Wytyczne UODO dotyczące ochrony danych osobowych podczas wideokonferencji
Urząd Ochrony Danych Osobowych opublikował oficjalne wytyczne z zakresu ochrony danych osobowych w kontekście prowadzenia wideokonferencji. Ochrona danych osobowych w trakcie wideokonferencji jest kluczowa. Jeśli chodzi o ochrona danych osobowych wideokonferencje, na co powinniśmy zwracać szczególną uwagę?
Ochrona danych osobowych a wideokonferencje
Kwestia ochrony danych osobowych w kontekście wideokonferencji nie jest wprost regulowana przepisami ogólnego rozporządzenia RODO. Wobec tego ważne jest przyjęcie pewnych standardów. Jest to szczególnie istotne dla przedsiębiorców czy pracodawców.
Podczas komunikacji na odległość zazwyczaj dochodzi do sytuacji, w których uczestnicy udostępniają informacje o sobie, m.in.: imię, nazwisko, wizerunek, pseudonim i numer IP. Także informacje zawarte w cookies będące w rozumieniu art. 4 pkt 1) RODO danymi osobowymi podlegającymi ochronie.
Dane osobowe w kontaktach prywatnych i służbowych
W zakresie rozmów prywatnych wykonywanych w celach osobistych nie spotykamy się z tym problemem. Rozporządzenie RODO nie ma bowiem zastosowania do takich sytuacji. Podstawowym pytaniem jest więc to, jakie dane osobowe można przetwarzać w sytuacjach służbowych. Ważne jest też pytanie, na jakiej podstawie prawnej powinno się to odbywać, aby przetwarzanie było zgodne z rozporządzeniem RODO.
Podmioty udostępniające narzędzia do wideokonferencji biznesowych odnotowują w ostatnich tygodniach rosnące zainteresowanie swoimi produktami. Z narzędzi korzystają wszyscy — nauczyciele podczas lekcji zdalnych oraz firmy w swojej bieżącej działalności. Często robią to jednak bez świadomości aspektów prawnych, jakie się z tym wiążą.
Zapoznanie się z polityką prywatności dostawcy
Pierwszą ze wskazówek, która została zawarta w nowych wytycznych, jest zapoznanie się z obowiązującymi politykami prywatności lub regulaminami korzystania z serwisów do komunikacji zdalnej. Należy pamiętać, że dostawca usług wideokonferencji również będzie przetwarzać dane osobowe użytkowników.
Warto się zastanowić nad kwestią zawarcia stosownej umowy powierzenia przetwarzania, jeśli do takiego powierzenia będzie dochodzić. Często dostawcy usług wideokonferencji zawierają pewne postanowienia dotyczące powierzenia w swoich regulaminach.
Pamiętając o zasadzie privacy by design, musimy skutecznie chronić dane osobowe naszych pracowników czy rozmówców. W tym duchu należy dokonać wyboru odpowiedniego narzędzia – najlepiej od dostawcy, który będzie nasze dane chronił w dostateczny sposób.
Dostawca usług wideokonferencji musi dawać rękojmię należytego przetwarzania danych osobowych – zarówno w zakresie, w którym jest samodzielnym administratorem, jak i gdy pełni rolę podmiotu przetwarzającego.
Zasady udziału w spotkaniach online
Firmy stosujące wideokonferencje powinny wprowadzić określone zasady udziału w wewnętrznych spotkaniach. Warto ustalić, jakie dane można podawać, jakie nie, i jak można wykorzystywać narzędzia wideokonferencji.
Istotne jest, by np. określić, że nagrywanie takich wideokonferencji jest zabronione. Dotyczy to zarówno obrazu, jak i głosu. Utrwalenie wizerunku lub głosu stanowi już przetwarzanie danych osobowych.
Warto pamiętać, iż polityka prywatności dostawcy usługi wideokonferencji to nie wszystko. Musimy zadbać o spełnienie obowiązków informacyjnych z art. 13 i 14 RODO, w tym zebranie stosownych zgód.
Gdy musimy dokonać zapisu przebiegu wideokonferencji, pamiętajmy o zgodach na utrwalenie wizerunku lub głosu. Dzięki nim możemy legalnie udostępnić zapis spotkania np. na stronie internetowej firmy.
Techniczne zabezpieczenia danych podczas wideokonferencji
Urząd wskazuje, że dla zabezpieczenia danych konieczne jest stosowanie haseł lub metod autoryzacyjnych. Do tego celu dobrze sprawdzają się kody PIN lub służbowe hasła.
Warto także poinstruować pracowników, aby nie publikowali niepotrzebnie informacji w trakcie wideo-czatu. Urząd wskazuje także na możliwość korzystania z funkcji zamazanego tła, co chroni dane o miejscu pobytu.
Od naszej staranności zależy, czy umożliwimy osobom niepożądanym udział w spotkaniu. Ważne jest, by nie udostępniać linków do połączenia publicznie.
Ataki można ograniczyć poprzez korzystanie z aplikacji webowych i bezpiecznych połączeń VPN. Należy również odpowiednio zabezpieczyć połączenie internetowe silnym hasłem i dbać o bezpieczeństwo dokumentów udostępnianych podczas rozmowy.