20 miljoni euro erinevus
GDPR artikkel 83 määrab maksimaalse karistuse 20 miljonit eurot või 4% globaalsest aastasest tulust, kummal on suurem, kõige tõsisemate rikkumiste puhul. Erinevus anonüümistamise ja pseudonüümistamise vahel määrab, kas GDPR kohaldub andmekogumile üldse — ja kas maksimaalse trahviga kogum kohaldub.
GDPR põhjendus 26 määratleb anonüümistamise lävendi: "Andmekaitse põhimõtteid ei tohiks kohaldada anonüümsete andmete suhtes, nimelt andmete puhul, mis ei viita tuvastatud ega tuvastatavale füüsilisele isikule või isikuandmetele, mis on anonümiseeritud sellisel viisil, et andmealust ei ole võimalik tuvastada." Peamine fraas: "tuvastamata ega enam tuvastatav" — mistahes meetodid, mida mõistlikult võidakse kasutada andmekontroller, iga töötleja või iga kolmas osapool.
GDPR artikkel 4(5) määratleb pseudonüümistamist: "isikuandmete töötlemine selliselt, et neid ei saa enam omistada konkreetsele andmealusele ilma lisateabe kasutamiseta, tingimusel et selline lisateave hoitakse eraldi." Pseudonüümiseeritud andmed ei ole eksplitsiitselt anonüümsed — need "ei saa enam omistada... ilma lisateabe kasutamiseta." Pseudonüümiseeritud andmed jäävad GDPR-i isikuandmeteks.
Praktikaline tähendus: organisatsioon, mis usub, et tema analüütika andmekogum on "anonümiseeritud" (väljaspool GDPR), kuid see on tegelikult "pseudonümiseeritud" (GDPR sees), on valede artikli 30 ROPA kirjete, ebapiisavate...