Przetwarzanie danych osobowych jest niezbędne w działalności zdecydowanej większości firm.
Sprzedaż produktów lub usług wymaga zebrania danych osobowych klientów w celu składania i realizacji zamówień, zatrudnianie pracowników nieodłącznie wiąże się z przetwarzaniem ich danych, a działania marketingowe firmy polegające na wysyłce informacji handlowej drogą elektroniczną wymagają pozyskiwania do bazy adresów e-mail, które uznaje się za dane osobowe.
Ponieważ firmy to organizacje nastawione na zysk, a źródłem zysku jest sprzedaż, informacje na temat aktualnych lub potencjalnych klientów mają dla nich określoną wartość. Firma, która zna własnych klientów i ich preferencje, jest w stanie lepiej dostosować swoją ofertę do ich rzeczywistych potrzeb. Przykładowo, księgarnia internetowa, która przechowuje i analizuje informacje o zrealizowanych zamówieniach, może stworzyć na ich podstawie profil czytelnika i wyświetlać mu oferty nowości wydawniczych, które są zgodne z jego zainteresowaniami. Na takich zasadach działa system rekomendacji w amerykańskim serwisie Amazon.
Dysponowanie przez firmę informacjami na temat odbiorców swoich towarów lub usług może oznaczać dla niej konkretne korzyści. Czy jednak fakt posiadania rozbudowanych zasobów informacyjnych, wykraczających poza cel przetwarzania danych o klientach w postaci realizacji składanych zamówień, zawsze jest dla firmy atutem? Odpowiedź brzmi „nie”. Wiedza jest bowiem bezużyteczna, jeżeli firma nie potrafi właściwie z niej korzystać.
Powyższe pytanie jest bardzo aktualne także w kontekście RODO. Unijne rozporządzenie o ochronie danych osobowych zakazuje bowiem przetwarzania danych w zakresie nadmiernym, tj. wykraczającym poza realizowany przez administratora cel przetwarzania. Cel ten nie może być sformułowany ogólnie, lecz powinien być maksymalnie jasny i konkretny, a także zakomunikowany osobie, której dane są przetwarzane. Na gruncie RODO obowiązuje zasada minimalizacji danych, co oznacza, że administrator nie może przetwarzać danych osobowych, które nie są niezbędne do realizacji celu przetwarzania.
Informacje stanowią kapitał wiedzy, dlatego niektórzy menedżerowie uważają, że im więcej danych firma posiada, tym lepiej. Wychodzą oni z założenia, że mogą się one kiedyś przydać, choć na chwilę obecną nie wiadomo jeszcze do jakich celów. Takie podejście będzie dość ryzykowne w kontekście RODO. Rozporządzenie wyklucza bowiem możliwość gromadzenia danych osobowych „na zapas”. Jeżeli firma decyduje się zbierać dane osobowe, każdorazowo musi określić jednoznacznie cele ich przetwarzania.
Zasoby informacyjne firmy, które zawierają dane osobowe, powinny być poddane procesom, które zapewnią realizację zasad przetwarzania danych osobowych i obowiązków administratora. Wśród nich należy wymienić m.in.:
- udzielanie jasnej i pełnej informacji o operacjach przetwarzania danych osobom, których dane dotyczą,
- dokładanie starań, aby przetwarzane dane osobowe były poprawne i aktualne,
- usuwanie danych osobowych po zrealizowaniu celu przetwarzania.
Jeżeli firma nie wdroży mechanizmów, które będą realizować powyższe cele, to nie tylko narazi się na zarzut naruszenia RODO, ale osiągnie taki skutek, że jej zasoby informacyjne, mimo iż będą się cały czas rozrastać, to korzystanie z nich będzie utrudnione i niepewne. Nadmiar danych, w szczególności gdy są one nieuporządkowane lub nieaktualne, przestaje być dla firmy atutem, a staje się obciążeniem. Najlepsze oprogramowanie do analizy danych nie dostarczy właściwych informacji jeżeli będzie pracować na błędnych danych, które zostały wprowadzone do systemu.
Zasoby informacyjne mogą być ważnym aktywem firmy, pod warunkiem, że jej lider wie, jak zarządzać wiedzą z korzyścią dla kierowanej przez siebie organizacji. Najlepsza wiedza ma dla nas niewielką wartość, jeżeli nie wiemy, które informacje są naprawdę ważne i nie potrafimy z nich korzystać w praktyce.
Jednym z tragicznych przykładów na to, że dysponowanie ogromną bazą informacji niekoniecznie przekłada się na skuteczność w realizacji zamierzonych celów, były zamachy terrorystyczne na World Trade Center z 2001 r. Amerykańskie służby wywiadowcze posiadały wielkie ilości danych, jednak nie było to wystarczające, aby zapobiec aktowi terroru. Problemem okazał się brak skutecznych narzędzi do analizy zgromadzonych danych oraz wyciągania praktycznych wniosków z posiadanych informacji.
Po zamachach na WTC wprowadzone zostały zmiany w prawie amerykańskim, tzw. Patriot Act, który umożliwił jeszcze większą ingerencję służb wywiadowczych Stanów Zjednoczonych w prywatność jednostek. Cel w postaci zapewnienia bezpieczeństwa publicznego jest nadrzędny, jednak sam fakt posiadania przez służby ogromnych ilości danych osobowych – jak pokazał 11 września 2001 r. – nie jest wystarczający dla jego osiągnięcia.
Informacje, które firma uzyskuje w związku z oferowaniem i sprzedażą swoich produktów lub usług, warto wykorzystywać. W kontekście przepisów o ochronie danych osobowych sztuką jest jednak takie zarządzanie nową wiedzą, aby ze zgromadzonych w ramach prowadzonej działalności gospodarczej informacji można było korzystać, bez naruszania przepisów o ochronie danych osobowych i bez ryzyka dla praw i wolności osób, których dane dotyczą.
Należy sięgać po metody, które zwiększają bezpieczeństwo danych (czyli zmniejszają zagrożenie dla praw i wolności osób, których dane dotyczą), nie wykluczając jednak ogólnej analizy danych. RODO wymienia pseudonimizację jako jeden ze sposobów zwiększenia ochrony danych, ale nie jest to jedyna metoda. Firma może pozyskiwać wartość z informacji zgromadzonych w związku ze sprzedażą swoich produktów lub usług na rzecz osób fizycznych przez korzystanie z generalizacji i agregacji danych.
Jeżeli dane osobowe zostaną usunięte z dokumentacji papierowej lub systemu informatycznego albo poddane skutecznej anonimizacji, do dalszego przetwarzania pozostałych informacji przepisy RODO nie będą mieć zastosowania.