Każdy z nas pamięta początki pracy zdalnej – sytuacje, gdy nie można było nawiązać połączenia, spotkania były przerywane, bo zanikał obraz lub dźwięk, czy nawet gdy w kadrze niespodziewanie pojawiali się mistrzowie drugiego planu (tacy jak niekompletnie ubrani współlokatorzy lub rozrabiające dzieci). Na początku pierwszą potrzebą było jednak zabezpieczenie ciągłości biznesu. Dopiero potem większą uwagę zaczęto przywiązywać do ochrony treści i bezpieczeństwa danych osobowych przetwarzanych podczas wideokonferencji. Niestety mimo upływu trzech lat od wybuchu pandemii na próżno szukać rozwiązań prawnych. Ani w RODO, ani w innych przepisach organów europejskich nie uregulowano bowiem kwestii przetwarzania danych osobowych podczas wideokonferencji. Co prawda 29 stycznia 2020 roku Europejska Rada Ochrony Danych (EROD) wydała wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, lecz dotyczą one przede wszystkim monitoringu, w tym monitoringu wizyjnego. Niemniej może to być punkt odniesienia na przykład przy ustalaniu podstaw prawnych przetwarzania danych czy okresów ich przechowywania.
Bezpieczeństwo danych osobowych użytkownika podczas wideokonferencji
Informacje udostępniane przez uczestników wideokonferencji oraz osoby je prowadzące, np. imię, nazwisko, wizerunek, głos, e-mail, adres IP lub pliki cookies, stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO i podlegają ochronie. Z kolei organizowanie wideokonferencji, udostępnianie ich na żywo czy nagrywanie w celu późniejszej publikacji w internecie to nic innego jak przetwarzanie tych danych.
Urząd Ochrony Danych Osobowych w 2020 roku wydał instrukcję: „Jak bezpiecznie korzystać z wideokonferencji”. Dostarcza ona wartościowych wskazówek, które mogą pomóc w rozwiazywaniu problemów i wpłynąć na minimalizację zagrożeń związanych z bezpieczeństwem danych osobowych. Na początku wskazano, że przed rozpoczęciem jakiejkolwiek wideokonferencji użytkownik powinien zwrócić uwagę na kilka kluczowych aspektów, przede wszystkim zapoznać się z polityką prywatności i/lub regulaminem korzystania z serwisów wideokonferencji. Trzeba pamiętać, że dostawca usług wideokonferencji będzie przetwarzał dane osobowe użytkowników. Zatem wiedza o tym, jakie informacje gromadzi i w jaki sposób je przetwarza, jest niezwykle istotna.
Jak zatem można wnioskować z prezentowanych wywodów UODO, jeżeli z systemu wideokonferencji korzysta organizacja, to w celu zapewnienia odpowiedniego poziomu ochrony danych powinna zawrzeć umowę powierzenia przetwarzania danych (niektórzy dostawcy usług zamieszczają klauzule dotyczące powierzenia danych w swoich regulaminach, jednak warto to dokładnie sprawdzić). Równocześnie ważne jest zrozumienie, w jakim zakresie dostawca usług będzie działał jako odrębny administrator, a w jakim – jako podmiot przetwarzający. W kontekście nagrywania rozmów podstawą jest określenie celów, do których dane będą wykorzystywane, oraz uzyskanie odpowiednich zgód od użytkowników. Transparentność w tym zakresie jest kluczowa, aby uniknąć naruszenia zasad ochrony danych. Należy również zwrócić uwagę na to, czy dane, które są wymagane od użytkowników wideokonferencji, nie są zbierane w sposób nadmiarowy, np. czy użytkownik nie jest proszony o udostępnienie swojej lokalizacji albo listy kontaktów.
Urząd Ochrony Danych zaleca korzystanie z oficjalnych stron aplikacji do wideokonferencji. Dodatkowo użytkownik powinien sprawdzić, czy aplikacja zapewnia niezbędne środki bezpieczeństwa, takie jak szyfrowanie, oraz czy jest webowa (a nie desktopowa).
Wi-Fi, z którego następuje połączenie wideokonferencyjne, powinno być zabezpieczone silnym hasłem. Bezpieczeństwo danych osobowych użytkowników to priorytet, dlatego warto wybierać narzędzia od zaufanego dostawcy, który zadba o odpowiednią ochronę danych. Trzymając się zasady „ufaj i kontroluj”, dobrze jest także przeskanować program do wideokonferencji systemem antywirusowym albo antymalware’owym. Użytkownik powinien sprawdzić, czy osoby trzecie nie mają dostępu do ekranu, oraz zwrócić uwagę na to, czy podłączenie się do wideokonferencji nastąpiło za pomocą kodów dostępu lub PIN-ów.
