Masa Penanoniman Adalah Kunci
Artike 4 GDPR mentakrifkan data peribadi sebagai maklumat yang berkaitan dengan orang semula jadi yang dikenal pasti atau boleh dikenal pasti. Apabila data tidak lagi boleh dikaitkan dengan orang sebenar — melalui cara apa pun — data tersebut bukan lagi data peribadi dan bukan tertakluk kepada GDPR.
Ini mewujudkan logika yang menarik untuk alat penanoniman:
Skenario 1: Penanoniman Terlewatkan
- Data CSV berisi nama, alamat, SSN, alamat e-mel
- Organisasi memuat fail ke alat SaaS penanoniman yang dihindeks pada pelayan AWS AS
- INI MELANGGAR GDPR — data peribadi mentah ditransmisikan ke AS
- Pengawal data memerlukan perjanjian pemindahan sah (Standard Contractual Clauses, Binding Corporate Rules, dll)
Skenario 2: Penanoniman Awal (Sebelum Pemindahan)
- Data CSV berisi nama, alamat, SSN, alamat e-mel
- Organisasi menjalankan penanoniman di tempat (pelayan EU mereka sendiri) menggunakan alat terbuka sumber atau kunci penanoniman yang disimpan secara lokal
- Output ialah hanya Pseudo_ID_2847, Negeri, Julat_Pendapatan, Domain_Email (tanpa maklumat pengenal diri asli)
- Organisasi memindahkan CSV yang tanpa nama ke pelayan AS untuk analitik
- INI TIDAK MELANGGAR GDPR — data peribadi tidak pernah ditransmisikan; hanya data tanpa nama yang dihantar