Pro mnoho lidí z mediálního a reklamního světa, zejména ve Spojených státech, byly osobní identifikační údaje (PII) dlouho mimo sběr a sledování. Je vyvíjeno značné úsilí o stanovení hranice mezi PII a ne-PII, a dokonce o maskování nebo pseudonymizaci PII takovým způsobem, aby již nebyly identifikovatelné (a tudíž použitelné pro marketing). V USA se však tato hranice posouvá a v Evropě, kde má 25. května 2018 vstoupit v platnost nařízení GDPR, nemusí existovat vůbec.

Co je to PII?

Ministerstvo obrany (DoDD 5400.11, 29. října 2014) definuje PII jako:

„Informace sloužící k rozlišení nebo vysledování identity jednotlivce, jako je jméno, číslo sociálního pojištění, datum a místo narození, dívčí jméno matky, biometrické záznamy, domácí telefonní čísla, další demografické, personální, zdravotní a finanční informace. PII zahrnuje veškeré informace, které jsou spojeny nebo je lze spojit s určitou osobou, a to samostatně nebo v kombinaci s jinými osobními nebo identifikačními údaji. Pro účely tohoto vydání zahrnuje pojem PII také osobní informace a informace v identifikovatelné podobě.“

V návaznosti na tuto definici většina amerických vládních agentur rozlišuje mezi necitlivými PII a citlivými PII (které by v případě zveřejnění mohly způsobit jednotlivci újmu). To má pomoci odlišit veřejně dostupné informace od informací potenciálně škodlivějších, jako je občanský stav, náboženská příslušnost nebo sexuální orientace (příručka DHS). To, zda je PII citlivá, či nikoli, může často záviset na kontextu a výkladu. Marketéři a vydavatelé se velmi pečlivě vyhýbají používání PII a místo toho se zaměřují na non-PII, aby reklamy byly pro spotřebitele relevantnější.

Non-PII

Podle Asociace pro mobilní marketing jsou non-PII „informace, které mohou odpovídat konkrétní osobě, účtu nebo profilu, ale nestačí k identifikaci, kontaktování nebo nalezení osoby, které se tyto informace týkají. Nekvalifikovaný lead.“ Příklady těchto informací jsou:

• ID zařízení
• IP adresy
• Cookie
• Typ prohlížeče
• Podrobnosti o připojení
• Jazykové preference
• Časové zóny

Analýzou těchto informací jsou datové společnosti schopny vytvořit podrobné profily spotřebitelů s cílem předvídat zájem a nákupní záměr. To umožňuje marketérům cílit na správné publikum s relevantními reklamami na správném místě a ve správný čas.

Rozšíření PII

V poslední době začali zastánci ochrany osobních údajů posouvat hranici mezi PII a ne-PII, aby podpořili ochranu většího množství informací. Například ředitelka FTC Jessica Richová naznačila, že trvalé identifikátory by pravděpodobně měly být považovány za PII. „údaje považujeme za „osobně identifikovatelné“, a tedy zaručující ochranu soukromí, pokud je lze rozumně spojit s konkrétní osobou, počítačem nebo zařízením. V mnoha případech tomuto testu vyhovují trvalé identifikátory, jako jsou identifikátory zařízení, adresy MAC, statické adresy IP nebo soubory cookie“. Příklady od FTC zahrnují:

• Číslo zákazníka uložené v souboru cookie
• IP adresa
• Sériové číslo procesoru nebo zařízení
• Unikátní ID zařízení

Tyto další trvalé identifikátory významně rozšiřují to, co historicky představovalo PII, a naznačují sníženou ochotu FTC ignorovat moderní metody sledování.

Všechno je podle GDPR osobní údaj!

V kontextu nařízení EU o ochraně osobních údajů GDPR na rozdílu mezi PII a ne-PII nezáleží. Ve skutečnosti lze tvrdit, že téměř cokoli by mělo být chráněno jako osobní údaj podle GDPR. Namísto testu „přiměřeného propojení“ podle FTC rozlišuje GDPR mezi pseudonymními a anonymními údaji. Obecně řečeno, pseudonymní údaje jsou chráněny jako osobní údaje, zatímco anonymní údaje chráněny nejsou. Je však náročné překonat hranici anonymity a zároveň zachovat hodnotu pro obchodníky. Směrnice totiž žádá správce a zpracovatele údajů, aby zvážili „technologie dostupné v době zpracování a technologický vývoj“ a určili, zda by bylo možné subjekt údajů (čti: osobu) vyčlenit kombinací jakýchkoli pseudonymních nebo odlišných údajů. Podle této definice mají osobní údaje tak široký záběr, že správci a zpracovatelé možná budou chtít předpokládat, že většina jejich údajů jsou osobní údaje, a odtud budou postupovat zpětně.

Co teď?

S účinností GDPR v květnu 2018 bychom si měli uvědomit, že běžná americká nomenklatura PII a Non-PII již není použitelná pro značnou část mezinárodní komunity. Nařízení GDPR nutí společnosti po celém světě, které nakládají s evropskými údaji, přehodnotit a přepracovat své zásady nakládání s daty. Ačkoli USA možná nikdy nepřijmou GDPR v psané podobě, nemůžeme si dovolit ignorovat posun k povědomí o ochraně osobních údajů a vysokou laťku ochrany osobních údajů v Evropě.

Chcete se o GDPR dozvědět více? Podívejte se na zbytek našeho seriálu:

• Pracovní skupina společnosti SpotX pro GDPR
• Co je GDPR? Co potřebujete vědět o reklamních technologiích a obecném nařízení o ochraně osobních údajů
• GDPR: Jak by měly společnosti se sídlem v USA přemýšlet o GDPR
• Proč by se americké společnosti měly zajímat o PII, non-PII a osobní údaje
• Co je to „Privacy by Design and Default“ a jak mi to může pomoci učinit těžká rozhodnutí ve světě po přijetí GDPR?
• Jak GDPR zpřísní kontrolu Googlu a Facebooku nad globálními reklamními dolary – není to ironie?
• Vlog: Jessica Berman, senior produktová manažerka, hovoří o GDPR