W trakcie trwania wideokonferencji nie można zapomnieć o należytym zabezpieczeniu systemu. Zaleca się ograniczenie podawania danych osobowych do minimum (najlepiej używać pseudonimu oraz służbowego adresu e-mail). Hasło do wideokonferencji powinno być inne niż hasło do usług, z których korzysta się na co dzień (nie może być to np. hasło do banku czy do logowania się do prywatnej skrzynki e-mailowej). Warto również włączyć domyślną ochronę hasłem oraz zarządzać ustawieniami udostępniania ekranu. Linków do wideokonferencji nie powinno się udostępniać na różnych portalach, a w szczególności w mediach społecznościowych.
Przy wideokonferencjach służbowych zaleca się korzystanie z szyfrowanego połączenia VPN, aby zwiększyć bezpieczeństwo przesyłanych danych. Dokumenty służbowe udostępniane pozostałym uczestnikom wideokonferencji najbezpieczniej jest wysyłać w zaszyfrowanym e-mailu, a nie udostępniać na czacie. Podczas wideokonferencji wskazane jest korzystanie z opcji zamazywania tła, aby uniknąć możliwości udostępnienia osobom trzecim informacji poufnych, oraz z opcji „poczekalnia”, która pozwala na kontrolowanie uczestników spotkania. Przy logowaniu do wideokonferencji warto pamiętać o wyłączeniu kamery i mikrofonu (należy je włączać tylko w razie potrzeby). Po zakończeniu wideokonferencji użytkownik powinien wyłączyć mikrofon i kamerę, a następnie upewnić się, że zakończył spotkanie online, i zamknąć aplikację. Sprawdzenie, czy program do wideokonferencji nie działa w tle, również jest istotne dla ochrony danych.
Zastosowanie się do powyższych wskazówek może znacznie zwiększyć bezpieczeństwo korzystania z wideokonferencji . Dbanie o ochronę danych osobowych w trakcie tego typu spotkań jest kluczowe dla zachowania poufności i budowania zaufania zarówno wewnątrz organizacji, jak i w relacjach z klientami czy kontrahentami. Nasuwa się jednak pytanie, czy takie uniwersalne instrukcje, tworzone bez uregulowanych ram prawnych, będą wystarczające w dobie szybko rozwijających się technik komunikacyjnych.
Czy systemy wideokonferencyjne są zgodne z RODO
Bezpieczeństwo danych osobowych uczestników wideokonferencji stało się palącym problemem szczególnie dla dużych korporacji zarządzających komunikatorami i systemami wideokonferencyjnymi. Chociaż mają one polityki prywatności i regulaminy korzystania z usług, to często dokumenty te są sformułowane zbyt ogólnie, co może budzić wątpliwości użytkowników związane z bezpieczeństwem ich danych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zasadniczą kwestią jest dokładna analiza treści umowy z dostawcą, zwłaszcza jeśli korzysta się z usług chmurowych świadczonych przez międzynarodowe koncerny. To zadanie może być trudne, ponieważ wymaga zrozumienia skomplikowanych relacji prawnych, identyfikacji podwykonawców oraz określenia warunków dotyczących cesji praw i obowiązków. Przed podpisaniem umowy lub zaakceptowaniem warunków korzystania z usługi wideokonferencji ważne jest upewnienie się, że właściciel systemu jest w stanie zapewnić przestrzeganie obowiązku informacyjnego oraz przestrzeganie praw osób, których dane dotyczą. Uwagę należy zwrócić na dane pracowników. Organizacje – jako administratorzy zarządzający tymi danymi – mają obowiązek czuwać nad ich bezpieczeństwem. Istotne jest także to, aby na etapie wdrażania systemów wideokonferencyjnych (privacy by desig) korzystały one z wiedzy i doświadczenia swoich inspektorów ochrony danych.
Cele przetwarzania danych w systemach wideokonferencyjnych
Istnieje wiele celów przetwarzania danych uczestników w systemach wideokonferencyjnych, np. transmisja na żywo, dalsza publikacja w internecie, udostępnianie ekranu oraz aktywne uczestnictwo gości przez komentowanie czy zadawanie pytań. Niezwykle istotne jest to, aby dane uczestników wideokonferencji nie były wykorzystywane w sposób niezgodny z pierwotnymi celami przetwarzania. Przykładowo nie można wykorzystywać tych danych do celów marketingowych czy do realizacji interesów dostawców systemów wideokonferencyjnych, takich jak poprawa jakości usług.
Zasada minimalizacji danych odgrywa kluczową rolę zarówno podczas zbierania danych, jak i późniejszego ich przetwarzania. Oznacza to, że należy gromadzić i przetwarzać tylko te dane, które są niezbędne do osiągnięcia określonych celów, a unikać zbierania informacji nadmiarowych. Opierając się na kilkuletnim doświadczeniu aktywnego uczestnictwa w wideokonferencjach, można wskazać „typowe” dane, które są przetwarzane, takie jak adres e-mail, imię (ewentualnie pseudonim użytkownika), wizerunek, głos oraz adres IP. Dlatego też udostępnianie lokalizacji uczestnika czy nawet przetwarzanie jego wizerunku lub głosu w przypadku, gdy faktycznie nie bierze on udziału w dyskusji podczas wideokonferencji, należy poddać wnikliwej analizie bądź wręcz uznać za nadmiarowe.
Warto podkreślić, że w celu zapewnienia odpowiedniego poziomu bezpieczeństwa wideokonferencji organizatorzy i dostawcy usług powinni nie tylko przestrzegać zasady minimalizacji danych, lecz także stosować przemyślane podejście do przetwarzania danych uczestników. Odpowiednie zarządzanie danymi osobowymi w wideokonferencjach to decydujący element w budowaniu zaufania użytkowników i spełnianiu wymogów przepisów o ochronie danych, w szczególności RODO.
Podstawa prawna przetwarzania danych w systemach wideokonferencyjnych
Przetwarzanie danych osobowych (m.in. wizerunku) podczas wideokonferencji należy określić jako zgodne z przepisami o ochronie danych, jeśli spełniony jest co najmniej jeden z warunków wymienionych w art. 6 ust. 1 RODO. Przesłanki te co do zasady są równoprawne. Zatem dla wykazania prawidłowości przetwarzania danych osobowych nie zawsze wymagana jest zgoda osoby, której dane dotyczą, można bowiem powołać się na inną z przesłanek wymienionych w art. 6 ust. 1 RODO. Do najczęściej stosowanych podstaw prawnych przetwarzania danych podczas wideokonferencji należą:
- realizacja umowy (art. 6 ust. 1 lit. b RODO) – jeżeli przetwarzanie danych jest niezbędne do wykonania umowy, której użytkownik jest stroną, lub do podjęcia działań na żądanie osoby przed zawarciem umowy,
- zgoda (art. 6 ust. 1 lit. a RODO) – jeśli uczestnicy wideokonferencji wyrazili wyraźną i dobrowolną zgodę na przetwarzanie swoich danych osobowych m.in. w celu nagrywania sesji lub w innym celu związanym z wideokonferencją,
- uprawniony interes administratora (art. 6 ust. 1 lit. f RODO) – w niektórych przypadkach przetwarzanie danych osobowych podczas wideokonferencji może być niezbędne do celów wynikających z uzasadnionego interesu administratora danych lub strony trzeciej, o ile nie narusza to podstawowych praw i wolności uczestników (ten interes musi być wyważony z prawami i interesami uczestników),
- wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c RODO) – czasami przetwarzanie danych może być wymagane do spełnienia obowiązku prawnego ciążącego na administratorze danych.
Powołanie się na przesłankę z art. 6 ust. 1 lit. b RODO można rozważać np. w przypadku przetwarzania danych pracowników. Dotyczy to w szczególności tych osób, które w codziennej pracy prowadzą szkolenia, konferencje czy inne wystąpienia publiczne, ale też pracowników, którzy odbywają spotkania biznesowe w formie zdalnej. Natomiast gdy przetwarzanie wizerunku w połączeniu z danymi zwykłymi następuje w innych celach niż cele objęte treścią stosunku pracy, wówczas można rozważać zastosowanie przesłanki zgody z art. 6 ust. 1 lit. a RODO. Co prawda EROD w swoich wytycznych 05/2020 w sprawie zgody sceptycznie podchodzi do tej przesłanki z uwagi na podległość stosunku pracy i zagrożenie braku dobrowolności zgody, lecz nie oznacza to, że pracodawcy nigdy nie mogą polegać na zgodzie jako zgodnej z prawem podstawie przetwarzania. Jako przykład EROD wskazuje sytuację, gdy podczas filmowania części biura pracownicy, którzy nie chcą być na nagraniu, mogą w tym czasie pracować w innych pomieszczeniach. Z kolei uzasadniony interes dostawcy rozwiązań wideokonferencyjnych jest ograniczony zwłaszcza wtedy, gdy dostawca przetwarza dane dotyczące sposobu korzystania z systemów wideokonferencyjnych w celu realizacji swoich własnych korzyści, np. związanych z doskonaleniem jakości świadczonych usług. Jest to szczególnie istotne w przypadku modeli usług typu SaaS (Software as a Service) lub dostarczania programów przez dostawcę.
