anonym.legal

By · Last updated 2026-06-05

Povratak na blogGDPR i usklađenost

GDPR revizija propada: Fragmentirani LPI alati

Vas revizor trazi kontrole detekcije LPI. 'Koristimo pet razlicitih alata' nije odgovor koji zele. Evo zasto je medjuplatformska doslednost kljucna.

June 5, 20266 min čitanja
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

GDPR revizija propada: Fragmentirani LPI alati

Azurirano za 2026.

Vas revizor postavlja jedno pitanje: "Koje tehnicke kontrole stite licne podatke?" Pogresan odgovor: "Koristimo pet razlicitih alata." Evo zasto koristenje pet alata ne prolazi GDPR revizije -- i kako izgleda cist odgovor.

Trenutak revizije

Istrazivac organa za zastitu podataka srece se sa sluzbenikom za uskladjenost. OZP pregledava zalbu subjekta podataka. Bivsi klijent tvrdi da su njegovi podaci lose korisceni.

Pitanje: "Koje kontrole vasa organizacija koristi da bi licni podaci bili bezbedni kada ih zaposleni obradju?"

Sluzbernik za uskladjenost: "Nasi pravnici koriste Word dodatak. Osoblje za podrsku koristi Chrome ekstenziju. Nas tim za podatke ima Python skriptu. Za jednokratne zahteve, svi mogu koristiti web aplikaciju."

Istrazivac: "Da li su ovo isti alat? Isti motor? Ista pokrivenost?"

Sluzbernik za uskladjenost: "Ne. Rade na razlicit nacin."

U tom trenutku revizija postaje tezak posao.

Zasto fragmentirani alati ne prolaze clan 32

GDPR clan 32 zahteva "odgovarajuce tehnicke i organizacione mere". Standard ima dva dela.

Prikladnost riziku. Mere moraju odgovarati riziku. Za licne podatke koji se obraduju kroz mnoge tokove posla, potrebna je dosledna detekcija LPI. Detekcija koja varira po alatu ne ispunjava ovaj standard.

Dokaz. Mere moraju biti dokazive. Clan 5(2) -- nacelo odgovornosti -- zahteva da rukovaoci "mogu demonstrirati uskladjenost". To znaci dokaz dosledne kontrole. Ne po proceni. Dosled.

Podeljeni alati ne prolaze po pitanju dokaza. Alat A detektuje 285 tipova entiteta. Alat B detektuje 50. Alat C detektuje 200 ali sa razlicitim pragovima. Ne mozete dokazati doslednu zastitu sa takvim skupom alata. Mozete pokazati samo da su neki alati radili u nekim kontekstima.

Nalaz OZP-a o podeljenim alatima glasi: "Tehnicke kontrole za zastitu LPI su nedosledne u razlicitim tokovima posla. Ovo stvara praznine u pokrivenosti i sprecava centralizovani pregled revizijskog traga."

Problem otkrivanja praznine

Cesto ne znate gde su vase praznine u pokrivenosti dok se ne desi krsenje.

Recimo da Alat B (koji koristi tim za podatke) ne detektuje EU nacionalne licne dokumente. Alat A (koji koriste pravnici) to cini. Ova praznina je nevidljiva tokom normalnog rada. Fajlovi se obraduju. Nema upozorenja. Nista ne izgleda pogresno.

Praznina se otkriva kada:

  • EU nacionalni licni dokument se pojavi u fajlu koji je tim za podatke obradio
  • Taj fajl se deli bez kontrola
  • Subjekt podataka otkriva izlaganje i podnosi GDPR zalbu

Sada OZP otkriva prazninu. Tim za podatke koristio je alat sa razlicitom pokrivenoscu od ostalih timova. Praznina koja je trebalo da bude pronadjena i zatvorena.

Objedinjena pokrivenost ovo ispravlja. Isti tipovi entiteta detektuju se u svim kontekstima. Praznine postaju vidljive -- nula detekcija entiteta X u bilo kom toku posla -- a ne skrivene.

