Dlaczego nie Zoom? (aktualizacja 17.09.2020 r.)

Aktualizacja 17.09.2020 r.

W związku z planowanym przez Uniwersytet Warszawski zakupem licencji i zawarciem umowy powierzenia przetwarzania danych osobowych z deweloperem aplikacji Zoom uprzejmie informuję, że korzystanie z ww. oprogramowania przez pracowników UW będzie odbywało się na podstawie przesłanek legalizujących przetwarzanie danych osobowych.

W dalszym ciągu do prowadzenia zajęć zdalnych przez pracowników UW można wykorzystywać wyłącznie licencje uczelniane.

Dział Sieci Komputerowych będzie informował o terminie zakupu licencji dot. aplikacji Zoom i ich dystrybucji.

Informacje nt. posiadanych przez UW licencji na oprogramowanie które można wykorzystywać do pracy zdalnej znajdują się na stronie: https://it.uw.edu.pl/pl/praca-zdalna/

---

Szanowni Państwo,

w ostatnich dniach do Inspektora Ochrony Danych (Działu Organizacji Zasobów Informacyjnych) wpływają liczne wnioski z prośbą o pozytywną rekomendację dotyczącą możliwości korzystania z aplikacji Zoom do prowadzenia zajęć zdalnych, a nawet przeprowadzenia zaliczeń lub egzaminów w formie zdalnej. W niniejszym wpisie postaram się udzielić odpowiedzi, dlaczego w opinii Inspektora Ochrony Danych korzystanie z narzędzia Zoom nie jest rekomendowane.

Wybierając narzędzia do wykonywania pracy zdalnej (w tym zajęcia, egzaminy itp.) należy uprzednio odpowiedzieć sobie na kluczowe pytanie:

• co jest dla mnie ważniejsze: prywatność osób, których dane dotyczą czy zapewnienie ciągłości działania?

Oczywiście znam argumentację osób, które korzystają z oprogramowania dostarczanego przez Zoom Video Communication w szczególności dot. wygody korzystania z niego i rozwiązań, których nie oferują inne aplikacje – bardzo często pojawia się argument, że Zoom oferuje poczekalnię, a jakość połączenia jest lepsza niż w przypadku innych narzędzi.

Uniwersytet Warszawski jako administrator danych osobowych przetwarza (definicja przetwarzania znajduje się w art. 4 pkt 2 RODO) dane osobowe studentów/doktorantów m.in. w celu weryfikacji osiągniętych efektów uczenia się określonych w programie studiów czy prowadzenia zaliczeń i egzaminów końcowych. Nowelizacja ustawy Prawo o szkolnictwie wyższym i nauce nadaje uczelniom wyższym uprawnienie do realizacji ww. celów przez wykorzystanie technologii informatycznych. Przenosząc powyższe na grunt przepisów ogólnego rozporządzenia o ochronie danych, w związku z wykorzystywaniem danych osobowych (także wizerunku) oznacza to obowiązek zapewnienia oprogramowania, które będzie zapewniało zgodność z RODO (art. 24 ust. 1). Uczelnia rekomendując określone narzędzia do przetwarzania danych w pierwszej kolejności powinna uwzględniać charakter, zakres, kontekst i cele przetwarzania. Stąd też w mojej ocenie powinny być rekomendowane narzędzia, które zostały już zaimplementowane przez administratora w określonym celu. Natomiast korzystanie z oprogramowania innego, wymaga dokonania w szczególności dokonania analizy zapewniającej jak określa to RODO domyślną ochronę danych osobowych. Narzędzia deweloperów zewnętrznych wymagają więc gruntownej oceny dokonanej przez administratora w tym w szczególności unormowania kwestii dot. przetwarzania danych osobowych.

