Nowe wytyczne UODO dotyczą ochrony danych osobowych w związku z wideokonferencjami. Nie są one wprost uregulowane przepisami RODO. Wskazówki odnoszą się do komunikacji biznesowej (do prywatnej RODO nie ma zastosowania).

Umowa przetwarzania

UODO radzi na początek, by zapoznać się z obowiązującymi politykami prywatności lub regulaminami korzystania z serwisów do komunikacji zdalnej.

Należy pamiętać, że dostawca usług wideokonferencji przetwarza dane osobowe użytkowników. W związku z tym warto się zastanowić nad zawarciem umowy powierzenia przetwarzania (jeśli do takiego powierzenia będzie dochodzić). Imię, nazwisko, wizerunek, pseudonim, numer IP i informacje zawarte w cookies są danymi osobowymi w rozumieniu art. 4 pkt 1) RODO i podlegają ochronie.

Często dostawcy usług wideokonferencji zawierają postanowienia dotyczące powierzenia w swoich regulaminach. Należy zwrócić uwagę, w jakim zakresie dostawca będzie osobnym administratorem, a w jakim podmiotem przetwarzającym, np. pracodawcy chcącego w ten sposób zorganizować komunikację w firmie.

Dostawca usług musi być solidny

"Pamiętając o zasadnie privacy by design musimy skutecznie chronić dane osobowe naszych pracowników czy rozmówców, i w tym duchu należy dokonać wyboru odpowiedniego narzędzia – najlepiej od dostawcy, który będzie nasze dane chronił w dostateczny sposób. Dostawca usług wideokonferencji musi dawać rękojmie należytego przetwarzania danych osobowych, w zakresie w którym jest samodzielnym administratorem lub jeśli ma pełnić rolę podmiotu przetwarzającego" – twierdzi Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy.

Firmy korzystające z wideokonferencji powinny wprowadzić określone zasady udziału w wewnętrznych spotkaniach, w tym jakie dane można podawać, a jakie nie, oraz w jaki sposób można wykorzystywać narzędzia wideokonferencji.

Bezpieczniej jest zabronić nagrywania

W zasadach trzeba określić, że nagrywanie wideokonferencji jest zabronione – zarówno jeśli chodzi o obraz, jak i głos. Bo to również dane osobowe, a ich utrwalenie oznacza przetwarzanie – wg art. 4 pkt 1) RODO.

"Pamiętajmy, że dane osobowe przetwarzamy tylko wtedy, gdy jest to niezbędne do osiągnięcia danego celu i tylko w adekwatnym zakresie, również w trakcie rejestracji do konferencji dane nie powinny być zbierane nadmiarowo" – podkreśla Paweł Fedczyszyn.

Nagrywanie – tylko za pisemną zgodą

Polityka prywatności dostawcy usługi wideokonferencji to nie wszystko. Trzeba zadbać o spełnienie obowiązków informacyjnych z art. 13 i 14 RODO, w tym zebranie stosownych zgód.

Np. gdy "do osiągnięcia celów" niezbędne jest nagranie wideokonferencji albo samej ścieżki dźwiękowej, konieczne są zgody uczestników na utrwalenie wizerunku lub głosu. Pozwala to np. udostępnić zapis spotkania na stronie internetowej firmy. Takie zapisy powinny zostać objęte tajemnicą przedsiębiorstwa.

Dane muszą być zabezpieczone

UODO wskazuje, że dla zabezpieczenia danych konieczne jest stosowanie haseł lub metod autoryzacji, które pozwolą zapoznać się z informacjami przekazywanymi podczas spotkań tylko osobom upoważnionym. Mogą to być np. kody PIN lub służbowe hasła.

Według urzędu można zamazać tło, aby nie było widać, gdzie przebywa uczestnik wideospotkania. Dane o lokalizacji również stanowią przedmiot ochrony na gruncie RODO.

Warto chronić połączenie

Aby uniemożliwić osobom niepożądanym udział w spotkaniu, lepiej nie udostępniać linka do konferencji np. w mediach społecznościowych. Zalecana jest ochrona połączenia silnym hasłem. Ataki z zewnątrz można ograniczyć, korzystając z aplikacji webowych.

UODO zaleca, by korzystać z funkcji programów, które obejmują możliwość wyboru uczestników wideokonferencji (opcja „poczekalnia”) lub ograniczenie korzystania z kamery czy mikrofonu tylko do sytuacji, gdy jest to niezbędne.  

Trzeba też uważać, by w ramach wideokonferencji nie udostępniać dokumentów w niekontrolowany sposób, zwłaszcza, gdy mogą zawierać dane prawnie chronione. Można dodatkowo stosować połączenia VPN.

"Pamiętajmy o tym, że gdy wyrazimy zgodę lub zaakceptujemy regulamin, nasze informacje mogą być dalej wykorzystywane w celach marketingowych przez podmiot, który zaprasza nas do udziału w spotkaniu. Zależy to także od właściciela platformy, który może mieć interes w uzyskaniu od nas danych, by je przekazać podmiotom trzecim. Takie dane mogą zostać wykorzystane do profilowania w celach marketingowych przez dostawcę usługi" – dodaje mec. Fedczyszyn.

Źródło: Kancelaria Prawna Chałas i Wspólnicy