Skillnaden på 20 miljoner euro
GDPR Artikel 83 sätter maximala böter till 20 miljoner euro eller 4% av den globala årliga omsättningen, beroende på vilket som är högst, för de allvarligaste överträdelserna. Skillnaden mellan anonymisering och pseudonymisering avgör huruvida GDPR överhuvudtaget gäller för en dataset — och om den maximala bötesexponeringen gäller.
GDPR Betraktelse 26 definierar anonymiseringströskeln: "Principerna för dataskydd bör därför inte tillämpas på anonym information, det vill säga information som inte rör en identifierad eller identifierbar fysisk person eller på personuppgifter som har gjorts anonyma på ett sådant sätt att den registrerade inte är eller längre är identifierbar." Nyckelfrasen: "inte eller längre identifierbar" — med alla medel som rimligen kan antas användas, av den personuppgiftsansvarige, någon processor eller någon tredje part.
GDPR Artikel 4(5) definierar pseudonymisering: "behandlingen av personuppgifter på ett sådant sätt att personuppgifterna inte längre kan hänföras till en specifik registrerad utan användning av ytterligare information, förutsatt att sådan ytterligare information hålls separat." Pseudonymiserade data är uttryckligen inte anonyma — de "kan inte längre hänföras... utan användning av ytterligare information." Pseudonymiserade data förblir personuppgifter enligt GDPR.
Den praktiska implikationen: en organisation som tror att dess analysdataset är "anonymiserat" (utanför GDPR) när det faktiskt är "pseudonymiserat" (inom GDPR) har felaktiga Artikel 30 ROPA-poster, otillräckliga procedurer för registrerades rättigheter, otillräckliga lagringsperioder, saknade dataskyddsåtgärder för eventuell gränsöverskridande analysbehandling och ingen mekanism för att svara på begärningar om radering. Varje av dessa brister är en oberoende överträdelse av GDPR.
CEF Tillämpningssignal
EDPB:s 2025 Koordinerade Tillämpningsram identifierade specifikt "ineffektiva anonymiseringstekniker som används som ett alternativ till radering" som en återkommande efterlevnadsbrist. Denna upptäckte signalerar att dataskyddsmyndigheter utvärderar anonymiseringskvalitet, inte bara närvaron eller frånvaron av ett anonymiseringssteg.
Det nederländska Data Analytics Företaget Användningsfall illustrerar den korrekta metoden: ett företag som erbjuder "anonymiserade" kunddataset till tredje parts forskare använder Redact-metoden (permanent borttagning av PII utan token-mappning). Det resulterande datasetet har ingen väg till re-identifikation — ingen nyckel, ingen token-tabell, ingen hash-preimage — vilket uppfyller GDPR:s Betraktelse 26-tröskel. DPO dokumenterar denna bedömning i DPIA: metoden som används, identifierartyper som omfattas, oåterkallelighetsgrund, bedömning av kvarstående re-identifikationsrisk. Datasetet ligger utanför GDPR:s tillämpningsområde. GDPR:s skyldigheter (inklusive registrerades rättigheter, lagringsgränser och överföringsskydd) gäller inte för de tredje parts forskningskopiorna.
Metodval efter efterlevnadsmål
Utanför GDPR:s tillämpningsområde (äkt anonymisering): Använd Redact (permanent borttagning) eller Hash (av hög-entropi, icke-gissningsbara värden). Dokumentera anonymiseringsgrunden. Inga GDPR-skyldigheter gäller för resultatet.
Inom GDPR:s tillämpningsområde med minskad risk (pseudonymisering): Använd Replace, Mask eller Encrypt. Alla GDPR-skyldigheter fortsätter att gälla. Pseudonymiseringen minskar risken för skada från obehörig åtkomst men tar inte bort GDPR:s tillämpningsområde.
Kontrollerad återkallelighet (forskning, granskning, upptäckte): Använd Encrypt med klienthållna nycklar. GDPR gäller. Nyckelvårdsarrangemang måste uppfylla EDPB:s riktlinjer 05/2022 för nyckelseparation. Dokumentera pseudonymiseringsdomänen.
Källor: