تفاوت 20 میلیون یورویی
ماده 83 GDPR جریمه حداکثر را در ۲۰ میلیون یورو یا 4% درآمد سالانه جهانی، هر کدام بیشتر است، برای سنگینترین نقضها تعیین میکند. تفاوت بین ناشناسیسازی و شبهناشناسیسازی تعیین میکند که آیا GDPR بهکل برای مجموعهای از دادهها قابل اجرا است — و آیا بیشترین درآمد جریمهای قابل اجرا است.
تفسیر 26 GDPR ناشناسیسازی را تعریف میکند: "اصول حفاظت داده بنابراین نباید برای اطلاعات ناشناسشده، یعنی اطلاعاتی که به فرد طبیعی شناختهشده یا قابل شناسایی مربوط نیست یا دادههای شخصی ناشناسشده به گونهای که موضوع داده دیگر قابل شناسایی نیست، قابل اجرا باشد." عبارت کلیدی: "قابل شناسایی نیست یا دیگر" — بهوسیلهی هر وسیلهای که احتمالاً توسط کنترلکننده داده، هر پردازنده، یا هر طرف سوم استفاده شود.
ماده 4(5) GDPR شبهناشناسیسازی را تعریف میکند: "پردازش دادههای شخصی به گونهای که دادههای شخصی دیگر نمیتواند به موضوع داده خاصی مربوط شود بدون استفاده از اطلاعات اضافی، به شرط که چنین اطلاعات اضافی جداگانه نگهداشته شود." دادههای شبهنامنهاد بهطور صریح ناشناسشده نیست — "دیگر نمیتواند مربوط شود... بدون استفاده از اطلاعات اضافی." دادههای شبهنامنهاد تحت GDPR دادههای شخصی باقی میمانند.