Razlika 20 milijonov evrov
GDPR člen 83 določa največje kazni v višini 20 milijonov evrov ali 4% svetovne letne prihodke, kar je višje, za najbolj resne kršitve. Razlika med anonimizacijo in psevdonimizacijo določa, ali se GDPR sploh nanaša na nabor podatkov — in ali velja izpostavljenost na največje kazni.
GDPR Recital 26 definira prag anonimizacije: "Načela varstva podatkov se zato ne bi smela uporabljati za anonimne informacije, to je informacije, ki se ne nanašajo na identificenega ali identificirajočega naravnega osebo ali na osebne podatke, anonimne na tak način, da subjekt podatkov ni ali ni več identificljiv." Ključna fraza: "ni ali ni več identificljiv" — s kakršnih koli sredstev, ki so verjetno razumna za uporabo, s strani upravljavca podatkov, katerega koli procesorja ali katere koli tretje osebe.
GDPR člen 4(5) definira psevdonimizacijo: "obdelava osebnih podatkov na tak način, da osebnih podatkov ne morejo biti več pripisani posebnemu subjektu podatkov brez uporabe dodatnih informacij, pod pogojem, da se take dodatne informacije hranijo ločeno." Psevdonimni podatki eksplicitno niso anonimni — se "ne morejo biti več pripisani... brez uporabe dodatnih informacij." Psevdonimni podatki ostanejo osebni podatki pod GDPR.
Praktična posledica: organizacija, ki je prepričana, da je njen nabor podatkov za analitiko "anonimiziran" (izven GDPR), ko je dejansko "psevdonimiziran" (znotraj GDPR), ima nepravilne vnose člena 30 ROPA, nezado...