljamo pet razlicnih orodij' ni odgovor, ki ga zeli slisati. Zakaj je doslednost na vec platformah kljucna.

June 5, 20266 min branja
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

Neuspeh revizije GDPR: razdrobljena orodja OOI

Posodobljeno za leto 2026.

Vas revizor postavi eno vprasanje: "Kateri tehnicni ukrepi varujejo osebne podatke?" Napacen odgovor: "Uporabljamo pet razlicnih orodij." Tukaj je razlog, zakaj pet orodij ne prestane revizij GDPR -- in kako izgleda dober odgovor.

Revizijski trenutek

Inspektorca organa za varstvo podatkov se sestane s pooblasstenim uradnikom za skladnost. OVP preucuje pritozbo posameznika. Bivsa stranka trdi, da je prislo do nepravilne obdelave njenih podatkov.

Vprasanje: "Kateri ukrepi vasa organizacija uporablja, da osebni podatki ostanejo varni, ko jih zaposleni obdelujejo?"

Pooblasceni uradnik: "Nasa pravna ekipa uporablja dodatek za Word. Ekipa za podporo strankkam uporablja razsiritev za Chrome. Nase podatkovna ekipa ima skript Python. Za enkratne zahteve lahk vsakdo uporabi spletno aplikacijo."

Inspektorca: "So to isto orodje? Isti mehanizem? Ista pokritost?"

Pooblasceni uradnik: "Ne. Delujejo razlicno."

Takrat revizija postane zahtevna.

Zakaj razdrobljena orodja ne ustrezajo clenu 32

Clen 32 GDPR zahteva "ustrezne tehnicne in organizacijske ukrepe." Standard ima dva dela.

Sorazmernost z tveganjem. Ukrepi morajo ustrezati tveganju. Za osebne podatke, obdelane v sirokem naboru delovnih tokov, je potrebna dosledna zaznava OOI. Zaznava, ki se razlikuje glede na orodje, ne dosega tega standarda.

Dokazovanje. Ukrepe je treba dokazati. Clen 5(2) -- nacelo odgovornosti -- zahteva, da upravljavci "lahko izkaze skladnost" z naceli clena 5(1). To pomeni dokaz o doslednem nadzoru. Ne kolkor-toliko. Doslednem.

Razprsena orodja ne prestanejo preizkusa dokazljivosti. Orodje A zazna 285 vrst entitet. Orodje B zazna 50. Orodje C zazna 200, a z razlicnimi pragovi. S takim sestavom ne morete dokazati dosledne zascite. Lahko le pokazete, da so nekatera orodja tekla v nekaterih kontekstih.

Ugotovitev OVP o razdrobljenih orodjih se glasi: "Tehnicni ukrepi za zascito OOI so nedosledni med delovnimi tokovi. To ustvarja vrzeli v pokritosti in preprecuje centralen pregled revizijske sledi."

Problem odkrivanja vrzeli

Pogosto ne veste, kje so vase vrzeli v pokritosti, dokler ne pride do krsitve.

Recimo, da Orodje B (ki ga uporablja podatkovna ekipa) ne zazna nacionalnih osebnih stevilk EU. Orodje A (ki ga uporabljajo pravniki) pa zazna. Ta vrzel je med normalnim delom nevidna. Datoteke se obdelujejo. Opozorila se ne sprozijo. Nicesar ni videti narobe.

Vrzel se pokaze, ko:

  • Se pojavi nacionalna osebna stevilka EU v datoteki, ki jo je obdelala podatkovna ekipa
  • Ta datoteka je deljena brez nadzora
  • Posameznik odkrije izpostavljenost in vlozi pritozbo po GDPR

Zdaj OVP razkrije vrzel. Podatkovna ekipa je uporabila orodje z drugacno pokritostjo kot druge ekipe. Vrzel, ki bi jo morali odkriti in zapreti.

Enotna pokritost to odpravlja. Iste vrste entitet so zaznane v vseh kontekstih. Vrzeli postanejo vidne -- niccelna zaznava entitete X v katerem koli delovnem toku -- namesto skrite.

