Mengapa Klasifikasi Penting
Jika organisasi menyatakan bahawa data adalah "tanpa nama" tetapi sebenarnya pseudonymised (dapat ditautkan semula dengan upaya), organisasi tersebut:
- Melanggar Kewajipan Transparansi — Penyata privasi harus mengungkapkan bahawa data boleh ditautkan semula dan bahawa subyek data masih mempunyai hak (akses, penghapusan, dll)
- Melanggar Artikel 28 (Perjanjian Pemprosesan) — Jika pseudonymisasi adalah kontrol pengganti, pemproses harus memahami dan membuat akta terkaita
- Melanggar Artikel 6 (Dasar Hukum) — Jika data pseudonymised digunakan untuk tujuan baru (contohnya, analitik pembelajaran mesin), tujuan baru memerlukan dasar hukum terpisah dan penilaian dampak
Keputusan EUR 20 juta berkembang daripada kes di mana organisasi menyatakan "data diprotelkan dengan penanoniman" dalam penyata privasi mereka — tetapi sebenarnya menggunakan pengecam yang dapat ditautkan semula (cth, kunci pseudonymisation disimpan dalam pangkalan data yang sama).
Uji Mudah untuk Membezakan
Tanya diri sendiri:
Bolehkah saya menautkan data pseudonymised kembali kepada individu asli dengan maklumat yang saya miliki?
- YA → Data adalah pseudonymised (masih tertakluk kepada GDPR)
- TIDAK → Data adalah tanpa nama (bukan tertakluk kepada GDPR)
If YES:
- Apakah orang lain yang mempunyai akses kepada maklumat pemetaan saya boleh menautkan kembali?
- YA → Data dianggap boleh ditautkan semula untuk tujuan GDPR (pseudonymised)
- TIDAK → Mungkin tidak (tetapi ini bergantung pada keadaan lain)
Jika organisasi tidak dapat memberikan jawapan yang jelas kepada soalan-soalan ini, klasifikasi data mereka kemungkinan besar tidak tepat.