Na stronie Urzędu Ochrony Danych Osobowych zostały udostępnione oficjalne wytyczne z prowadzenia wideokonferencji. Organ uznał, że konieczne jest wyznaczenie pewnych standardów, gdyż kwestia prowadzenia posiedzeń online nie jest wprost regulowana przez RODO. Problem zyskuje na znaczeniu, gdy przetwarzane są dane osobowe w ramach komunikacji wewnątrz organizacji lub w relacjach z podmiotami z zewnątrz. Jako że konferencje online są również organizowane w ramach codziennej pracy administracji publicznej, podpowiadamy, o co trzeba szczególnie zadbać
▶Czy z dostawcą usług wideokonferencji należy podpisać umowę dotyczącą ochrony danych osobowych?
Warto zastanowić się, w jakim zakresie dostawca usług wideokonferencji będzie osobnym administratorem, a w jakim podmiotem przetwarzającym. Jeżeli w wyniku tej analizy uznamy, że dojdzie do przetwarzania danych osobowych uczestników wideokonferencji, to należy sprawdzić, czy dostawca spełnia kryteria wskazane w art. 28 ust. 1 RODO. A więc czy posiada odpowiednie środki techniczne i organizacyjne, które zagwarantują, że owo przetwarzanie będzie spełniało wymogi, a także będą odpowiednio chronione prawa osób, których te dane dotyczą. Gdy korzystamy z narzędzia do prowadzenia rozmów i spotkań na odległość na większą skalę oraz gdy nie mamy pewności, które dane mogą zostać wykorzystane przez dostawcę usługi, należy zastanowić się nad kwestią zawarcia stosownej umowy powierzenia przetwarzania. Możemy zacząć od zadania pytania firmie informatycznej, jak chroni dane osobowe, które udostępniamy jej w trakcie wideoczatu – będzie to pierwszy krok do zalegalizowania operacji przetwarzania i zawarcia umowy.
W niektórych przypadkach dostawcy usług świadczonych elektronicznie zawierają postanowienia dotyczące powierzenia danych w swoich regulaminach, jednak należy to do rzadkości.
▶Czym jest polityka prywatności i dlaczego ma istotne znaczenie dla usług wideoczatu?
UODO zawarł m.in. wskazówkę, by przed rozpoczęciem współpracy z dostawcą zapoznać się z obowiązującymi politykami prywatności lub regulaminami korzystania z serwisów do komunikacji zdalnej. Należy bowiem pamiętać, iż dostawca usług będzie przetwarzać dane osobowe użytkowników. Kwestią tą zajęła się także szczegółowo organizacja pozarządowa Nie Twoja Sprawa (ang. None Of Your Biznes – NOYB), zajmująca się ochroną prywatności pod przewodnictwem Maxa Schremsa. NYOB na swojej stronie internetowej jeszcze w kwietniu opublikowała raport dotyczący dostosowania do wymogów RODO postanowień polityk prywatności dużych dostawców (Zoom, Webex Meeting, Skype, Teams etc.) oferujących wideoczaty oraz platformy do wideokonferencji. Organizacja zwraca uwagę na liczne uchybienia i niedokładności, m.in. w zakresie przejrzystości i zgodności z art. 13 RODO, dostępności kanału kontaktu z inspektorem ochrony danych lub roli w procesie przetwarzania – większość z firm uważa się za procesora. Organizacja wskazuje przy tym, że używanie pewnych platform jest bezpieczniejsze ze względu np. na metody szyfrowania typu end-end, które sprawiają, że wszystkie treści związane z przekazem obrazu i dźwięku są widoczne wyłącznie dla użytkowników rzeczywistych (co w praktyce nie jest powszechne).
▶Na jakiego rodzaju dobre praktyki wskazuje UODO?
