anonym.legal

By · Last updated 2026-06-05

Bumalik sa BlogGDPR & Pagsunod

GDPR, CCPA, at PDPA sa Isang Tool

Mga empleyado sa EU na saklaw ng GDPR, mga empleyado sa US na humahawak ng data ng CCPA, mga empleyado sa APAC na saklaw ng PDPA. Tatlong hurisdiksyon, isang distributed na koponan.

June 5, 20268 min basahin
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

GDPR, CCPA, at PDPA sa Isang Tool.

Na-update para sa 2026.

Ang iyong mga kawani sa EU ay napapailalim sa GDPR. Ang iyong mga kawani sa California ay humahawak ng mga rekord ng CCPA. Ang iyong mga kawani sa Singapore ay nagtatrabaho sa ilalim ng PDPA. Tatlong balangkas. Isang shared na database.

Ito ang pandaigdigang hamon sa privacy para sa mga remote na koponan. Ang mga rekord ng customer na ina-access nila ay pareho. Ang mga panuntunang namamahala sa mga rekord na iyon ay hindi.

Ang Multi-Jurisdiction na Puwang

Maaaring buksan ng isang support group sa Germany, California, at Singapore ang parehong account ng customer. Ang pangalan, email, at mga detalye ng account sa rekord na iyon ay nahaharap sa iba't ibang panuntunan sa bawat bansa.

Sa ilalim ng GDPR, dapat mayroong legal na batayan para sa bawat paggamit. Sa ilalim ng CCPA, maaaring humiling ang customer ng pagtanggal at mag-opt out. Sa ilalim ng PDPA, nalalapat ang mga panuntunan sa pahintulot at paglipat.

Maaaring mag-trigger ng mga tungkulin sa ilalim ng tatlong batas nang sabay-sabay ang pagbabahagi ng customer file sa isang AI assistant. Isang aksyon. Tatlong balangkas.

Hindi makalulutas ng regional na software dito. Pinalalala pa nito ang problema.

Bakit Nabibigo ang Isang Platform Bawat Rehiyon

Ang instinct ay itugma ang software sa lokasyon. Ang mga kawani sa US ay makakakuha ng solusyon mula sa US. Ang mga kawani sa EU ay makakakuha ng solusyon mula sa EU. Ang mga kawani sa APAC ay makakakuha ng solusyon mula sa APAC.

Nabibigo ito sa praktis.

Hindi sumusunod ang data sa platform. Ang isang agent sa California na humahawak ng reklamo ng customer na Aleman ay nakaatang pa rin sa GDPR. Nalalapat ang karapatan sa pagtanggal ng customer sa EU. Maaaring hindi isama ng solusyon sa US ang mga format ng German national ID o mga numero ng IBAN. Iyon ay isang puwang.

Nahahati ang setup sa tatlong sistema. Tatlong platform ay nangangahulugang tatlong audit trail. Tatlong setup ng coverage. Tatlong hanay ng mga uri ng entity na maaaring hindi naaangkop. Ang isang unified na ulat ay nagiging manual na gawain ng pagsasama.

Ang mga cross-border na paglipat ay kulang sa malinaw na sagot. Maaaring makakuha ang isang analyst sa US ng export na may mga rekord ng customer sa EU. Sa ilalim ng GDPR, ang batas ay sumusunod sa data subject — hindi sa lokasyon ng analyst. Hindi ito inaayos ng solusyon na US lamang.

Tingnan ang legal compliance guide para sa kung paano nagsasabay-sabay ang mga cross-border na tungkulin.

Coverage ng Entity sa Iba't Ibang Rehiyon

Nag-iiba ang mga identifier ng PII ayon sa bansa. Ang isang platform na itinayo para sa isang merkado ay mapalampas ang mga identifier mula sa isa pa.

Mga entity ng EU (GDPR):

  • German Personalausweis at Steuernummer.
  • French Numéro de Sécurité Sociale.
  • Spanish DNI at NIE.
  • IBAN at BIC para sa EU banking.

Mga entity ng US (CCPA / HIPAA):

  • Social Security Number (SSN) at EIN.
  • Mga format ng driver's license ng estado.
  • Mga numero ng Medicare at Medicaid.
  • 18 protected na health identifier ng HIPAA.

Mga entity ng APAC (PDPA, PIPL, PDPB):

  • Singapore NRIC at FIN.
  • Thai national ID (13-digit).
  • Chinese Resident Identity Card (18-digit) at mga mobile number.
  • Indian Aadhaar at PAN card.

