Urząd Ochrony Danych Osobowych opublikował oficjalne wytyczne z zakresu ochrony danych osobowych w kontekście prowadzenia wideokonferencji. Na co powinniśmy zwracać szczególną uwagę?
Kwestia ochrony danych osobowych w kontekście wideokonferencji nie jest wprost regulowana przepisami ogólnego rozporządzenia RODO, wobec czego ważne jest przyjęcie pewnych standardów. Jest to szczególnie istotne dla przedsiębiorców czy pracodawców, ponieważ podczas komunikacji na odległość zazwyczaj dochodzi do sytuacji, w których uczestnicy udostępniają informacje o sobie m.in.: imię, nazwisko, wizerunek, pseudonim, numer IP czy informacje zawarte w cookies, będące w rozumieniu art. 4 pkt 1) RODO danymi osobowymi podlegającymi ochronie.
W zakresie rozmów prywatnych wykonywanych w celach osobistych nie spotykamy się z tym problemem, ponieważ rozporządzenie RODO nie ma zastosowania do takich sytuacji. Podstawowym pytaniem jest więc to, jakie dane osobowe można przetwarzać w sytuacjach służbowych i na jakiej podstawie prawnej powinno się to odbywać, aby przetwarzanie było zgodne z rozporządzeniem RODO.
Podmioty udostępniające narzędzia do wideokonferencji biznesowych odnotowują w ostatnich tygodniach rosnące zainteresowanie swoimi produktami. Z narzędzi korzystają wszyscy – zarówno nauczyciele podczas lekcji zdalnych, jak i firmy w swojej bieżącej działalności. Często robią to jednak bez świadomości aspektów prawnych, jakie się z tym wiążą.
Pierwszą ze wskazówek, która została zawarta w nowych wytycznych, jest zapoznanie się z obowiązującymi politykami prywatności lub regulaminami korzystania z serwisów do komunikacji zdalnej. Należy pamiętać, że dostawca usług wideokonferencji również będzie przetwarzać dane osobowe użytkowników. W związku z tym warto się zastanowić nad kwestią zawarcia stosownej umowy powierzenia przetwarzania, jeśli do takiego powierzenia będzie dochodzić. Często dostawcy usług wideokonferencji zawierają pewne postanowienia dotyczące powierzenia w swoich regulaminach. Należy zwrócić uwagę, w jakim zakresie dostawca usług wideokonferencji będzie osobnym administratorem, a w jakim podmiotem przetwarzającym np. pracodawcy chcącego w ten sposób zorganizować komunikację w organizacji.
Pamiętając o zasadnie privacy by design musimy skutecznie chronić dane osobowe naszych pracowników czy rozmówców, i w tym duchu należy dokonać wyboru odpowiedniego narzędzia – najlepiej od dostawcy, który będzie nasze dane chronił w dostateczny sposób. Dostawca usług wideokonferencji musi dawać rękojmie należytego przetwarzania danych osobowych, w zakresie w którym jest samodzielnym administratorem lub jeśli ma pełnić rolę podmiotu przetwarzającego.
Firmy stosujące widokonferencje powinny wprowadzić określone zasady udziału w wewnętrznych spotkaniach, w tym jakie dane można podawać, jakie nie, i jak można wykorzystywać narzędzia widokonferencji. Istotne jest by np. określić, że nagrywanie takich wideokonferencji jest zabronione -zarówno jeśli chodzi o obraz, jak i głos. To również dane osobowe. Ma to znaczenie w zakresie zasady ograniczenia przetwarzania danych osobowych i minimalizacji danych, a także samej definicji przetwarzania danych osobowych z art. 4 pkt 2) RODO. Utrwalenie wizerunku lub głosu bowiem stanowi już przetwarzanie danych. Pamiętajmy, że dane osobowe przetwarzamy tylko wtedy, gdy jest to niezbędne do osiągnięcia danego celu i tylko w adekwatnym zakresie, również w trakcie rejestracji do konferencji dane nie powinny być zbierane nadmiarowo.
Warto pamiętać, iż polityka prywatności dostawcy usługi wideokonferencji to nie wszystko i musimy zadbać o spełnienie obowiązków informacyjnych z art. 13 i 14 RODO, w tym zebranie stosownych zgód. Gdy do osiągnięcia celów musimy dokonać zapisu przebiegu wideokonferencji lub nawet samego głosu pamiętajmy o stosownych zgodach na utrwalenie wizerunku lub głosu. Dzięki nim będziemy mogli udostępnić zapis przeprowadzonego spotkania np. na stronie Internetowej firmy. Takie zapisy powinny także zostać objęte tajemnicą przedsiębiorstwa.
Urząd wskazuje, że dla zabezpieczenia danych w praktyce konieczne jest stosowanie haseł lub odpowiednich metod autoryzacyjnych służących do umożliwienia zapoznania się z informacjami przekazywanymi podczas spotkań tylko osobom upoważnionym. Do tego celu dobrze sprawdzą się kody PIN lub służbowe hasła. Warto także poinstruować swoich pracowników, aby nie publikowali niepotrzebnie pewnych informacji w trakcie wideo-czatu w polach do tego przeznaczonych. Urząd wskazuje także, że można korzystać funkcji zamazanego tła, gdy chcemy chronić informację o tym, gdzie przebywamy. Pamiętajmy, że dane o lokalizacji również stanowią przedmiot ochrony na gruncie RODO.
Od naszej staranności zależy, czy umożliwimy osobom niepożądanym udział w spotkaniu (udostępniając link do połączenia w miejscu publicznie dostępnym – np. w mediach społecznościowych) oraz czy wybierzemy bezpiecznego dostawcę Internetu i należycie zabezpieczymy nasze połączenie silnym hasłem. Ataki z zewnątrz można ograniczyć, jeśli korzystamy z aplikacji webowych i nie instalujemy oprogramowania na naszym służbowym lub prywatnym komputerze, ponieważ te platformy są lepiej chronione niż nasze komputery.
Urząd zwraca uwagę, że gdy decydujemy się na formę zdalnego kontaktu, jaką jest wideokonferencja, należy korzystać z funkcji programów, które obejmują możliwość wyboru uczestników (opcja „poczekalnia”) lub możliwości ograniczenia korzystania z kamery lub mikrofonu tylko do sytuacji, gdy jest to niezbędne, a także zarządzania ustawieniami ekranu. Nie narażajmy też naszych dokumentów poprzez udostępnianie ich w niekontrolowany sposób, uporządkujmy pulpit i zadbajmy, by nie narażać plików na niepotrzebne udostępnienie, zwłaszcza, gdy mogą zawierać dane prawnie chronione. Zaczynając i kończąc pracę zdalną można dodatkowo stosować bezpieczne połączenia VPN, aby zminimalizować ryzyko utraty informacji