W ocenie urzędu dla zabezpieczenia danych konieczne jest stosowanie odpowiednich metod autoryzacyjnych, które dadzą pewność, że możliwość zapoznania się z informacjami (dokumentacją) udostępnianymi podczas spotkań będą miały wyłącznie osoby, do których ten przekaz jest adresowany (mogą do tego celu być stosowane kody PIN lub służbowe hasła). Warto także poinstruować pracowników (osoby pełniące funkcje urzędnicze lub publiczne), by w trakcie wideoczatu w polach do tego przeznaczonych nie publikowali niepotrzebnie pewnych informacji. Ponadto urząd zaleca także, by korzystać z funkcji zamazanego tła, co pozwoli chronić informację o tym, gdzie przebywa uczestnik wideokonferencji. Pamiętać trzeba, że dane o lokalizacji stanowią także przedmiot ochrony na gruncie RODO.
Należy także zadbać o ograniczenie prawdopodobieństwa udziału w spotkaniu osób niepożądanych. Duża w tym rola zarówno pracowników (np. należy ich uczulić, by nie udostępniali linku do wideopołączenia w mediach społecznościowych czy innym miejscu publicznie dostępnym), jak i organizatora, który powinien zadbać o wybór bezpiecznego dostawcy internetu i należyte zabezpieczenie połączenia silnym hasłem. Ataki z zewnątrz można ograniczyć, gdy korzysta się z aplikacji webowych i nie instaluje się oprogramowania na służbowym lub prywatnym komputerze, bowiem te platformy są lepiej chronione niż osobiste komputery.
Decydującym się na wideokonferencję UODO zaleca, by korzystali z funkcji programów dających możliwość wyboru uczestników (opcja poczekalnia), ograniczenia korzystania z kamery lub mikrofonu tylko do sytuacji, gdy to niezbędne, a także możliwość zarządzania ustawieniami ekranu. Uczestnikom spotkania warto też zwrócić uwagę, by uporządkowali pulpit komputera, aby nie narażać znajdujących się na nim plików na niepotrzebne udostępnienie, zwłaszcza gdy mogą zawierać dane prawnie chronione. Zaczynając i kończąc pracę zdalną, można dodatkowo stosować bezpieczne połączenia VPN.
▶Co grozi administratorowi danych działającemu w ramach administracji publicznej za naruszenie RODO?
Naruszenie przepisów w zakresie zgodności z RODO przez administratora będącego organem administracji wiąże się z wysoką karą finansową, która wynika z art. 102 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Na jego podstawie prezes UODO może nałożyć w drodze decyzji administracyjne kary pieniężne w wysokości do 100 tys. zł. Przy czym chodzi tutaj o jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 ustawy z 27 sierpnia 2009 r. o finansach publicznych.
▶Które zasady wynikające z RODO powinny nam przyświecać, gdy organizujemy wideokonferencje lub webinarium?
Pamiętając o zasadzie privacy by design, musimy skutecznie chronić dane osobowe naszych pracowników czy rozmówców i w tym duchu dokonać wyboru odpowiedniego narzędzia od dostawcy usług wideokonferencji – musi on dawać rękojmię należytego przetwarzania danych osobowych w zakresie, w którym jest samodzielnym administratorem, lub jeśli ma pełnić funkcję podmiotu przetwarzającego.
Warto pamiętać, iż polityka prywatności dostawcy usługi wideokonferencji to nie wszystko, trzeba również zadbać o spełnienie obowiązków informacyjnych z art. 13 i 14 RODO, w tym zebranie stosownych zgód. Jeśli musimy dokonać zapisu przebiegu wideokonferencji lub tylko samego dźwięku, pamiętajmy o uzyskaniu stosownych zgód na utrwalenie wizerunku lub głosu. Dzięki temu będzie można udostępnić zapis przeprowadzonego spotkania np. na stronie internetowej. Ponadto zapisy spotkań wykorzystywane w celach archiwalnych lub statystycznych powinny zostać objęte tajemnicą zawodową.