Apa Itu Quasi-PII?
Pasal 4 GDPR mencakup data apa pun yang dapat mengidentifikasi seseorang. Data tersebut tidak perlu menyebutkan nama seseorang secara langsung. Hanya perlu memungkinkan identifikasi melalui langkah tambahan.
ID karyawan internal adalah contoh yang jelas. Ambil nilai "EMP-EU-123456." String tersebut tidak menyebutkan siapa pun. Tetapi sistem HR menyimpan tabel pencarian sederhana. EMP-EU-123456 mengarah ke Maria Schmidt, Senior Engineer, Munich. Siapa pun yang memiliki akses ke tabel itu dapat menemukannya. Di bawah GDPR, ID tersebut adalah data pribadi.
Aturan yang sama berlaku untuk kode internal lainnya:
- Nomor akun pelanggan yang terhubung ke catatan CRM
- Kode proyek yang terhubung ke nama klien dalam sistem kontrak
- Nomor referensi kasus dalam file hukum
- Nomor rekam medis yang terhubung ke catatan pasien
Menghapus nama dan email saja tidak cukup. Jika ID internal masih ada dalam file, re-identifikasi hanya berjarak dua langkah.
Mengapa Celah Ini Berujung pada Denda
34% dari semua denda GDPR melibatkan langkah teknis yang tidak memadai berdasarkan Pasal 32. Angka ini berasal dari DLA Piper 2025 GDPR Annual Report. Kegagalan mendeteksi pengidentifikasi internal yang bersifat quasi-identifying masuk dalam kategori ini.
EDPB menangani lebih dari 900 kasus mekanisme konsistensi pada tahun 2024. Penegakan lintas batas berarti satu celah dalam dataset bersama dapat memicu tindakan terkoordinasi di beberapa negara anggota EU.
Alat PII standar menemukan pola universal: nama, email, nomor telepon, ID nasional. Mereka tidak mengetahui format ID internal Anda. Tidak ada alat yang tahu sampai Anda memberi tahu. Itulah celahnya.
Cara Kerja Pembuat Pola Tanpa Kode
Sebuah perusahaan logistik global perlu menganonimkan catatan karyawan untuk audit eksternal. ID karyawan mereka menggunakan format ini: EMP-[REGION]-[6 digit]. Tiga contoh: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
Tim kepatuhan memasukkan tiga contoh ke dalam pembantu pola AI. AI mengembalikan:
- Pola:
EMP-[A-Z]{2,4}-\d{6} - Cocok dengan ketiga contoh
- Nama entitas yang disarankan: EMPLOYEE-ID
- Langkah berikutnya yang direkomendasikan: uji dengan lebih banyak kode region
Tim menguji sepuluh sampel lagi. Pola berfungsi pada semuanya.
Mereka menyimpan entitas kustom ke preset GDPR bersama tim. Semua 47 dokumen dalam paket audit diproses dalam satu batch. Setiap ID karyawan diganti dengan label berbasis peran. Firma audit mendapatkan file yang tidak lagi terhubung ke individu mana pun.
Tidak diperlukan bantuan engineering. Seluruh pengaturan memakan waktu kurang dari satu jam.
Apa yang Terjadi Selanjutnya
Setelah entitas kustom disimpan ke preset bersama, semua anggota tim menggunakan pengaturan yang sama. Staf baru mendapatkannya sejak hari pertama. Pekerjaan batch, panggilan API, dan unggahan manual semuanya menerapkan pola yang sama.
Jejak audit menunjukkan preset mana yang digunakan untuk setiap file. Jika DPA meminta bukti proses anonimisasi Anda, Anda bisa menunjukkannya.
Untuk alur kerja pengaturan entitas kustom lengkap, lihat pengidentifikasi PII kustom untuk anonimisasi organisasi. Untuk menjaga konsistensi pengaturan ini di seluruh tim, lihat preset konsistensi anonimisasi untuk audit GDPR.