Poglejte si clen 32 GDPR in nadzor orodij UI za seznam iskanjega pri tehnicnih ukrepih.

Kako izgleda dober odgovor na vprasanje o skladnosti

Pooblasceni uradnik z enotno platformo odgovori drugace.

"Uporabljamo eno platformo za zaznavo OOI v vseh delovnih tokovih. Pravniki, agenti za podporo in podatkovni inzenirji uporabljajo isti zaznaven mehanizem. Vmesniki se razlikujejo -- dodatek za Word, razsiritev za Chrome, namizna aplikacija -- vendar sta model in nastavitev enaka. Vsa obdelava se belezi v centralno revizijsko sled. Nasa nastavitev pokriva 285+ vrst entitet s prednastavitvami, ustreznimi za jurisdikcijo. Kadarkoli mi povejte casovno obdobje."

Ta odgovor je:

  • Natancen. Imenuje platformo in pojasni nastavitev na vec platformah.
  • Dosleden. "Isti zaznaven mehanizem" neposredno naslovi pomislek glede pokritosti.
  • Dokazljiv. Centralna revizijska sled pomeni, da so dokazi pripravljeni na zahtevo.

Ko inspektorka zaprosi za revizijsko sled za dolocenega posameznika, je zahteva takoj izpolnjena.

Standard doslednosti na vec platformah

Za trdno izhodisce po clenu 32 so to minimalne zahteve.

Doslednost zaznave:

  1. Isti zaznaven model ali API na vseh platformah
  2. Enaka pokritost vrst entitet -- ce spletna aplikacija preverja 285 entitet, mora namizna aplikacija prav tako
  3. Enaki pragovi zaupanja -- nobeno orodje ni bolj ohlapno ali strogo za isti tip entitete
  4. Enaki nadomestni znaki za enake vrste entitet
  5. Centralna revizijska sled prek vseh platform

Zahteve po dokumentaciji:

  • Posnetek konfiguracije: trenutna pokritost entitet in pragovi
  • Zgodovina sprememb: kaj se je spremenilo in kdaj
  • Dokaz pokritosti: vse platforme delijo enako nastavitev

To lahko zgradite za sklad vec orodij. Zahteva pa formalno upravljanje konfiguracije in redne medsistemske revizije. Ena platforma naredi odgovor preprost: "Tukaj je nastavitev. Velja povsod. Tukaj je revizijska sled."

Za sirse zagledissce o medsistemski doslednosti si oglejte Medsistemska skladnost OOI: Mac, Linux, Windows.

Prakticni prehod: od razdrobljenih k enotnim

Korak 1: Popisi orodja in pokritost

  • Nastedite vsako orodje po ekipi in delovnem toku
  • Dokumentirajte, katere vrste OOI vsako orodje zazna
  • Poiscite vrzeli -- kaj Orodje A zazna, a Orodje B spregledna?

Korak 2: Definirajte standard pokritosti

  • Glede na vase obveznosti -- vrste entitet GDPR, HIPAA PHI, kategorije CCPA
  • Postavite en standard, ki velja za vse delovne tokove

Korak 3: Izberite enotno platformo

  • Ali se lahko razporedi na splet, namizje, Word in brskalnik?
  • Ali ustreza vasemu standardu pokritosti?
  • Ali zagotavlja centralizirano revizijsko sled?

Korak 4: Migracija

  • Zacnite z delovnimi tokovi z najvecjim tveganjem
  • Selite ekipo za ekipo in umikajte zastarela orodja, ko se uporabniki preselijo
  • Evidenthirajte migracijo v dnevnik skladnosti

Razdrobljena orodja so ena najpogostejsih vrzeli v nadzoru GDPR, ki jo odkrijejo revizije. Za to, kako se pojavlja v porazdeljenih ekipah, si oglejte Oddaljeno delo in GDPR: nedoslednost platform.

Viri

Sorodni članki

GDPR in skladnost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR in skladnost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR in skladnost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Ste pripravljeni zaščititi svoje podatke?

Začnite z anonimizacijo PII z več kot 285 tipi entitet v 48 jezikih.

Začnite brezplačno preizkušnjoOgled funkcij

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.