Z uwagi na obszar, którego dotyczy wykorzystywanie ww. narzędzia do wideokonferencji, a mianowicie przetwarzania danych osobowych, poniżej w punktach przedstawiam zastrzeżenia w zakresie zapewnienia należytej ochrony prywatności osób, których dane dotyczą:

1. Administrator danych, którym jest Uniwersytet, realizując własny prawnie określony cel korzystając z narzędzia Zoom przekazuje deweloperowi dane studentów/doktorantów. Wiąże się to z instytucją powierzenia przetwarzania danych osobowych określoną w art. 28 RODO, stąd też powinno odbywać się to na podstawie „umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora”. W omawianym przypadku należy uznać, że deweloper aplikacji Zoom jest w stosunku do Uniwersytetu Warszawskiego podmiotem przetwarzającym (procesorem) realizującym cel wskazany przez Uczelnię co w konsekwencji oznacza konieczność uregulowania procesu przetwarzania danych osobowych na podstawie umowy powierzenia przetwarzania danych osobowych. Zgodnie z aktualnie posiadanymi informacjami, taka umowa nie została zawarta przez Uniwersytet Warszawski. W konsekwencji nie jest możliwe spełnienie określonej w art. 5 ust. 2 RODO zasady rozliczalności.
2. Korzystanie z aplikacji Zoom wiąże się z przekazywaniem (przechowywaniem) danych osobowych do państwa trzeciego, a więc poza Europejski Obszar Gospodarczy – niezbędne jest więc uregulowanie tej kwestii między administratorem a deweloperem oprogramowania (jako obligatoryjne należy uznać wskazanie miejsc przechowywania danych osobowych), wzrasta więc ryzyko naruszenia praw osób, których dane dotyczą.
3. Istnieje istotne ryzyko braku możliwości skutecznego realizowania praw osób, których dane dotyczą w zakresie np. prawa do usunięcia danych.
4. Korzystanie z aplikacji Zoom wiąże się z brakiem określenia terminu przechowywania danych osobowych przez dewelopera, a także nie zostało unormowane jak będzie wyglądało zakończenie świadczenia usługi (co będzie działo się z danymi po okresie użytkowania). W ten sposób naruszona może zostać zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).
5. Przepisy ogólnego rozporządzenia wymagają, by administrator zapewnił należytą kontrolę nad przetwarzaniem danych. W tym celu niezbędne jest zapewnienie wsparcia technicznego gwarantującego ciągłość działania – z uwagi, że jest to aplikacja zewnętrzna wsparcie uczelnianego IT w tym zakresie będzie ograniczone. Błędna konfiguracja narzędzia może umożliwić dostawcy usługi m.in. śledzenie aktywności użytkowników na urządzeniu z którego korzystają.
6. Z punktu widzenia przepisów regulujących ochronę niezbędne jest zapewnienie możliwości rzetelnej weryfikacji użytkowników – aplikacja Zoom tego nie zapewnia – nie jest możliwe weryfikowanie użytkowników za pośrednictwem uczelnianego Active Directory.
7. Wykorzystywanie aplikacji Zoom wiąże się także m.in. z zagrożeniami w zakresie bezpieczeństwa danych z uwagi na zewnętrzną architekturę przechowywania danych, nieuprawniony dostęp do przetwarzanych danych osobowych przez administratorów aplikacji Zoom, nieuprawnione modyfikowanie informacji zawierających dane osobowe, brak kontroli nad ewentualnym upublicznieniem danych osobowych.
8. Korzystanie z aplikacji Zoom umożliwia dostawcy tej usługi dokonywanie automatycznego profilowania bez zgody osób, których dane dotyczą.
9. Uczelnia nie posiada dostatecznego zakresu informacji nt. zabezpieczenia przepływu danych w aplikacji Zoom.
10. Wdrożenie aplikacji Zoom wiąże się z koniecznością dokonania przez jednostki organizacyjne Uczelni analizy ryzyka dla ochrony danych osobowych, a następnie podjęcia decyzji o akceptacji lub nie ryzyka dla prywatności.
11. Korzystanie z aplikacji Zoom wiąże się z przekazywaniem do dewelopera danych osobowych na tzw. dużą skalę, tym samym ryzyka dla osób, których dane dotyczą znacząco wzrastają. Należy podkreślić, że administrator w tym zakresie nie posiada realnej kontroli nad przetwarzaniem danych osobowych.

