Masalah Quasi-PII
Artikel 4 GDPR mentakrifkan data peribadi sebagai "sebarang maklumat yang berkaitan dengan orang semula jadi yang dikenal pasti atau boleh dikenal pasti." Kata kunci ialah "boleh dikenal pasti" — bukan hanya dikenal pasti pada masa ini, tetapi mampu dikenal pasti melalui pemprosesan tambahan. Nilai yang tidak secara langsung mengenal pasti tetapi boleh dikaitkan dengan orang sebenar melalui sistem dalaman adalah data peribadi di bawah GDPR.
ID pekerja dalaman adalah contoh paling biasa. "EMP-EU-123456" tidak secara langsung mengenal siapa pun. Tetapi pangkalan data HR menyimpan jadual: EMP-EU-123456 → Maria Schmidt, Jurutera Senior, Munich. Sebarang dokumen yang mengandungi EMP-EU-123456 boleh dikaitkan dengan Maria Schmidt oleh sesiapa sahaja yang mempunyai akses ke pangkalan data HR. Di bawah GDPR, EMP-EU-123456 adalah data peribadi — ia adalah maklumat yang berkaitan dengan orang semula jadi yang boleh dikenal pasti.
Analisis yang sama terpakai pada nombor akaun pelanggan (menghubungkan ke rekod CRM), kod projek (menghubungkan ke identiti klien dalam pangkalan data kontrak), nombor rujukan dalaman untuk perkara undang-undang (menghubungkan ke peserta kes dalam DMS), dan nombor rekod perubatan dalam sistem luaran (menghubungkan ke rekod pesakit dalam EHR hospital).
Organisasi yang menanomimkan PII yang jelas (nama, alamat e-mel, ID negara) tetapi meninggalkan pengecam dalaman tidak menyentuh telah tidak mencapai penanoniman yang mematuhi GDPR. Mereka telah mencapai de-anonymisasi dalam dua langkah dan bukannya satu — memerlukan penyerang (atau pekerja yang terlalu ingin tahu) untuk berunding dengan pangkalan data HR dan bukannya membaca dokumen.