Die Quasi-PII-Probleem
GDPR Artikel 4 definieer persoonlike data as "enige inligting oor 'n geïdentifiseerde of identifiseerbare natuurlike persoon." Die sleutelwoord is "identifiseerbare"—nie net noutelik geïdentifiseer nie, maar deur addisionele verwerking identifiseerbaar. 'n Waarde wat nie direk identifiseer nie, maar aan 'n werklike persoon deur interne sisteme gekoppel kan word, is persoonlike data onder GDPR.
Interne werknemer-IDs is die mees algemene voorbeeld. "EMP-EU-123456" identifiseer niemand direk nie. Maar die HR-databasis hou 'n tabel: EMP-EU-123456 → Maria Schmidt. Enige dokument met EMP-EU-123456 kan na Maria Schmidt gekoppel word deur iemand met HR-databasis-togang. Onder GDPR is EMP-EU-123456 persoonlike data.
Organisasies wat die ooglopende PII (name, e-poste, nasionale-ID's) anonimiseer, maar interne identifiseerders onveranderd los, het nie GDPR-naasbystand bereik nie.