20 मिलियन यूरो का अंतर
GDPR अनुच्छेद 83 सबसे गंभीर उल्लंघनों के लिए अधिकतम दंड को €20 मिलियन या वैश्विक वार्षिक राजस्व का 4%, जो भी अधिक हो, पर निर्धारित करता है। अनामिकरण और उपनामकरण के बीच का अंतर यह निर्धारित करता है कि क्या GDPR किसी डेटा सेट पर लागू होता है - और क्या अधिकतम जुर्माना जोखिम लागू होता है।
GDPR अनुच्छेद 26 अनामिकरण की सीमा को परिभाषित करता है: "डेटा संरक्षण के सिद्धांतों को इसलिए अनाम जानकारी पर लागू नहीं होना चाहिए, अर्थात् जानकारी जो किसी पहचाने गए या पहचान योग्य प्राकृतिक व्यक्ति से संबंधित नहीं है या व्यक्तिगत डेटा जिसे इस प्रकार अनामित किया गया है कि डेटा विषय को पहचाना नहीं जा सकता या अब पहचान योग्य नहीं है।" मुख्य वाक्यांश: "नहीं या अब पहचान योग्य नहीं" - किसी भी ऐसे साधन द्वारा जो डेटा नियंत्रक, किसी प्रोसेसर, या किसी तीसरे पक्ष द्वारा उपयोग किए जाने की संभावना है।
GDPR अनुच्छेद 4(5) उपनामकरण को परिभाषित करता है: "व्यक्तिगत डेटा को इस प्रकार संसाधित करना कि व्यक्तिगत डेटा को किसी विशेष डेटा विषय से अतिरिक्त जानकारी के बिना नहीं जोड़ा जा सकता, बशर्ते कि ऐसी अतिरिक्त जानकारी को अलग से रखा जाए।" उपनामित डेटा स्पष्ट रूप से अनाम नहीं है - यह "अतिरिक्त जानकारी के बिना... नहीं जोड़ा जा सकता।" उपनामित डेटा GDPR के तहत व्यक्तिगत डेटा बना रहता है।
व्यावहारिक निहितार्थ: एक संगठन जो मानता है कि इसका विश्लेषणात्मक डेटा सेट "अनामित" (GDPR के बाहर) है जबकि यह वास्तव में "उपनामित" (GDPR के भीतर) है, उसके अनुच्छेद 30 ROPA प्रविष्टियाँ गलत हैं, डेटा विषय अधिकार प्रक्रियाएँ अपर्याप्त हैं, रखरखाव की अवधि अपर्याप्त हैं, किसी भी सीमा पार विश्लेषणात्मक प्रसंस्करण के लिए डेटा स्थानांतरण सुरक्षा की कमी है, और मिटाने के अधिकार के अनुरोधों का उत्तर देने के लिए कोई तंत्र नहीं है। इनमें से प्रत्येक कमी एक स्वतंत्र GDPR उल्लंघन है।
CEF प्रवर्तन संकेत
EDPB के 2025 समन्वित प्रवर्तन ढांचे ने विशेष रूप से "हटाने के विकल्प के रूप में उपयोग की जाने वाली अप्रभावी अनामिकरण तकनीकों" को एक आवर्ती अनुपालन विफलता के रूप में पहचाना। यह निष्कर्ष संकेत करता है कि DPAs अनामिकरण की गुणवत्ता का मूल्यांकन कर रहे हैं, न कि केवल अनामिकरण चरण की उपस्थिति या अनुपस्थिति।
डच डेटा एनालिटिक्स कंपनी का उपयोग मामला सही दृष्टिकोण को दर्शाता है: एक कंपनी जो तीसरे पक्ष के शोधकर्ताओं को "अनामित" ग्राहक डेटा सेट प्रदान करती है, रेडैक्ट विधि (कोई टोकन मैपिंग के साथ PII का स्थायी हटाना) का उपयोग करती है। परिणामी डेटा सेट में पुनः पहचान का कोई मार्ग नहीं है - कोई कुंजी, कोई टोकन तालिका, कोई हैश प्रीइमेज - GDPR के अनुच्छेद 26 की सीमा को पूरा करता है। DPO इस निर्धारण को DPIA में दस्तावेज करता है: उपयोग की गई विधि, कवर किए गए पहचानकर्ता प्रकार, अपरिवर्तनीयता का आधार, अवशिष्ट पुनः पहचान जोखिम मूल्यांकन। डेटा सेट GDPR के दायरे से बाहर है। GDPR की जिम्मेदारियाँ (डेटा विषय अधिकार, रखरखाव सीमाएँ, और स्थानांतरण सुरक्षा सहित) तीसरे पक्ष के शोध प्रतियों पर लागू नहीं होती हैं।
अनुपालन लक्ष्य द्वारा विधि चयन
GDPR के दायरे से बाहर (सच्चा अनामिकरण): रेडैक्ट (स्थायी हटाना) या हैश (उच्च-एंट्रॉपी, अनुमान लगाने योग्य मूल्यों का) का उपयोग करें। अनामिकरण के आधार का दस्तावेज करें। आउटपुट पर कोई GDPR जिम्मेदारियाँ लागू नहीं होतीं।
GDPR के दायरे के भीतर कम जोखिम के साथ (उपनामकरण): प्रतिस्थापित करें, मास्क करें, या एन्क्रिप्ट करें। सभी GDPR जिम्मेदारियाँ लागू होती रहती हैं। उपनामकरण अनधिकृत पहुँच से नुकसान के जोखिम को कम करता है लेकिन GDPR के दायरे को नहीं हटाता।
नियंत्रित उलटने योग्य (शोध, ऑडिट, खोज): ग्राहक-धारित कुंजी के साथ एन्क्रिप्ट का उपयोग करें। GDPR लागू होता है। कुंजी हिरासत व्यवस्थाएँ EDPB दिशानिर्देश 05/2022 कुंजी पृथक्करण आवश्यकताओं को पूरा करनी चाहिए। उपनामकरण डोमेन का दस्तावेज करें।
स्रोत: