A média és a reklám világában – különösen az Egyesült Államokban – sokak számára a személyazonosításra alkalmas adatok (PII) régóta tiltott területnek számítanak a gyűjtés és a nyomon követés szempontjából. Jelentős erőfeszítéseket tesznek a PII és a nem PII közötti határvonal meghúzására, sőt a PII elfedésére vagy álnevesítésére oly módon, hogy az már ne legyen azonosítható (és így marketing célokra felhasználható). Az Egyesült Államokban azonban a határvonal eltolódik, Európában pedig a 2018. május 25-én hatályba lépő GDPR miatt lehet, hogy egyáltalán nem is létezik.

Mi a PII?

A Védelmi Minisztérium (DoDD 5400.11, 2014. október 29.) a következőképpen határozza meg a PII-t:

“Az egyén személyazonosságának megkülönböztetésére vagy nyomon követésére szolgáló információk, például név, társadalombiztosítási szám, születési idő és hely, anyja leánykori neve, biometrikus adatok, otthoni telefonszámok, egyéb demográfiai, személyi, egészségügyi és pénzügyi információk. A PII magában foglal minden olyan információt, amely önmagában vagy más személyes vagy azonosító adatokkal kombinálva egy meghatározott személyhez kapcsolódik vagy kapcsolható. E kiadvány alkalmazásában a PII kifejezés magában foglalja a személyes adatokat és az azonosítható formában lévő információkat is.”

Ez a meghatározás alapján a legtöbb amerikai kormányzati szerv megkülönböztet nem érzékeny PII-t és érzékeny PII-t (amely nyilvánosságra kerülése esetén kárt okozhat az egyénnek). Ez azért van, hogy segítsen megkülönböztetni a nyilvánosan hozzáférhető információkat a potenciálisan károsabb információktól, mint például az állampolgársági státusz, a vallási hovatartozás vagy a szexuális irányultság (DHS Guidebook). Az, hogy a PII érzékeny vagy sem, gyakran a kontextustól és az értelmezéstől függ. A marketingesek és kiadók nagyon óvatosak, hogy elkerüljék a PII használatát, és ehelyett a nem-PII-re összpontosítanak, hogy a hirdetéseket relevánsabbá tegyék a fogyasztók számára.

Non-PII

A Mobile Marketing Association szerint a nem-PII “olyan információ, amely megfelelhet egy adott személynek, fióknak vagy profilnak, de nem elegendő ahhoz, hogy azonosítsák, kapcsolatba lépjenek vagy megtalálják azt a személyt, akire az ilyen információ vonatkozik”. Nem minősített lead.” Ilyen például:

• Készülékazonosítók
• IP-címek
• Sütik
• Böngésző típusa
• Plug-in adatok
• Nyelvpreferencia
• Időzónák

Az adatszolgáltató cégek ezen információk elemzésével részletes profilokat tudnak létrehozni a fogyasztókról, hogy megjósolják az érdeklődést és a vásárlási szándékot. Ez lehetővé teszi a marketingesek számára, hogy a megfelelő célközönséget célozzák meg releváns hirdetésekkel a megfelelő helyen, a megfelelő időben.

PII kiterjesztése

Az utóbbi időben az adatvédelem hívei elkezdték elmozdítani a PII és a nem PII közötti határt, hogy több információ védelmét ösztönözzék. Jessica Rich, az FTC igazgatója például jelezte, hogy a tartós azonosítókat valószínűleg PII-nek kell tekinteni. “az adatokat akkor tekintjük “személyazonosításra alkalmasnak”, és így adatvédelmi védelmet biztosítónak, ha azok ésszerűen egy adott személyhez, számítógéphez vagy eszközhöz kapcsolhatók. Sok esetben az olyan állandó azonosítók, mint az eszközazonosítók, MAC-címek, statikus IP-címek vagy cookie-k megfelelnek ennek a tesztnek”. Az FTC példái a következők:

• Customer number held in a cookie
• IP Address
• Processor or Device Serial Number
• Unique Device ID

Ezek a további tartós azonosítók jelentősen kibővítik azt, ami történelmileg PII-nek minősült, és jelzik az FTC csökkent hajlandóságát a modern nyomonkövetési módszerek figyelmen kívül hagyására.

A GDPR értelmében minden személyes adat!

A GDPR uniós adatvédelmi rendelet összefüggésében a PII és a nem PII közötti különbségtétel nem számít. Valójában azzal lehet érvelni, hogy a GDPR értelmében szinte mindent személyes adatként kell védeni. Az FTC “ésszerű összekapcsolás” tesztje helyett a GDPR különbséget tesz az álnévtelen és az anonim adatok között. Nagyjából az álneves adatok személyes adatként védettek, míg a névtelen adatok nem. Az anonimitás küszöbét azonban kihívást jelent úgy leküzdeni, hogy közben a marketingesek számára megmaradjon az érték. Valójában arra kéri az adatkezelőket és adatfeldolgozókat, hogy mérlegeljék “az adatkezelés időpontjában rendelkezésre álló technológiát és a technológiai fejlődést” annak megállapítására, hogy egy érintett (értsd: személy) azonosítható-e bármely álneves vagy eltérő adat kombinálásával. E meghatározás szerint a személyes adatok olyan széleskörűek, hogy az adatkezelők és adatfeldolgozók talán érdemes azt feltételezni, hogy adataik nagy része személyes, és onnan visszafelé haladva dolgozni.

Mi van most?

A GDPR 2018 májusában történő hatálybalépésével fel kell ismernünk, hogy a PII és a nem PII közös amerikai nomenklatúrája már nem alkalmazható a nemzetközi közösség jelentős részére. A GDPR világszerte arra kényszeríti az európai adatokat kezelő vállalatokat, hogy újragondolják és átalakítsák adatkezelési irányelveiket. Bár az USA talán soha nem fogadja el a GDPR-t a leírt formában, nem engedhetjük meg magunknak, hogy figyelmen kívül hagyjuk az adatvédelmi tudatosság felé történő elmozdulást és a személyes adatok védelmének magasra tett mércéjét Európában.

Még többet szeretne megtudni a GDPR-ról? Tekintse meg sorozatunk többi részét:

• SpotX GDPR munkacsoportja
• Mi a GDPR? Amit a hirdetési technológiáról és az általános adatvédelmi rendeletről tudni kell
• GDPR: Top 7 dolog, amit a kiadóknak meg kell tenniük a védelem érdekében
• Hogyan kell gondolkodniuk az amerikai székhelyű vállalatoknak a GDPR-ről
• Miért kell az amerikai vállalatoknak törődniük a PII, a nem-PII és a személyes adatokkal
• Mi az a “beépített és alapértelmezett adatvédelem”, és hogyan segíthet nehéz döntéseket hozni a GDPR utáni világban?
• Hogyan fogja a GDPR megszorítani a Google és a Facebook markát a globális hirdetési dollárok felett – Hát nem ironikus?
• Vlog: Jessica Berman vezető termékmenedzser a GDPR-ról