prawo,  RODO

Jak korzystać z wideokonferencji zgodnie z RODO? Omówienie wytycznych UODO

Nowe technologie otworzyły zupełnie nowe możliwości. Podczas pracy zdalnej, a także kontaktów online z przyjaciółmi i rodziną spowodowanych obecną sytuacją związaną z ograniczeniem rozprzestrzeniania COVID-19, jednym z najczęściej wybieranych sposobów komunikacji są wideokon­ferencje i połączenia wideo.

UODO podpowiada jak przeprowadzić wideokonferencję w bezpieczny sposób. Opublikowało infografikę w tym zakresie wskazującą na dobre praktyki w tym zakresie. Jednak warto ją omówić dlatego też, dzisiejszy artykuł będzie poświęcony właśnie tej tematyce.

Wideokonferencje nie są wprost uregulowane ani w Rozporządzeniu (RODO) mimo to, warto wskazać, najistotniejsze kwestie, które mają znaczenie z punktu widzenia bezpieczeństwa ochrony danych osobowych, ale również w zakresie bezpieczeństwa informacji przedsiębiorstwa. Trzeba bowiem pamiętać, że podczas takiej konferencji przetwarzane są dane osobowe ale również nieodpowiednie jej zabezpieczenie może doprowadzić do przejęcia transmisji a co za tym idzie do informacji poufnych związanych z tajemnicą przedsiębiorstwa mogą mieć dostęp osoby postronne.

Oczywiście RODO nie ma zastosowania do osób prywatnych a co za tym idzie na łamach tego artykułu skupię się na przedsiębiorcach, którzy wykorzystują wideokonferencje w zakresie kontaktu z klientami (osobami fizycznymi). Firmy kosmetyczne, salony kosmetyczne, kosmetologiczne, fryzjerskie podczas pandemii a nawet w trakcie jej odmrażania korzystają ze środków porozumiewania się na odległość, negocjowane są kontrakty, umowy oraz uzgadniane inne strategię ze różnymi ekspertami, klientami, konsumentami. Prowadzone są różnego rodzaju webinaria czy też szkolenia w wersji online.

Często jednak strony nie są świadome zagrożeń związanych z cyberbezpieczeństwem oraz ochroną danych w tym zakresie. Jeżeli mówimy ochrona danych to wszelkich konsekwencji z tym związanych, a więc np. braku odpowiedniej dokumentacji w tym zakresie.

Pierwszym wskazaniem UODO jest konieczność zapoznania się z politykami ,warunkami użytkowania danego narzędzia do transmisji wideo czyli programu dzięki któremu użytkownik może prowadzić rozmowę wideo. Warunki takie czasami wskazują na rozległy dostęp, zapisywanie rozmów itd, co może powodować konflikt w zakresie danych osobowych jeżeli z danym podmiotem nie podpisze się umowy na powierzenie danych.

Z podmiot, który będzie miał dostęp do wizerunku, danych osobowych klientów będzie je przetwarzał, a co za tym idzie TY jako przedsiębiorca powinieneś zadbać o to, aby podmiot ten miał podstawę do tego – umowę powierzenia.

Warto również po zapoznaniu się z polityką zwrócić uwagę, czy podmiot będzie administrował dane czy tylko będzie przetwarzającym. CZasami bowiem może być sytuacja, w której mamy do czynienia z współadministrowaniem, czasami z administrowaniem a czasami tylko przetwarzaniem.

Warto również zwrócić uwagę, że dany dostawca oprogramowania do wideokonferencji, rozmów online powinien je chronić zgodnie z zasadą privacy by design a co za tym idzie dawać gwarancję odpowiedniego zabezpieczenia danych osobowych.

Privacy by design zgodnie z RODO to zasada prywatności w fazie projektowania. Podmiot, który tworzy dane oprogramowanie, funkcje, powinien spełniać wymogi wprowadzanych do obrotu np. programów do wideokonferencji w zakresie przetwarzania danych osobowych. Nie zmienia to jednak faktu, że odbiorca tych programów również powinien skrupulatnie wybierać danego odbiorcę oprogramowania.

Zgodnie z art. 24 RODO

” Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.”

Zatem wybierając oprogramowanie do widekonferencji należy zwracać uwagę na powyższe. Idąc dalej w zakresie tajemnicy przedsiębiorstwa należy:

  • przygotować wewnętrzną politykę do jakich rozmów biznesowych należy używać wideokonferecji czy nie
  • Wskazać, że np. nagrywanie rozmowy wideo, wideokonfernecji jest zabronione i nie ważne czy to obraz czy dźwięk. Brak odpowiedniego zabezpieczenia w tym zakresie może doprowadzić do sytuacji, że poufna rozmowa biznesowa zostanie przekazana dalej a w razie sporu podmiot powoła się na to, że nie wiedział, że nie może nagrywać.. Poza tym w zakresie ochrony danych osobowych nagrywanie przez osoby postronne może naruszać zasadę mającą na celu ograniczenie przetwarzania danych osobowych i minimalizacji tych danych, pomijając już aspekt samej definicji zgodnie z art. 4 pkt 2) RODO.
  • Utrwalenie wizerunku czy też głosu lub jedno i drugie wymaga konkretnego celu. Cel jest bowiem nadrzędny. Brak celu to brak możliwości przetwarzania danych.
  • Rejestracja na wideokonferencje nie powinna wymagać od użytkowników nadmiarowych danych, a jedynie niezbędne do tego, aby użytkownik mógł z niej skorzystać. Dane pobierane podczas rejestracji powinny być adekwatne do celu.
  • Pamiętać należy również, że powyższe to nie jedyne wymogi, podczas pobierania danych przy rejestracji na wideokonferencję, administrator (podmiot) powinien spełnić wymagania związane z obowiązkiem informacyjnym zgodnie z art. 13 i 14 RODO
  • UODO wskazuje, że do połączeń należy stosować zabezpieczenia w postaci haseł lub np. kodu pin. Niektóre aplikację mają możliwość szyfrowania takiej transmisji. Nie zmienia to jednak faktu, że korzystanie w celach służbowych do rozmów z klientami z programu ogólnodostępnego, bez umowy powierzenia, bez zabezpieczenia hasłem itd będzie naruszało dane osobowe użytkowników.

Wytyczne te są bardzo skąpe, brak w nich jest szczegółowych informacji w zakresie chociażby zakresu technicznego z jakich podmioty mogłyby korzystać.

Oczywiście powyższe nie zwalnia lub nie zawęża w żaden sposób ze stosowania w pełni Rozporządzenia RODO albowiem podmiot odpowiedzialny za jego przestrzeganie (RODO) musi w pełni je przestrzegać.

Już poza zakresem niniejszego artykułu jako ciekawostkę wskażę, albowiem arbitraż i nowe technologie to część mojej specjalizacji prawnej, wskażę że 18 marca 2020 r. KCAB International opublikował Seoul Protocol on Video Conferencing in International Arbitration – dokument stanowiący zbiór dobrych praktyk  dot. przeprowadzania wideokonferencji w międzynarodowym arbitrażu, który może być inspiracją dla osób, które zajmują się “techniczną stroną” w tym zakresie oraz normę ISO 27001 oraz 9003. Warto poszerzyć wiedzę o te 3 podstawy dodatkowe, które mogą pomóc w tym jak najlepiej wdrożyć bezpieczeństwo w firmie.

Poniżej infografika

infografika: UODO