W dobie pandemii koronawirusa SARS-CoV-2 spotkania online zyskały dużą popularność. Dodatkowo, poza bezpieczeństwem związanym z ograniczeniem transmisji wirusa, okazało się, że dzięki wirtualnym spotkaniom możemy zaoszczędzić sporo czasu związanego z koniecznością przemieszczania się na miejsce „rzeczywistego” spotkania. Wykorzystując funkcjonalności aplikacji, nie tylko sprawnie takie spotkanie zorganizujemy, ale również efektywnie je przeprowadzimy np. udostępniając ekran czy pliki.

Pandemia zwiększyła ilość wirtualnych spotkań, ale wideokonferencje są od wielu lat powszechnie używanym narzędziem technicznym do kontaktów. Istotą tego rozwiązania jest przesyłanie w czasie rzeczywistym dźwięku i obrazu umożliwiających kontakt audiowizualny jego użytkowników. Korzystanie z wideokonferencji będącej typem usługi cloud computing, rodzi zagadnienia prawne dotyczące przetwarzania danych osobowych oraz przesyłania i archiwizowania informacji poufnych za pomocą podmiotów trzecich. Czy znasz potencjalne ryzyka i obowiązki?

Jakie są najczęściej używane narzędzia?

Do najczęściej wykorzystywanych programów do usług wideokonferencyjnych należą:

  • Microsoft Teams, będącej częścią pakietu Microsoft 365;
  • Zoom;
  • Cisco Webex.

Wobec tego, dokonując analizy dotyczącej przetwarzania i bezpieczeństwa danych w ramach wideokonferencji, będziemy odnosić się do informacji dotyczących wskazanych powyżej poszczególnych programów. Wyróżnimy kilka aspektów, które będą wymagały analizy pod kątem zgodnego z prawem korzystania ze spotkań online.

Dane przetwarzane w ramach wideokonferencji

Dane, które są przetwarzane w ramach wideokonferencji można podzielić na:

  1. dane podstawowe i kontaktowe użytkownika, czyli: imię, nazwisko, e-mail, telefon, login, hasło, organizacja, metoda płatności, ustawienia preferencji;
  1. treści i kontent, czyli dane przesyłane pomiędzy użytkownikami – rozmowy (dźwięk, obraz), czaty, pliki. Dane te należą do danych nieustrukturyzowanych więc mogą zawierać informacje poufne i dane wrażliwe;
  2. dane techniczne i telemetryczne, czyli: IP, lokalizacja i cechy sprzętu, natężenie ruchu, requesty, anomalie, itp.;
  3. „inne dane” – zależne od funkcjonalności danej platformy. Dla przykładu Microsoft Teams jest narzędziem zintegrowanym w ramach Microsoft 365, stąd analiza tego programu wymaga również weryfikacji pozostałych usług w ramach Microsoft 365 (np. integrację MS Teams z kalendarzem).

Aspekty prawne

Będąc organizatorem takich spotkań zarówno w kontaktach biznesowych z kontrahentami (relacja B2B) jak i klientami indywidualnymi (relacja B2C) zwrócić uwagę na kilka zagadnień.

Rola organizatora oraz rola dostawcy usługi w zakresie przetwarzania danych

Zasadniczo organizator spotkania będzie administratorem danych osobowych, a dostawca narzędzia do wideokonferencji będzie podmiotem przetwarzającym dane osobowe (art. 4 pkt 8 RODO, art. 28 RODO). Dojdzie do powierzenia danych przez administratora, jako klienta biznesowego usługi dostępu do platformy wideokonferencyjnej, dostawcy (art. 4 pkt 7 RODO), czyli odpowiednio firmom: Microsoft, Zoom Video Technologies lub Cisco Systems.

Natomiast w zakresie danych technicznych czy telemetrycznych i podstawowych danych użytkownika, dostawca usługi działa jako administrator tych danych i wykorzystuje je dla celów zarządzania użytkownikami, raportowania finansowego oraz cyberbezpieczeństwa.

W relacji: organizator spotkania (klient usługi) a dostawca tej usługi, nie dochodzi do współadministrowania danymi osobowymi pomiędzy tymi podmiotami. Natomiast należy zaznaczyć, że dnia 29 lipca 2019 r. Trybunał Sprawiedliwości wydał wyrok[1], w którym stwierdził, że doszło do współadministrowania danymi pomiędzy Facebookiem a operatorem strony internetowej, na której umieszczono znacznik śledzący Facebook Pixel. Pomimo tego kontrowersyjnego orzeczenia, zdaniem organów ochrony danych, Microsoft i klienci usług Microsoft 365 nie są współadministratorami danych.

