Varför amerikanska företag bör bry sig om PII, icke-PII och personuppgifter
För många i medie- och reklamvärlden, särskilt i USA, har personligt identifierbar information (PII) länge varit förbjudet att samla in och spåra. Betydande ansträngningar görs för att dra en gräns mellan PII och icke-PII, och till och med för att maskera eller pseudonymisera PII på ett sådant sätt att den inte längre är identifierbar (och därför kan användas för marknadsföring). I USA är gränsen dock på väg att ändras och i Europa, där GDPR träder i kraft den 25 maj 2018, finns den kanske inte alls.
Vad är PII?
Försvarsdepartementet (DoDD 5400.11, 29 oktober 2014) definierar PII som:
”Information som används för att särskilja eller spåra en individs identitet, t.ex. namn, socialförsäkringsnummer, födelsedatum och födelseort, moderns flicknamn, biometriska uppgifter, telefonnummer till hemmet, annan demografisk, personalrelaterad, medicinsk och finansiell information. PII omfattar all information som är kopplad eller kan kopplas till en specificerad individ, ensam eller i kombination med annan personlig eller identifierande information. I detta utfärdande omfattar termen PII även personlig information och information i identifierbar form.”
Med utgångspunkt i denna definition skiljer de flesta amerikanska myndigheter mellan icke-känslig PII och känslig PII (som, om den avslöjas, skulle kunna orsaka skada för individen). Detta för att hjälpa till att skilja offentligt tillgänglig information från mer potentiellt skadlig information, t.ex. medborgarskapsstatus, religiös tillhörighet eller sexuell läggning (DHS Guidebook). Huruvida PII är känslig eller inte kan ofta bero på sammanhang och tolkning. Marknadsförare och utgivare är mycket noga med att undvika att använda PII och fokuserar istället på icke-PII för att göra annonser mer relevanta för konsumenterna.
Non-PII
Enligt Mobile Marketing Association är icke-PII ”Information som kan motsvara en viss person, ett visst konto eller en viss profil, men som inte räcker för att identifiera, kontakta eller lokalisera den person som informationen avser. Icke-kvalificerade ledtrådar.” Exempel på detta är:
- Enhets-ID
- IP-adresser
- Cookies
- Browsertyp
- Plug-in uppgifter
- Språkpreferenser
- Tidszoner
Genom att analysera denna information kan dataföretag skapa detaljerade profiler av konsumenter i syfte att förutsäga intresse och köpsintention. Detta gör det möjligt för marknadsförare att rikta sig till rätt målgrupper med relevanta annonser på rätt plats vid rätt tidpunkt.
PII:s expansion
Privatlivsförespråkare har på senare tid börjat flytta gränsen mellan PII och icke-PII för att uppmuntra till skydd av mer information. FTC:s direktör Jessica Rich angav till exempel att persistenta identifierare sannolikt bör betraktas som PII. ”Vi anser att uppgifter är ”personligt identifierbara”, och därmed berättigar till integritetsskydd, när de rimligen kan kopplas till en viss person, dator eller enhet. I många fall uppfyller bestående identifierare som enhetsidentifierare, MAC-adresser, statiska IP-adresser eller cookies detta krav. Exempel från FTC är:
- Kundnummer i en cookie
- IP-adress
- Processorns eller enhetens serienummer
- Utomatiskt enhets-ID
Dessa ytterligare beständiga identifierare innebär en betydande utvidgning av vad som historiskt sett utgjort PII och visar på FTC:s minskade vilja att ignorera moderna spårningsmetoder.
Allt är personuppgifter enligt GDPR!
I samband med EU:s integritetsförordning GDPR spelar skillnaden mellan PII och icke-PII ingen roll. Faktum är att man kan hävda att nästan allting bör skyddas som personuppgifter enligt GDPR. I stället för FTC:s test för ”rimlig koppling” skiljer GDPR mellan pseudonyma och anonyma uppgifter. I stort sett är pseudonyma uppgifter skyddade som personuppgifter medan anonyma uppgifter inte är det. Tröskeln för att vara anonym är dock utmanande att övervinna samtidigt som värdet för marknadsförare bibehålls. I själva verket uppmanas registeransvariga och registerförare att ta hänsyn till ”tillgänglig teknik vid tidpunkten för behandlingen och den tekniska utvecklingen” för att avgöra om en registrerad (läs: person) skulle kunna särskiljas genom att kombinera pseudonyma eller olikartade uppgifter. Enligt denna definition har personuppgifter en sådan bredd att registeransvariga och registerförare kanske vill anta att de flesta av deras uppgifter är personuppgifter och arbeta bakåt därifrån.
Vad händer nu?
Med GDPR som träder i kraft i maj 2018 bör vi inse att den vanliga amerikanska nomenklaturen för PII och Non-PII inte längre är tillämplig på en betydande del av det internationella samfundet. GDPR tvingar företag över hela världen som hanterar europeiska data att tänka om och omarbeta sina datapolicyer. Även om USA kanske aldrig kommer att anta GDPR som den är skriven, har vi inte råd att ignorera skiftet till medvetenhet om integritet och den höga ribban för skydd av personuppgifter i Europa.
Vill du veta mer om GDPR? Kolla in resten av vår serie:
- SpotX’s GDPR Task Force
- Vad är GDPR? Vad du behöver veta om Ad Tech och den allmänna dataskyddsförordningen
- GDPR: Hur amerikanska företag bör tänka på GDPR
- Varför amerikanska företag bör tänka på GDPR
- Varför amerikanska företag bör bry sig om PII, icke-PII och personuppgifter
- Vad är ”Privacy by Design and Default” och hur kan det hjälpa mig att göra svåra val i en värld efter GDPR?
- Hur GDPR kommer att skärpa Googles och Facebooks grepp om globala reklampengar – Är det inte ironiskt?
- Vlogg: Jessica Berman talar om GDPR