Korzystanie z aplikacji Zoom budzi wątpliwość ze względu na wyżej wskazane obszary zagrożeń dla prywatności. Zaznaczyć należy także, że z aplikacją Zoom związane są także inne zagrożenia o charakterze technicznym, co wiąże się z  licznymi podatnościami o których można przeczytać poniżej:

• https://sekurak.pl/czy-popularny-system-konferencyjny-zoom-jest-bezpieczny-mamy-zle-i-dobre-wiesci/
• https://niebezpiecznik.pl/post/czy-zoom-jest-bezpieczny-czy-nie/
• https://wgospodarce.pl/informacje/77603-zoom-nie-jest-bezpieczny-ostrzega-nawet-fbi
• https://www.spidersweb.pl/2020/04/zoom-problem-zoombombing-bezpieczenstwo.html
• https://zaufanatrzeciastrona.pl/post/pulapki-wideokonferencji-czyli-czy-zoom-jest-taki-zly/
• https://cyfrowa.rp.pl/it/45861-zoom-z-zakazem-uczniowie-nie-moga-korzystac-z-aplikacji
• https://nt.interia.pl/news-zoom-google-zakazalo-swoim-pracownikom-korzystania-z-tej-apl,nId,4432823
• https://thenextweb.com/security/2020/06/03/zoom-wont-encrypt-free-calls-because-it-wants-to-comply-with-law-enforcement/
• Poradnik Ministerstwa Cyfryzacji

Ponadto należy zauważyć, że w ramach przetwarzania danych w formie zdalnej przetwarzane będą dane osobowe w bardzo szerokim zakresie w tym wizerunek studenta czy wykładowcy co samo w sobie stanowi wysokie ryzyko naruszenia praw osób, których dane dotyczą, a brak kontroli w tym zakresie nie pozwala pozytywnie wypowiedzieć się o aplikacji Zoom, a tym samym administrator nie będzie mógł zapewnić należytej ochrony dla przetwarzanych danych osobowych.

Z powyższych względów nie jest możliwe pozytywnie zaopiniowanie możliwości wykorzystywania aplikacji Zoom.

Deweloper oprogramowania Zoom z uwagi na olbrzymią popularność usługi przeznaczył dodatkowe środki na wdrożenie zabezpieczeń, ale w dalszym ciągu istnieje szereg niejasności co do tego jak dostawca Zoom podchodzi do zabezpieczenia prywatności osób, których dane dotyczą.

Dział Organizacji Zasobów Informacyjnych rekomenduje korzystanie z aplikacji wymienionych w zarządzeniu. Pozostałe aplikacje wymagają indywidualnej oceny, o ile nie były już wcześniej w takich samych celach w pełni wdrożone w poszczególnych jednostkach i została uregulowana kwestia dot. przetwarzania danych osobowych. W celu uzyskania opinii nt. możliwości skorzystania z innych aplikacji należy zapoznać się z komunikatem umieszczonym na stronie: zgodność aplikacji z przepisami o ochronie danych osobowych.

---

Czy do Zoom’a przekazywane są dane osobowe?

Tak, danymi osobowymi w rozumieniu przepisów RODO są wszystkie informacje, które pozwalają na pośrednią lub bezpośrednią identyfikację osoby, której dane dotyczą (definicja: art. 4 pkt 1 RODO), oznacza to, że danymi osobowymi mogą być przy korzystaniu z Zoom’a (a także innej aplikacji): imię, nazwisko, adres e-mail, adres IP, login, a w przypadku wykorzystywania kamer lub mikrofonów także wizerunek i głos, itp.

Czy UW powierza deweloperowi dane studentów?

Tak. Definicjia przetwarzania danych osobowych została uregulowana w art. 4 pkt. 2 RODO. Każda czynność wykonywana na danych, które pozwalają na bezpośrednią lub pośrednią identyfikację osoby, której dane dotyczą jest przetwarzaniem. Mimo, że studenci sami wprowadzają swoje dane do aplikacji, to na administratorze spoczywa odpowiedzialność spełnienia wymagań ogólnego rozporządzenia o ochronie danych to znaczy m.in. uregulowania powierzenia przetwarzania danych osobowych (art. 28 RODO). Z powierzeniem przetwarzania danych osobowych mamy do czynienia np. w sytuacji, gdy prowadzimy zajęcia lub egzaminy w formie zdalnej i do tego celu wykorzystujemy oprogramowanie dewelopera zewnętrznego. Deweloper gromadzi, więc na nasze polecenie określony katalog informacji w tym danych osobowych i w naszym imieniu te dane przetwarza – mimo, że to studenci samodzielnie podają swoje dane identyfikacyjne (służy to realizacji celu wskazanego przez administratora).