 

Obowiązki formalne

Korzystając z usługi wideokonferencyjnej masz następujące obowiązki z zakresu ochrony danych:

  • wiarygodność – sprawdź, czy dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych tak aby usługa spełniała wymogi RODO i chroniła prawa osób, których dane dotyczą (zgodnie z art. 28 ust. 1 RODO). Dotyczy to weryfikacji następujących elementów:
    • zgodności działania usługi z prawem ochrony danych osobowych;
    • bezpieczeństwa usługi.

Możesz je zweryfikować poprzez analizę umowy powierzenia przetwarzania danych i innych informacji podawanych przez samych dostawców, certyfikatów niezależnych firm, jak i doniesień rynkowych na temat praktyki działania danej usługi, w tym informacji o wyciekach danych, podatnościach, awariach oraz praktykach handlu danymi.

  • umowa powierzenia – sprawdź, czy dostawca usługi oferuje umowę powierzenia przetwarzania danych, spełniającą wymogi art. 28 RODO.

Poniżej znajdziesz linki dla umów powierzenia przetwarzania danych osobowych dla usługi:

Teams, Zoom i Webex oferują umowę powierzenia przetwarzania danych, które spełniają wymogi zawarte w art. 28 RODO.

Obowiązek informacyjny

W odniesieniu do wideokonferencji powinieneś poinformować uczestnikach spotkania online o tym, w jaki sposób przetwarzane będą ich dane osobowe (art. 13 RODO). Dodatkowo powinieneś wskazać, że niektóre dane osobowe uczestników będą przekazywane poza EOG, wymagają tego zasady przejrzystości i rzetelności przetwarzania danych (art. 5 ust. 1 lit. a RODO).

W informacji o przetwarzaniu danych wskaż:

  • wskaż kto jest dostarczycielem usługi – Microsoft, Zoom Video Communication czy Cisco Systems;
  • szyfrowania komunikacji;

dodatkowo poinformuj o:

  • zawarciu przez Ciebie umowy powierzenia przetwarzania danych osobowych z dostawcą usługi;
  • tym, że dane telemetryczne i dane o uczestnikach są przekazywane poza EOG do USA;
  • tym, że dostawca usługi zapewnia zgodność transferu danych z RODO przez zawarcie w umowie z Tobą tzw. standardowych klauzul umownych zaakceptowanych przez Komisję Europejską.

Eksport danych poza Europejski Obszar Gospodarczy

Wszyscy dostawcy omawianych platform wideokonferencyjnych informują, że w ramach korzystania z usługi może dochodzić do przetwarzania danych poza EOG. Wobec tego należy ustalić, jakie dane są przetwarzane poza EOG i na jakich zasadach zapewniona jest zgodność tego przetwarzania z RODO (art. 44-46 RODO).

Wobec  unieważnienia decyzji Komisji Europejskiej nr 2016/1250 (wydanej na podstawie art. 45 RODO) dotyczącej Tarczy Prywatności UE-US (tzw. privacy shield) przez Trybunał Sprawiedliwości w wyroku z dnia  16 lipca 2020 r.[2], o czym pisaliśmy tutaj, dostawcy wskazanych usług transferują do USA dane telemetryczne i dane podstawowe użytkowników, na podstawie SCC, czyli standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.

Jako klient takich usług masz obowiązek informowania wszystkich uczestników spotkania, o tym, że dane mogą być przekazywane poza EOG.

Microsoft (Teams) dane techniczne przetwarza w celu bezpieczeństwa i optymalizacji, natomiast dane o użytkownikach przetwarza w celu zarządzania tożsamością użytkowników i rozliczeń. Te dane są administrowane przez Microsoft i Microsoft eksportuje je poza EOG. Kontent (czyli dane zawierające treść komunikatów użytkowników w postaci wiadomości tekstowych oraz wideo i dźwięku) Microsoft przetwarza jedynie na terenie UE. W zakresie Cisco i Zoom, nie zostało to tak precyzyjnie wyjaśnione przez te podmioty, natomiast umowy powierzenia przetwarzania danych zapewniają klientom tych wymóg nałożony na dostawców do przetwarzania danych zgodnie z RODO, w tym do bezpieczeństwa komunikacji.

Powyższe zasady w zakresie transferu danych osobowych dotyczą również darmowych dostępów do platform wideokonferencyjnych. Co istotne, nowowydane decyzje wykonawcze Komisji Europejskiej regulują już kwestię dalszego powierzenie przetwarzania danych osobowych. Aktualnie w mocy istnieją dwie decyzje:

Bezpieczeństwo

Regulacje dotyczące bezpieczeństwa przetwarzania danych zawarte są w art. 32 RODO. Zgodnie z powyższą regulacją, administrator (czyli Ty, jako organizator spotkania online) i podmiot przetwarzający (czyli dostawca usługi), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z:

  • przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych,
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Wywiązywanie się ze wskazanych obowiązków w zakresie bezpieczeństwa można wykazać między innymi poprzez:

  • stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub
  • zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Ustalając, czy usługi wideokonferencyjne oferują poziom bezpieczeństwa odpowiedni do ryzyka ich wykorzystania, można wziąć pod uwagę także wytyczne i normy uznanych organów, instytutów i organizacji, takich jak: NASK, ENISA, ISACA, ISO, wyznaczające aktualne standardy w zakresie bezpieczeństwa informacji oraz wskazujące na zagrożenia.

Jako podstawowe środki bezpieczeństwa w zakresie korzystania z wideokonferencji należy wskazać:

  • zabezpieczenia przesyłanych i przechowywanych danych, w tym szyfrowanie;
  • uwierzytelnianie użytkowników;
  • zarządzanie dostępami i uprawnieniami użytkowników oraz administratorów;
  • zarządzanie funkcjonalnościami usługi
  • ciągłość usługi.

 

W zakresie zachowania poufności informacji kluczowe znaczenie będzie odgrywać szyfrowanie. Stosowane są różne metody szyfrowania danych w trakcie ich przesyłu (encryption in transit) a także w trakcie ich przechowywania (encryption at rest).

  • Teams zapewnia szyfrowanie przesyłanych danych w tym audio i video in transit oraz at rest za pomocą protokołów TLS, MTLS oraz SRTP. Teams nie zapewnia szyfrowania end-to-end (e2e) pomiędzy uczestnikami spotkania. Oznacza to, że Microsoft ma techniczną możliwość zapoznania się z treścią komunikacji uczestników spotkania Teams. Brak szyfrowania e2e nie powinno być oceniane jako znaczne ryzyko ze względna to, że Microsoft zobowiązany jest do zachowania poufności.
  • Zoom zapewnia szyfrowanie komunikacji za pomocą 256-bitowego protokołu szyfrującego TLS (Transport Layer Security) oraz także 256-bitowego AES (Advanced Encryption Security). Zoom zapewnia także pełne szyfrowanie e2e pomiędzy nadawcą i adresatami komunikacji.
  • Webex zapewnia szyfrowanie komunikacji za pomocą 128-bitowego20 lub 256-bitowego protokołu TLS.

W zakresie uwierzytelniania użytkowników wszystkie trzy omawiane platformy korzystają z uwierzytelniania. Uwierzytelnienie chroni przed nieuprawnionym dostępem do konta użytkownika. Podstawowym narzędziem uwierzytelnienia są login oraz indywidualne hasło użytkownika – uwierzytelnianie jednoskładnikowe. Dodatkowe zabezpieczenie może stanowić uwierzytelnianie dwuskładnikowe w postaci:

  • 2FA = two factor authentication,
  • MFA = multi factor authentication,
  • SCA = strong customer authentication).
  • Teams zapewnia proces uwierzytelniania użytkowników poprzez sam login i hasłoSFA lub z użyciem dodatkowego składnika – np. PIN-u. telefonu, odcisku palca MFA). Decyzja o uruchomieniu opcji MFA zależna jest od Ciebie, jako klienta usługi, Microsoft nie narzuca stosowania silniejszych uwierzytelnień. Proces uwierzytelnienia następuje poprzez usługę dostawcy – Azure Active Directory.
  • Zoom zapewnia uwierzytelnianie użytkowników za pomocą loginu i hasła. Umożliwia także zaawansowane uwierzytelnianie za pomocą single sign-on czyli pojedynczego uwierzytelnienia zapewniającego dostęp do wielu usług zintegrowanego z usługą zewnętrznego dostawcy tożsamości np. z Azure Active Directory.
  • Webex zapewnia uwierzytelnianie użytkowników za pomocą SFA opartego na haśle użytkownika. Oferuje także możliwość wdrożenia single sign-on opartego na zewnętrznym dostawcy tożsamości.

