ความแตกต่างสำคัญ
Anonymization (GDPR มาตรา 4(1)):
- Re-identification เป็นไปไม่ได้หรือเป็นไปไม่ได้ในทางปฏิบัติ
- ข้อมูลออกจาก GDPR scope ทั้งหมด
- ไม่มีข้อจำกัด purpose limitation, retention, right to erasure
Pseudonymization (GDPR มาตรา 4(5)):
- Re-identification ยังเป็นไปได้โดยใช้ additional information
- ยังคงเป็นข้อมูลส่วนตัวภายใต้ GDPR
- ได้รับการปฏิบัติที่ดีกว่าแต่ยังต้องปฏิบัติตาม GDPR
EDPB ตีความ Anonymization
EDPB ระบุว่า anonymization ที่แท้จริงต้องทนทานต่อ:
- Singling out: ไม่สามารถระบุ individual ได้
- Linkability: ไม่สามารถ link records ต่างกันได้
- Inference: ไม่สามารถ infer ข้อมูลจาก remaining data
ค่าใช้จ่ายของการเรียก Pseudonymization ว่า Anonymization
บริษัทที่ระบุว่าข้อมูลเป็น 'anonymous' แต่จริงๆ แล้วเป็น pseudonymous เสี่ยงค่าปรับ GDPR สูงสุด: €20M หรือ 4% ของ global turnover
แหล่งที่มา: