Urząd Ochrony Danych Osobowych opublikował oficjalne wytyczne z zakresu ochrony danych osobowych w kontekście prowadzenia wideokonferencji. Na co powinniśmy zwracać szczególną uwagę? Aspekty praktyczne omawia mec. Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy.
Jest to szczególnie istotne dla przedsiębiorców czy pracodawców, ponieważ podczas komunikacji na odległość zazwyczaj dochodzi do sytuacji, w których uczestnicy udostępniają informacje o sobie m.in.: imię, nazwisko, wizerunek, pseudonim, numer IP czy informacje zawarte w cookies, będące w rozumieniu art. 4 pkt 1) RODO danymi osobowymi podlegającymi ochronie
– komentuje mec. Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy.
Pierwszą ze wskazówek, która została zawarta w nowych wytycznych, jest zapoznanie się z obowiązującymi politykami prywatności lub regulaminami korzystania z serwisów do komunikacji zdalnej. Należy pamiętać, że dostawca usług wideokonferencji również będzie przetwarzać dane osobowe użytkowników. W związku z tym warto się zastanowić nad kwestią zawarcia stosownej umowy powierzenia przetwarzania, jeśli do takiego powierzenia będzie dochodzić. Często dostawcy usług wideokonferencji zawierają pewne postanowienia dotyczące powierzenia w swoich regulaminach. Należy zwrócić uwagę, w jakim zakresie dostawca usług wideokonferencji będzie osobnym administratorem, a w jakim podmiotem przetwarzającym np. pracodawcy chcącego w ten sposób zorganizować komunikację w organizacji
– dodaje mec. Fedczyszyn.
Firmy stosujące widokonferencje powinny wprowadzić określone zasady udziału w wewnętrznych spotkaniach, w tym jakie dane można podawać, jakie nie, i jak można wykorzystywać narzędzia widokonferencji. Istotne jest by np. określić, że nagrywanie takich wideokonferencji jest zabronione -zarówno jeśli chodzi o obraz, jak i głos. To również dane osobowe. Ma to znaczenie w zakresie zasady ograniczenia przetwarzania danych osobowych i minimalizacji danych, a także samej definicji przetwarzania danych osobowych z art. 4 pkt 2) RODO. Utrwalenie wizerunku lub głosu bowiem stanowi już przetwarzanie danych. Pamiętajmy, że dane osobowe przetwarzamy tylko wtedy, gdy jest to niezbędne do osiągnięcia danego celu i tylko w adekwatnym zakresie, również w trakcie rejestracji do konferencji dane nie powinny być zbierane nadmiarowo
– podkreśla mec. Fedczyszyn.
Urząd wskazuje, że dla zabezpieczenia danych w praktyce konieczne jest stosowanie haseł lub odpowiednich metod autoryzacyjnych służących do umożliwienia zapoznania się z informacjami przekazywanymi podczas spotkań tylko osobom upoważnionym. Do tego celu dobrze sprawdzą się kody PIN lub służbowe hasła. Warto także poinstruować swoich pracowników, aby nie publikowali niepotrzebnie pewnych informacji w trakcie wideo-czatu w polach do tego przeznaczonych. Urząd wskazuje także, że można korzystać funkcji zamazanego tła, gdy chcemy chronić informację o tym, gdzie przebywamy. Pamiętajmy, że dane o lokalizacji również stanowią przedmiot ochrony na gruncie RODO
– dodaje mec. Fedczyszyn.
Urząd zwraca uwagę, że gdy decydujemy się na formę zdalnego kontaktu, jaką jest wideokonferencja, należy korzystać z funkcji programów, które obejmują możliwość wyboru uczestników (opcja „poczekalnia”) lub możliwości ograniczenia korzystania z kamery lub mikrofonu tylko do sytuacji, gdy jest to niezbędne, a także zarządzania ustawieniami ekranu. Nie narażajmy też naszych dokumentów poprzez udostępnianie ich w niekontrolowany sposób, uporządkujmy pulpit i zadbajmy, by nie narażać plików na niepotrzebne udostępnienie, zwłaszcza, gdy mogą zawierać dane prawnie chronione. Zaczynając i kończąc pracę zdalną można dodatkowo stosować bezpieczne połączenia VPN, aby zminimalizować ryzyko utraty informacji
– dodaje mec. Fedczyszyn.