Разликата од 20 милиони евра
GDPR Член 83 поставува максимални глоби на €20 милиони или 4% од глобална годишна приход, кои е по висока, за најтешките кршења. Разликата помеѓу анонимизација и псевдонимизација одредува дали GDPR воопшто се применува на комплет од податоци — и дали максимална експозиција на глоба се применува.
GDPR Recital 26 го дефинира праг на анонимизација: "Принципите на заштита на податоци затоа не треба да се применуваат на анонимни информации, нарекусуваче информации кои не се однесуваат на идентификуван или идентификувачен природен лице или на лични податоци направени анонимни на таков начин дека предметот на податоци не е или повеќе е идентификувачен." Клучна фраза: "не или повеќе идентификувачен" — по никакви средства разумно вероватна да се употребиме, од контролер на податоци, секој обработувач или која и да е трета страна.
GDPR Член 4(5) го дефинира псевдонимизацијата: "обработка на лични податоци на таков начин дека лични податоци повеќе не можат да се припишат на конкретен предмет на податоци без употреба на дополнителни информации, под услов таква дополнителна информација да се чуваат одделно." Псевдонимизираните податоци експлицитно не се анонимни — "повеќе не можат да се припишат... без употреба на дополнителни информации." Псевдонимизираните податоци остануваат лични податоци под GDPR.
Практичната импликација: организација која верува дека нејзиниот комплет на податоци за анализа е "анонимизиран" (надвор од GDPR) кога е всушност "псевдонимизиран" (во GDPR) има неточни Член 30 ROPA записи, неспособност...