Warto również wskazać, że dostawcy platform wideokonferencyjnych posiadają następujące certyfikaty:

  • Microsoft udostępnia szereg audytów i certyfikatów niezależnych audytorów, w tym: ISO 27001, 270018, SOC 1, SOC 223[3];
  • Zoom oświadcza, że posiada certyfikaty zgodności m.in. SOC 2 oraz FedRAMP24[4].
  • Webex deklaruje zgodność z SOC 2 oraz certyfikację 2700125[5].

Ryzyka w zakresie bezpieczeństwa danych podczas spotkania online:

  • celowa podmiana danych lub zakłócanie komunikacji (np. tzw. Zoombombing[6]) będą efektem naruszenia poufności – przechwycenia danych uwierzytelniających lub podatności umożliwiającej nieautoryzowane dołączenie do spotkania;
  • ryzyko cichego włamania – obecnie brak informacji o takim ryzyku, każdy uczestnik spotkania jest widoczny;
  • rozpoznawalność uczestników – weryfikacja tożsamości uczestnika podczas spotkania jest dokonywana za pomocą uwierzytelnienia oraz przy mniejszych spotkaniach, głosowo i wizualnie;
  • ryzyko wycieku danych – ryzyko wycieku danych wskutek przejęcia danych uwierzytelniających (credentials) również wydaje się niskie, a co więcej, wymagałoby zasadniczo tzw. ataku targetowanego, to znaczy ktoś celowo chciałby nas podsłuchiwać.

W tej sytuacji uczestnicy spotkania zobaczą, że dołącza się kolejny użytkownik z tą samą tożsamością, co jeden z nich.

Regulamin spotkania

Zgodnie z art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344) (uśude) świadczenie usługi drogą elektroniczną, to wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne. Taką siecią telekomunikacyjną będzie Internet. Wobec tego wideokonferencje, w ramach których odbywasz spotkanie z klientem w celu wykonania zawartej pomiędzy wami umowy należ zakwalifikować jako usługę świadczoną drogą elektroniczną.

Wobec tego, zgodnie z art.  8 uśude usługodawca:

  • określa regulamin świadczenia usług drogą elektroniczną,
  • nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca.

Regulamin określa w szczególności:

  • rodzaje i zakres usług świadczonych drogą elektroniczną;
  • warunki świadczenia usług drogą elektroniczną, w tym:
    • wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca;
    • zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
    • warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
    • tryb postępowania reklamacyjnego.

Natomiast, zgodnie z art. 3 pkt 6 uśude, nie jesteś zobowiązany do posiadania regulaminu wideokonferencji, jeżeli spotkanie online prowadzone jest w ramach Twojej struktury

organizacyjnej (czyli uczestnikami spotkania są Twoim pracownicy i współpracownicy), kiedy usługa służy wyłącznie do kierowania pracą lub procesami gospodarczymi.

Podsumowując, należy stwierdzić że korzystanie z narzędzie Teams, Zoom i Webex jest zgodne z prawem i uznawane jako bezpieczne w zakresie przetwarzania danych i informacji poufnych. Jednakże nie zwalnia to z czujności nad zmianami w zakresie regulacji dotyczących przetwarzania danych osobowych oraz informacji przekazywanych bezpośrednio przez administrujące wymienionymi narzędziami korporacje w zakresie sposobu przetwarzania przez nich danych.

Niniejsza publikacja została również opracowana w oparciu o „Księgę bezpieczeństwa w komunikacji elektronicznej w pracy radcy prawnego” Krajową Radę Radców Prawnych dostępną pod linkiem https://kirp.pl/ksiega-bezpieczenstwa-juz-dostepna/. Jeśli potrzebujesz pomocy w zakresie bezpieczeństwa danych osobowych, zapraszamy do skorzystania z gotowego pakietu RODO i do kontaktu

Photo by Chris Montgomery on Unsplash
[1] sygn. C-40/17.
[2] sygn. C-311/18.
[3] https://servicetrust.microsoft.com/ViewPage/MSComplianceGuide.
[4] https://explore.zoom.us/docs/doc/Zoom-Security-White-Paper.pdf.
[5]https://www.cisco.com/c/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.html.
[6] tzw. zoombombingiem – paraliżowanie spotkania online przez publikowanie niestosownych treści przez jednego z uczestników.
Udostępnij