Distinctia de 20 de Milioane de Euro
GDPR Articolul 83 stabileste penalitati maxime la 20 de milioane de euro sau 4% din cifra de afaceri anuala globala, oricare este mai mare, pentru cele mai grave incalcari. Distinctia dintre anonimizare si pseudonimizare determina daca GDPR se aplica deloc unui set de date.
Recitalul 26 GDPR defineste pragul de anonimizare: 'Principiile de protectie a datelor nu ar trebui sa se aplice... informatiilor anonimizate care nu se refera la o persoana fizica identificata sau identificabila sau la date personale facute anonime in asa fel incat persoana vizata sa nu mai fie sau sa nu mai poata fi identificata.' Fraza cheie: 'sa nu fie sau sa nu mai poata fi identificata' — prin orice mijloc rezonabil probabil a fi utilizat.
GDPR Articolul 4(5) defineste pseudonimizarea: 'prelucrarea datelor personale in asa fel incat datele personale sa nu mai poata fi atribuite unui anumit subiect de date fara utilizarea de informatii suplimentare.' Datele pseudonimizate sunt in mod explicit nu anonime — 'pot sa nu mai fie atribuite... cu' informatii suplimentare.
Testele Practice
Este aceasta anonimizare adevarata? Testul: Poate cineva sa re-identifice subiectul de date folosind orice mijloace rezonabile?
- Daca DA: Este pseudonimizare, nu anonimizare. GDPR se aplica.
- Daca NU: Este anonimizare adevarata. GDPR nu se aplica datelor.
Exemple de pseudonimizare (nu anonimizare):
- Inlocuirea numelor cu ID-uri aleatorii cand organizatia pastreaza tabela de mapare
- Stergerea campurilor de identificare directa pastrand cvaziidentificatori (varsta, cod postal, profesie combinate)
- Tokenizarea cand tokenul poate fi legat inapoi la persoana prin baza de date a organizatiei
Surse: Recitalul 26 GDPR; GDPR Articolul 4(5); Orientarile EDPB 01/2025 privind Pseudonimizarea; EDPB Cadrul de Aplicare Coordonata 2025