Adatvédelmi problémák a videokonferencia és chat alkalmazásokkal
2020. július 21-én az Ausztrál, Kanadai, Gibraltári, Hong-Kongi, Svájci és Egyesült Királysági Adatvédelmi Hatóságok nyílt levelet intéztek a videokonferencia és chat alkalmazások fejlesztőihez (VTC), melyben leírják adatvédelmi aggodalmaikat a szolgáltatással kapcsolatban.
Levelük célja, hogy egyértelművé tegyék elvárásaikat a cégekkel szemben, biztosítva, hogy azok mindig szem előtt tartsák a felhasználók adatainak biztonságát. A Covid-19 járvánnyal egyidőben ugrásszerűen megemelkedett a hasonló szolgáltatások felhasználóinak száma, ezzel együtt az adatvédelmi incidensek száma is; a berlini adatvédelmi biztos és a Microsoft közötti vitáról már mi is írtunk.
A levél öt fő elvet említ, melynek figyelembevételére sürgeti a cégeket, az alábbiak szerint.
Biztonság
A ma alkalmazott biztonsági intézkedések holnapra már elavulttá válhatnak, ezért az adatvédelemnek dinamikus és éber hozzáállást kell kialakítania. A járvány közben történt adatvédelmi incidensek sok ilyem hibára rámutattak, leggyakrabban illetéktelen hozzáférések és hívásokba történő illetéktelen belépések formájában. A Hatóságok ezek elkerülésére erős jelszavak és kétlépcsős hitelesítés használatát, valamint az adatok végponttól végpontig történő titkosítását javasolják, mint alapvető biztonsági intézkedéseket.
Külön felhívják a figyelmet ezek használatára olyan esetekben, amikor különösen érzékeny adatok kezelésére kerül sor, például kórházakban vagy online pszichológusok esetében, ahol a hang és képanyag mellett más különleges adat is megosztásra kerül. A Hatóságok továbbá elvárják, hogy a szolgáltatók követeljék meg a felhasználóktól a szoftverek legújabb verziójának használatát, mely rendelkezik a legújabb biztonsági frissítésekkel, illetve, hogy szavatolják az adatok biztonságát különösen, ha annak feldolgozására harmadik fél által vagy más országban kerül sor.
Beépített adatvédelem (’Privacy by Design’)
Ez a fajta hozzáállás a szoftverek fejlesztésénél azt jelenti, hogy az adatvédelmet szolgáló komponenseket nem utólag építik be egy-egy termékbe, hanem már a tervezéskor a szolgáltatás szerves részeként tekintenek rájuk, és az egész fejlesztés során szem előtt tartják az adatvédelmet biztosító intézkedéseket.
A javasolt kiindulópont annak a felmérése, hogy mi lehet a legérzékenyebb adat, amit a szolgáltatáson belül megosztanak a felhasználók, és ehhez megfelelő szintű védelem legyen az alapbeállítás az egész szolgáltatásban. Olyan felhasználók esetében, akiknek ennél kisebb szintű biztonság is elegendő, meg kell adni a lehetőséget, hogy változtassanak a beállításokon. Itt a levél három egyszerű intézkedést javasol:
• egyszerűen használható alapbeállítások, egyedileg módosítható hozzáférési beállítások, egyértelmű bejelentését annak, ha egy új felhasználó belép egy beszélgetésbe, továbbá a belépő felhasználók mikrofonjának alapértelmezett némítása,
• olyan komponensek hozzáadása, melyek segítségével a céges felhasználók is teljesíthetik kötelezettségeiket, legfőképp az egyértelmű adatkezelési hozzájárulás megszerzését, valamint
• a lehető legkisebbre csökkenteni a program által gyűjtött és közzétett adatokat; csak olyan adatok kezelése, melyek szükségesek a szolgáltatás üzemeltetéséhez.
Felhasználók ismerete
A Covid-19 járvány alatt számos videokonferencia-szolgáltatást nem olyan módon használtak, amire eredetileg tervezve lettek. Jó példa erre a távoktatás esete, ahol nem volt ezzel kapcsolatos előzetes gyakorlat arról, hogy milyen platformon és milyen módon történjen. Ennek eredményeképp számos olyan adatvédelmi incidensre került sor, amikor egy-egy tanórát illetéktelen belépők zavartak meg, sokszor szándékosan.
A brit Hatóság áprilisban ki is adott egy gyakorlati kódexet a gyermekeket érintő online szolgáltatásokról, de a Hatóságok közös levelükben is kitérnek erre. A gyermekeken kívül még két esetben intenek figyelmességre: az egészségügyben, ahol gyakran érzékeny adatok kerülnek kezelésre, illetve a szolgáltatás működtetése esetén olyan helyeken, ahol az emberi jogok állása miatt rizikós lehet a felhasználóknak a szolgáltatás igénybevétele (például Hongkongban).
Átláthatóság és méltányosság
Az utóbbi idők súlyos adatvédelmi botrányaira való tekintettel a Hatóságok átláthatóságot követelnek a VTC-ktől az adatok kezelésére vonatkozóan. Figyelmeztetnek rá, hogy az adatok kezelésének céljával kapcsolatban a cégek legyenek nyitottak és osszák meg őket a felhasználóikkal, ne rejtsék el adatvédelmi tájékoztatójuk kisbetűs részeiben.
Szintén felhívják a figyelmet, hogy ez nem egy egyszeri, hanem folyamatosan végzendő tevékenység; minden esetben, amikor valami változás áll be a szolgáltatással kapcsolatos adatkezelésben, a cégnek teljesítenie kell az ilyenkor a GDPR által elvárt kötelezettségeit, mint a tájékoztatás, érdekmérlegelés, esetlegesen hatásvizsgálat elvégzése.
Végfelhasználói irányítás
A végfelhasználóknak kevés beleszólásuk van, hogy melyik VTC-t használják, különösen igaz ez egy céges, vagy oktatási környezetben. A múltban előfordultak olyan esetek, amikor a felhasználók tudta nélkül harmadik személy is hozzáférhetett a kommunikációt érintő adatokhoz. Bár a Hatóságok kiemelik, hogy ilyen gyakorlatok kialakítása a szolgáltatást használó cégek saját jogi és etikai dilemmája, de a hasonló jellegű adatgyűjtést egyértelműen jeleznie kell a végfelhasználónak (ikonokkal vagy felugró üzenetekkel). Amennyiben lehetséges, meg kell adni a felhasználóknak a lehetőséget, hogy ne járuljanak hozzá hasonló mechanizmusok működtetéséhez.
Nyílt levelük végén a hatóságok elismerik a VTC-k által kínált szolgáltatásokat, és azok pozitív hatását a Covid-19 járvány alatt, de figyelmeztetnek, hogy a technológia gyors terjedése csak az adatvédelmi szabályok betartása mellett lehetséges. A fenti elvek követésével nem csak a hatóságok és saját munkájukat könnyítik meg, de segítenek nagyobb bizalmat építeni cégeik számára. A Hatóságok szeptember 30-ig várják levelükre az érintett cégek válaszát.