Pogledajte GDPR clan 32 i pracenje AI alata za ono sto revizori traze u tehnickim kontrolama.

Kako izgleda cist odgovor o uskladjenosti

Sluzbernik za uskladjenost sa objedinjenom platformom odgovara drugacije.

"Koristimo jednu platformu za detekciju LPI u svim tokovima posla. Pravnici, agenti za podrsku i inzenjeri podataka koriste isti motor za detekciju. Interfejsi se razlikuju -- Word dodatak, Chrome ekstenzija, Desktop aplikacija -- ali model i podesavanja su isti. Sva obrada se biljezi u centralni revizijski trag. Nase podesavanje pokriva 285+ tipova entiteta sa unapred podesenim konfiguracijama prikladnim jurisdikciji. Mogu da preuzamem bilo koji vremenski period koji vam je potreban."

Ovaj odgovor je:

  • Konkretan. Imenuje platformu i objasnjava viseplantformsko podesavanje.
  • Dosedan. "Isti motor za detekciju" direktno se bavi pitanjem pokrivenosti.
  • Dokaziv. Centralni revizijski trag znaci da su dokazi dostupni na zahtev.

Kada istrazivac zatrazi revizijski trag za odredjeni subjekt podataka, zahtev se odmah ispunjava.

Standard medjuplatformske doslednosti

Za snaznu poziciju po clanu 32, ovo su minimalni zahtevi.

Doslednost detekcije:

  1. Isti model ili API za detekciju u svim platformama
  2. Ista pokrivenost tipova entiteta -- ako web aplikacija proverava 285 entiteta, desktop aplikacija mora takodje
  3. Isti pragovi pouzdanosti -- nijedan alat nije labaviji ili stroziji za isti tip entiteta
  4. Isti zamenjujuci tokeni za iste tipove entiteta
  5. Centralni revizijski trag u svim platformama

Zahtevi za dokumentaciju:

  • Snimak konfiguracije: trenutna pokrivenost entiteta i pragovi
  • Istorija promena: sta se promenilo i kada
  • Dokaz pokrivenosti: sve platforme dele isto podesavanje

Ovo mozete izgraditi za skup sa vise alata. Ali zahteva formalno upravljanje konfiguracijom i redovne revizije izmedju alata. Jedna platforma cini odgovor jednostavnim: "Evo podesavanja. Primenjuje se svuda. Evo revizijskog traga."

Za siri pregled medjuplatformske doslednosti, pogledajte medjuplatformska LPI uskladjenost: Mac, Linux, Windows.

Prakticni prelaz: fragmentirano u objedinjeno

Korak 1: Mapirajte alate i pokrivenost

  • Navedite svaki alat po timu i toku posla
  • Dokumentujte koje LPI tipove svaki alat detektuje
  • Pronadjite praznine -- sta Alat A detektuje sto Alat B propusta?

Korak 2: Definisajte standard pokrivenosti

  • Na osnovu vasih obaveza -- tipova GDPR entiteta, HIPAA PHI, CCPA kategorija
  • Postavite jedan standard koji se primenjuje na sve tokove posla

Korak 3: Izaberite objedinjenu platformu

  • Moze li se primeniti kroz web, desktop, Word i pregledac?
  • Ispunjava li vas standard pokrivenosti?
  • Pruza li centralizovani revizijski trag?

Korak 4: Migrirajte

  • Pocnite sa tokovima posla visokog rizika
  • Prelazite tim po tim i ukidajte nasledjene alate dok korisnici migriraju
  • Zabelezte migraciju u svom dnevniku uskladjenosti

Podeljeni alati su jedna od najcescih praznina u GDPR kontrolama pronadjenih u revizijama. Za nacin na koji se to pojavljuje u distribuiranim timovima, pogledajte Remote rad i GDPR: nedoslednost platformi.

Izvor

Povezani članci

GDPR i usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.