Należy podkreślić, że to na administratorze spoczywa obowiązek każdorazowej oceny podstawy przetwarzania danych. Dlatego też jako organizator wideokonferencji powinien mieć on jasno określoną podstawę prawną przetwarzania danych, informować o niej uczestników na początku spotkania oraz zapewnić przetwarzanie danych zgodnie z zasadami wskazanymi w art. 5 RODO. W szczególności dotyczy to ograniczenia dostępu do danych osobowych, bezpiecznego ich przechowywania, jak również nieprzechowywania ich przez okres dłuższy, niż jest to niezbędne. Cenne jest zatem, aby administrator stworzył procedury, z których będzie wynikał termin i sposób usuwania informacji zawierających dane osobowe oraz w których będą wskazane zasady dokonywania przeglądów przetwarzanych danych.
Przekazywanie danych do państw trzecich o obniżonym poziomie ochrony danych
Jak bumerang powraca temat możliwego transferu danych osobowych z wideokonferencji poza UE i EOG, w szczególności do USA, gdzie swoje siedziby mają kluczowi gracze biznesu, tacy jak Microsoft (obsługujący aplikację Teams). W większości przypadków usługi chmurowe oferowane przez amerykańskich dostawców opierają się na standardowych klauzulach umownych, które mają na celu zabezpieczenie danych (wyjątkiem mogą być firmy wpisane na listę podmiotów na podstawie ostatniej decyzji Komisji Europejskiej w sprawie Data Privacy Framework). Warto jednak zaznaczyć, że nawet jeśli większość operacji przetwarzania danych odbywa się w Europie, to nie można całkowicie wykluczyć dostępu ze strony spółek dominujących znajdujących się w państwach trzecich.
Praca dobrymi narzędziami RODO to nie praca!
Niemieckie organy nadzorcze zwracają uwagę, że obecnie stosowane zabezpieczenia, takie jak szyfrowanie w trakcie przesyłania czy na nośnikach danych, nie są wystarczające w przypadku systemów wideokonferencyjnych. W rezultacie korzystanie z usług chmurowych oferowanych przez międzynarodowych dostawców jest często niezgodne z obowiązującym prawem. Dlatego administratorzy korzystający z wideokonferencji powinni dokładnie sprawdzić, czy oferowane rozwiązania zapewniają odpowiednie zabezpieczenia danych osobowych, zwłaszcza w przypadku transferu poza UE i EOG. Przedstawiciele niemieckich organów danych odradzają korzystanie z ofert globalnych korporacji i zalecają wybieranie rozwiązań europejskich, które zostały oparte na odpowiednio zabezpieczonych umowach, lub samodzielne organizowanie systemów wideokonferencyjnych. Niemniej takie rozwiązania mogą być problematyczne i kosztowne dla administratorów.
Podsumowanie
Rosnąca popularność powszechnie dostępnych platform wideokonferencyjnych może stanowić duże zagrożenie dla bezpieczeństwa danych osobowych uczestników. Odpowiednie zarządzanie danymi oraz przestrzeganie zasady minimalizacji danych to działania kluczowe dla ochrony prywatności. Organizacje powinny dokładnie sprawdzić umowy z dostawcami, aby zapewnić zgodność z RODO i właściwe zabezpieczenia danych. Ważne jest, aby przed wideokonferencją zapoznać się z polityką prywatności dostawcy i uzyskać zgodę użytkowników na przetwarzanie danych osobowych. Zarządzanie danymi uczestników, zwracanie uwagi na bezpieczeństwo połączenia i korzystanie z oficjalnych stron aplikacji to niezbędne kroki w zachowaniu bezpieczeństwa danych.
Ogromnym wyzwaniem jest przekazywanie danych osobowych do państw trzecich o obniżonym poziomie ochrony danych. Organizacje powinny wybierać rozwiązania europejskie lub dokładnie analizować zabezpieczenia oferowane przez globalne korporacje. Dbanie o bezpieczeństwo danych osobowych podczas wideokonferencji pozwala bowiem minimalizować ryzyko naruszenia prywatności uczestników i budować zaufanie w relacjach biznesowych. Jednocześnie warto zwrócić uwagę na rozwój ram prawnych, aby dostosować się do szybko rozwijającej się technologii.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jakie działania powinna podjąć organizacja w celu zapewnienia bezpieczeństwa danych osobowych uczestników wideokonferencji?