Dla wielu osób w świecie mediów i reklamy, szczególnie w Stanach Zjednoczonych, informacje umożliwiające identyfikację osoby (PII) od dawna nie są objęte ograniczeniami w zakresie gromadzenia i śledzenia. Podejmowane są znaczne wysiłki w celu wyznaczenia granicy pomiędzy PII a nie-PII, a nawet w celu zamaskowania lub pseudonimizacji PII w taki sposób, aby nie można było ich już zidentyfikować (a zatem aby można je było wykorzystać w marketingu). Jednak granica ta w Stanach Zjednoczonych ulega przesunięciu, a w Europie, gdzie GDPR ma wejść w życie 25 maja 2018 r., może ona w ogóle nie istnieć.

Co to jest PII?

Departament Obrony (DoDD 5400.11, 29 października 2014 r.) definiuje PII jako:

„Informacje używane do odróżnienia lub śledzenia tożsamości osoby fizycznej, takie jak imię i nazwisko, numer ubezpieczenia społecznego, data i miejsce urodzenia, nazwisko panieńskie matki, rekordy biometryczne, numery telefonów domowych, inne informacje demograficzne, personalne, medyczne i finansowe. PII obejmują wszelkie informacje, które są powiązane lub możliwe do powiązania z określoną osobą, samodzielnie lub w połączeniu z innymi informacjami osobowymi lub identyfikacyjnymi. Dla celów niniejszego wydania termin PII obejmuje również informacje osobowe oraz informacje w formie umożliwiającej identyfikację.”

Budując na tej definicji, większość agencji rządowych USA rozróżnia pomiędzy niewrażliwymi PII a wrażliwymi PII (które, jeśli zostaną ujawnione, mogą wyrządzić szkodę danej osobie). Ma to na celu ułatwienie odróżnienia informacji dostępnych publicznie od informacji bardziej potencjalnie szkodliwych, takich jak status obywatelstwa, przynależność religijna lub orientacja seksualna (DHS Guidebook). To, czy PII są wrażliwe czy nie, często zależy od kontekstu i interpretacji. Marketerzy i wydawcy są bardzo ostrożni, aby unikać korzystania z PII, a zamiast tego skupiają się na informacjach innych niż PII, aby reklamy były bardziej odpowiednie dla konsumentów.

Non-PII

Według Mobile Marketing Association informacje inne niż PII to „Informacje, które mogą odpowiadać konkretnej osobie, kontu lub profilowi, ale nie są wystarczające do zidentyfikowania, skontaktowania się lub zlokalizowania osoby, do której te informacje się odnoszą. Niekwalifikowany lead.” Przykładami takich informacji są:

• Device IDs
• Adresy IP
• Cookies
• Typ przeglądarki
• Szczegóły wtyczek
• Preferencje językowe
• Strefy czasowe

Analizując te informacje, firmy zajmujące się danymi są w stanie tworzyć szczegółowe profile konsumentów w celu przewidywania zainteresowań i zamiarów zakupu. Umożliwia to marketerom kierowanie do właściwych grup odbiorców odpowiednich reklam we właściwym miejscu i czasie.

Rozszerzenie PII

Ostatnio zwolennicy prywatności zaczęli przesuwać granicę między PII a nie-PII, aby zachęcić do ochrony większej ilości informacji. Na przykład, dyrektor FKH Jessica Rich wskazała, że trwałe identyfikatory prawdopodobnie powinny być uważane za PII. „Uważamy dane za „umożliwiające identyfikację osoby”, a tym samym gwarantujące ochronę prywatności, jeżeli można je w sposób uzasadniony powiązać z konkretną osobą, komputerem lub urządzeniem. W wielu przypadkach trwałe identyfikatory, takie jak identyfikatory urządzeń, adresy MAC, statyczne adresy IP lub pliki cookie spełniają ten warunek”. Przykłady podane przez FKH obejmują:

• Numer klienta przechowywany w pliku cookie
• Adres IP
• Numer seryjny procesora lub urządzenia
• Unikalny identyfikator urządzenia

Te dodatkowe trwałe identyfikatory znacznie rozszerzają zakres tego, co historycznie stanowiło PII i wskazują na zmniejszoną gotowość FKH do ignorowania nowoczesnych metod śledzenia.

Wszystko jest danymi osobowymi w ramach GDPR!

W kontekście unijnego rozporządzenia o prywatności GDPR rozróżnienie między PII i nie-PII nie ma znaczenia. W rzeczywistości można twierdzić, że prawie wszystko powinno być chronione jako dane osobowe w ramach GDPR. Zamiast testu „rozsądnego powiązania” stosowanego przez FTC, GDPR wprowadza rozróżnienie między danymi pseudonimowymi i anonimowymi. Ogólnie rzecz biorąc, dane pseudonimowe są chronione jako dane osobowe, natomiast dane anonimowe nie są. Jednak próg anonimowości jest trudny do pokonania przy jednoczesnym zachowaniu wartości dla marketerów. W rzeczywistości, Komisja prosi administratorów danych i podmioty przetwarzające dane o rozważenie „technologii dostępnej w czasie przetwarzania i rozwoju technologicznego” w celu określenia, czy podmiot danych (czytaj: osoba) może zostać wyodrębniony poprzez połączenie pseudonimów lub rozbieżnych danych. Zgodnie z tą definicją dane osobowe mają tak szeroki zakres, że administratorzy i podmioty przetwarzające mogą chcieć założyć, że większość ich danych jest danymi osobowymi, i od tego momentu działać wstecz.

Co teraz?

Po wejściu w życie GDPR w maju 2018 r. powinniśmy uznać, że wspólna amerykańska nomenklatura PII i Non-PII nie ma już zastosowania do znacznej części społeczności międzynarodowej. GDPR zmusza firmy na całym świecie, które przetwarzają dane z Europy, do ponownego przemyślenia i przeformułowania swoich polityk dotyczących danych. Chociaż Stany Zjednoczone mogą nigdy nie przyjąć GDPR w formie, w jakiej zostało napisane, nie możemy pozwolić sobie na ignorowanie zmian w świadomości prywatności i wysokiej poprzeczki ochrony danych osobowych w Europie.

Chcesz dowiedzieć się więcej o GDPR? Sprawdź pozostałe części naszej serii:

• SpotX’s GDPR Task Force
• Czym jest GDPR? Co musisz wiedzieć o Ad Tech i General Data Protection Regulation
• GDPR: Top 7 Things Publishers Should Do to Protect Themselves
• How US Based companies should be thinking about GDPR
• Why US companies should care about PII, non-PII, and Personal Data
• What is 'Privacy by Design and Default’ and how can it help me make tough choices in a post-GDPR world?
• Jak GDPR zacieśni kontrolę Google i Facebooka nad globalnymi reklamami – czyż to nie ironia?
• Vlog: Starszy menedżer produktu, Jessica Berman, mówi o GDPR

.