Pod koniec maja Urząd Ochrony Danych Osobowych opublikował oficjalne wytyczne w zakresie ochrony danych osobowych podczas organizacji wideokonferencji. Wśród najważniejszych wytycznych znalazły się m.in. te, dotyczące wyrobu platformy, zabezpieczenia dostępu do konferencji, a także – ochrony danych jej uczestników. Kwestia zapewnienia zgodności z przepisami dotyczącymi ochrony danych osobowych nabiera szczególnego znaczenia w obliczu ogromnego, związanego z koniecznością ograniczenia kontaktów osobistych w obliczu pandemii COVID-19, wzrostu powszechności wykorzystania platform telekonferencyjnych.
Jak podkreślają specjaliści, kwestia ochrony danych osobowych w kontekście wideokonferencji nie jest wprost regulowana przepisami ogólnego rozporządzenia RODO. W praktyce oznacza to konieczność stosowania ogólnych praktyk mających na celu zapewnienie poufności wrażliwych danych. “Jest to szczególnie istotne dla przedsiębiorców czy pracodawców, ponieważ podczas komunikacji na odległość zazwyczaj dochodzi do sytuacji, w których uczestnicy udostępniają informacje o sobie m.in.: imię, nazwisko, wizerunek, pseudonim, numer IP czy informacje zawarte w cookies, będące w rozumieniu art. 4 pkt 1) RODO danymi osobowymi podlegającymi ochronie” – podkreśla mec. Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy. Co ważne, w myśl obowiązujących przepisów dotyczących ochrony danych osobowych, obligatoryjnej ochronie nie podlegają dane wykorzystywane i przetwarzane podczas telekonferencji wykonywanych w celach prywatnych. Regulacje te dotyczą natomiast nie tylko telekonferencji organizowanych w celach biznesowych, ale też np. wideokonferencji wykorzystywanych na potrzeby zdalnego nauczania.
Za co odpowiada dostawca usługi konferencyjnej?
Zdaniem ekspertów, w pierwszej kolejności niezbędne jest określenie, jakie dane osobowe można przetwarzać w sytuacjach służbowych oraz jaka, w myśl RODO, powinna być podstawa przetwarzania danych osobowych uczestników telekonferencji. Niezbędne jest także zweryfikowanie regulaminów oraz polityk prywatności operatorów wykorzystywanych platform telekonferencyjnych. Dotyczy tego zresztą m.in. jedna z wytycznych UODO. W myśl przepisów RODO niewykluczona może okazać się m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych z dostawcami usług telekonferencyjnych.
“Należy pamiętać, że dostawca usług wideokonferencji również będzie przetwarzać dane osobowe użytkowników. W związku z tym warto się zastanowić nad kwestią zawarcia stosownej umowy powierzenia przetwarzania, jeśli do takiego powierzenia będzie dochodzić. Często dostawcy usług wideokonferencji zawierają pewne postanowienia dotyczące powierzenia w swoich regulaminach. Należy zwrócić uwagę, w jakim zakresie dostawca usług wideokonferencji będzie osobnym administratorem, a w jakim podmiotem przetwarzającym np. pracodawcy chcącego w ten sposób zorganizować komunikację w organizacji” – podkreśla mec. Paweł Fedczyszyn.
Jaką platformę wideokonferencyjną wybrać?
Ogromne znaczenie ma także wybór rozwiązania wykorzystywanego na potrzeby wideokonferencji. Decydująca powinna być tu nie tylko funkcjonalność, ale też zapewnione mechanizmy ochrony danych osobowych. “Dostawca usług wideokonferencji musi dawać rękojmie należytego przetwarzania danych osobowych, w zakresie w którym jest samodzielnym administratorem lub jeśli ma pełnić rolę podmiotu przetwarzającego” – mówi mec. Paweł Fedczyszyn. Jego zdaniem, organizacje decydujące się na organizację wideokonferencji powinny również wprowadzić i egzekwować pewne zasady udziału w tego typu spotkania.
Polityki regulujące zasady udziału w firmowych telekonferencjach powinny określać m.in. to, jakiego rodzaju dane można podawać podczas udziału w wirtualnym spotkaniu. “Ma to znaczenie w zakresie zasady ograniczenia przetwarzania danych osobowych i minimalizacji danych, a także samej definicji przetwarzania danych osobowych z art. 4 pkt 2) RODO. Utrwalenie wizerunku lub głosu bowiem stanowi już przetwarzanie danych. Pamiętajmy, że dane osobowe przetwarzamy tylko wtedy, gdy jest to niezbędne do osiągnięcia danego celu i tylko w adekwatnym zakresie, również w trakcie rejestracji do konferencji dane nie powinny być zbierane nadmiarowo” – dodaje mec. Paweł Fedczyszyn. Zabronione powinno być też nagrywanie telekonferencji – zarówno obrazu, jak i głosu, chyba, że uczestnicy spotkania wyrażą stosowne zgody, uprawniające nie tylko do zapisu przebiegu spotkania, ale potencjalnie także dalszego rozpowszechniania takiego nagrania.
Przydatne funkcjonalności
Duże znaczenie dla zapewnienia bezpieczeństwa danych osobowych uczestników telekonferencji ma również funkcjonalność wykorzystywanej platformy konferencyjnej. Przydatne są m.in. funkcje umożliwiające wymuszenie stosowania silnych haseł lub wieloskładnikowych metod autoryzacji, weryfikacji lub ograniczenia możliwości udziału w konferencji tylko do grupy określonych osób, łatwego wyciszenia mikrofonu lub wyłączenia kamery, a nawet – możliwości wyboru tła widocznego dla innych uczestników wideokonferencji. “Urząd zwraca uwagę, że gdy decydujemy się na formę zdalnego kontaktu, jaką jest wideokonferencja, należy korzystać z funkcji programów, które obejmują możliwość wyboru uczestników (opcja „poczekalnia”) lub możliwości ograniczenia korzystania z kamery lub mikrofonu tylko do sytuacji, gdy jest to niezbędne, a także zarządzania ustawieniami ekranu” – mówi mec. Paweł Fedczyszyn. “Nie narażajmy też naszych dokumentów poprzez udostępnianie ich w niekontrolowany sposób, uporządkujmy pulpit i zadbajmy, by nie narażać plików na niepotrzebne udostępnienie, zwłaszcza, gdy mogą zawierać dane prawnie chronione. Zaczynając i kończąc pracę zdalną można dodatkowo stosować bezpieczne połączenia VPN, aby zminimalizować ryzyko utraty informacji” – dodaje.
Uczestnicy różnego rodzaju telekonferencji powinni zaś przeanalizować zapisy dotyczące warunków udziału w tego rodzaju spotkaniach, a także na regulamin oraz politykę prywatności dostawców użytych platform m.in. pod kątem możliwości wykorzystywania podanych podczas rejestracji na konferencję danych w celach marketingowych.