Nang may katumpakan ay sinasaklaw ng solusyon na nakasentro sa US ang mga SSN. Maaari itong mapalampas ang isang German Personalausweis. Sinasaklaw ng solusyon sa EU ang IBAN at mga national ID. Maaaring hindi nito ma-detect ang isang numero ng Aadhaar.

Ang buong coverage ay nangangahulugang mga uri ng entity para sa bawat may kaugnayan na merkado. Hindi lamang ang rehiyon ng tahanan ng software.

I-browse ang buong entity library sa /entities.

Preset Setup Bawat Hurisdiksyon

Ang praktikal na sagot: isang detection engine na may mga preset bawat rehiyon.

GDPR Standard preset (mga kawani sa EU): Lahat ng 18 uri ng personal na data ng GDPR. Mga format ng EU national ID. Mga numero ng EU banking. Mga threshold na nakatakda para sa malawak na saklaw ng GDPR.

CCPA / HIPAA preset (mga kawani sa US): SSN, EIN, mga numero ng Medicare at Medicaid. Mga format ng state ID at lisensya. Mga numero ng financial account sa US. 18 uri ng PHI ng HIPAA para sa mga kawaning humahawak ng mga rekord ng kalusugan.

APAC Privacy preset (mga kawani sa APAC): Singapore NRIC at FIN. Thai national ID. Chinese resident ID at mga mobile number. Indian Aadhaar at PAN. Mga flag ng bansa kung kinakailangan.

Isa lang ang bawat preset na nakatakda sa sentro. Maaari ito ng bawat tao. I-apply ito para sa rehiyon ng empleyado o para sa rehiyon ng data subject. Gamitin kung alin ang mas mahigpit. Inilalapat ng engine ang mas mahigpit na panuntunan.

Basahin kung paano gumagana ang mga preset sa FAQ.

Case Study: Kumpanyang SaaS na may 50 Tao

Nagpatakbo ang isang remote-first na kumpanyang SaaS ng taunang privacy audit. Ang mga kawani ay nasa Germany (18), California (22), at Singapore (10).

Bago ang paglipat:

Ginamit ng grupo sa Germany ang isang EU masking platform. Ginamit ng grupo sa California ang isang solusyon sa US na may limitadong coverage ng EU entity. Ang grupo sa Singapore ay walang masking software. Natuklasan ng audit ang hindi pantay na mga pamantayan sa lahat ng tatlong rehiyon. Ang natuklasan sa Singapore ay isang bukas na puwang.

Pagkatapos ng paglipat sa isang platform:

  • GDPR preset para sa Germany, na may mga uri ng EU entity at suporta sa 48 wika.
  • CCPA preset para sa California, na sumasaklaw sa mga uri ng US entity at mga uri ng CCPA.
  • PDPA preset para sa Singapore, na sumasaklaw sa mga identifier ng APAC.
  • Isang sentral na audit trail na sumasaklaw sa lahat ng 50 empleyado.
  • EU residency para sa lahat ng rekord na pinoproseso sa pamamagitan ng serbisyo.

Natutugunan ng setup na ito ang GDPR Article 46 para sa mga cross-border na paglipat sa loob ng serbisyo.

Resulta ng audit ng 2025: Zero na natuklasan sa mga mismatch ng masking. Nagsara ang nakaraang puwang sa Singapore.

Tingnan kung paano nagdodokumento ang mga enterprise na grupo ng mga teknikal na hakbang sa /security-compliance.

Konklusyon

Ang pandaigdigang privacy compliance ay hindi tatlong hiwalay na problema. Ito ay isa: pare-parehong mga teknikal na kontrol sa bawat rehiyon.

Parehong detection engine. Parehong audit trail. Iba't ibang preset para sa iba't ibang batas. Isang serbisyo ang humahawak sa tatlo.

Matuto kung paano sinusuportahan ng anonym.legal ang mga pandaigdigang koponan sa /pricing.

Mga Sanggunian

  • GDPR Article 3: Territorial Scope. gdpr-info.eu/art-3-gdpr/
  • California Consumer Privacy Act (CCPA/CPRA). oag.ca.gov/privacy/ccpa
  • Thailand Personal Data Protection Act (PDPA). pdpa.go.th
  • GDPR Article 46: Cross-border transfers. gdpr-info.eu/art-46-gdpr/

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.