W dobie wszechobecnej cyfryzacji nie wolno zapominać o odpowiedzialnym korzystaniu z komunikatorów podczas wykonywania obowiązków zawodowych. Szczególnie ważnym aspektem jest udostępnianie dokumentów z danymi osobowymi w sposób zgodny z RODO, co pokazują decyzje Urzędu Ochrony Danych Osobowych oraz jego unijnych odpowiedników.
Kluczowym aspektem ochrony informacji w organizacji jest świadomość pracowników dotycząca odpowiednich kanałów komunikacji. Choć RODO bezpośrednio nie narzuca konieczności oddzielenia czatów służbowych od prywatnych, przepisy nakazują administratorowi stosowanie rozwiązań, które są niemożliwe lub bardzo trudne do osiągnięcia bez odpowiedniego nadzoru nad kontami użytkowników.
W Opinii 2/2017 na temat przetwarzania danych w miejscu pracy, opublikowanej przez Grupę Roboczą art. 29 ds. ochrony danych osób fizycznych, zalecono wdrożenie odpowiednich środków pozwalających odróżnić korzystanie z urządzenia w celach prywatnych od korzystania z niego w celach służbowych (5.4.2). Jednocześnie, dokument podkreśla konieczność stosowania proporcjonalnych rozwiązań, które nie godzą w prywatność użytkowników, odradzając monitorowanie całej aktywności pracowników w sieci – takie działanie określono jako reakcję nieproporcjonalną, naruszającą prawo do poufności komunikacji (5.3).
UODO o prywatnych komunikatorach
Urząd Ochrony Danych Osobowych (UODO) dwukrotnie wydawał decyzję w związku z naruszeniami ochrony danych osobowych wskutek niepoprawnego korzystania z komunikatorów. Pierwsza z nich dotyczy ujawnienia przez Ministra Zdrowia informacji dot. recepty, którą wystawił jeden z lekarzy na lek z grupy psychotropowych i przeciwbólowych (DKN.5131.32.2023). UODO podkreśliło w komunikacie, że podczas przekazania danych z rejestru medycznego wykorzystano aplikację WhatsApp, co doprowadziło do możliwej utraty kontroli nad tymi danymi. Urząd zaznaczył również, że komunikator nie został uwzględniony w analizie ryzyka.
UODO odradza wykorzystywanie tego kanału w administracji publicznej, m.in. ze względu na kary irlandzkiego organu nadzorczego związane z brakiem przejrzystości w przetwarzaniu danych osobowych.
Drugi incydent dotyczy ujawnienia listy zawierającej adresy osób, które przebywały na kwarantannie (DKN.5101.25.2020). Powiatowa Stacja Sanitarno-Epidemiologiczna w Gnieźnie przekazała Zakładowi Oczyszczania Miasta listę adresów osób przebywających na kwarantannie, a naruszenie polegało na sfotografowaniu i udostępnieniu innej osobie wydrukowanego wykazu za pomocą Messengera (komunikatora od firmy Meta) przez pracownika Zakładu. Co ważne – możliwość kradzieży danych przez pracowników, zarówno w formie e-maili, jak i wydruków, była uwzględniona w analizie ryzyka spółki.
Orzeczenie UODO określiło powyższy zestaw (adres oraz informacja o przebywaniu na kwarantannie) jako dane osobowe, ponieważ upublicznienie listy pozwala na wyróżnienie osób z określonej zbiorowości – np. przez sąsiadów czy rodzinę.
Orzeczenia w Unii Europejskiej
Rumuński odpowiednik UODO poinformował w komunikacie prasowym z lipca 2023 roku o nałożeniu kary w wysokości 14 889 lejów (ok. 12,5 tys. złotych) na jeden z banków. Grzywna była spowodowana przesłaniem pliku w formacie .pdf za pomocą WhatsAppa. Organ nadzorczy przywołał art. 32 pkt 4 RODO, który podkreśla konieczność przetwarzania danych osobowych przez inny podmiot wyłącznie na polecenie administratora. Krajowy Organ Nadzoru poinformował, że zdarzenie doprowadziło do utraty poufności danych znacznej liczby klientów firmy.
Przetwarzanie danych osobowych pracowników powinno zawężać się do zastosowań służbowych, co pokazuje orzeczenie włoskiego odpowiednika UODO z 21 maja 2025 roku (10143261). Autostrade per l’Italia wykorzystała służbowo informacje pochodzące z prywatnej korespondencji pracowniczki na komunikatorach (czatów grupowych) oraz jej postów na Facebooku widocznych tylko dla grona znajomych. Gwarant Ochrony Danych Osobowych podkreślił m.in.:
- brak podstawy prawnej przetwarzania oraz uzasadnionego interesu administratora (art. 6 RODO);
- naruszenie zasad minimalizacji oraz proporcjonalności (art. 5 RODO);
- nieposzanowanie godności, prawnie uzasadnionych interesów i praw podstawowych pracowniczki (art. 88 RODO).
Praktyczne zalecenia
Pracodawca powinien jasno określić, jakie kanały komunikacji będą wykorzystywane w zastosowaniach służbowych – jednocześnie pamiętając o zasadach wynikających z RODO, m.in. szyfrowaniu. Zaleca się wybranie jednej platformy do zastosowań służbowych, podkreślając niewykorzystywanie prywatnych komunikatorów. Konieczne jest również przeprowadzenie analizy ryzyka wobec wybranego rozwiązania.
Warto również pamiętać, że monitoring nie może naruszać praw pracownika. Art. 223 Kodeksu pracy (kp) dopuszcza monitoring poczty elektronicznej pracownika, lecz przy poszanowaniu tajemnicy korespondencji oraz innych dóbr. Wymagane jest również poinformowanie o tym pracownika z dwutygodniowym wyprzedzeniem (art. 222 kp). W praktyce może to oznaczać m.in. analizę logów, która pozwoli określić, kto i z kim wymienił daną informację bez naruszania tajemnicy korespondencji (np. poprzez analizę metadanych).
Dane byłych pracowników
Orzeczenie UODO z marca 2023 roku (DS.523.2244.2022) podkreśla konieczność zaprzestania korzystania przez firmę z adresu e-mail, który zawiera identyfikator możliwy do przypisania konkretnej osobie fizycznej (np. imię i nazwisko). Jednocześnie Prezes UODO dopuścił możliwość przetwarzania danych osobowych byłego pracownika w celu „zapewnienia ciągłości spraw służbowych oraz korespondencji handlowej”, zalecając ustawienie automatycznej odpowiedzi wraz ze wskazaniem adresu e-mail do innej osoby w organizacji. Takie działanie powinno jednak być ograniczone w czasie (krótkotrwałe) oraz uzasadnione. Wyrok WSA w Warszawie podtrzymał to stanowisko (II SA/Wa 1007/23).
Retencja czatów
Ważnym aspektem ochrony danych osobowych, również pod kątem ew. wycieków danych, jest retencja czatów, czyli zarządzanie czasem przechowywania wiadomości. Art. 5 pkt e RODO wskazuje, że dane osobowe powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania. Wiele komunikatorów wykorzystywanych służbowo umożliwia zarządzanie czasem przechowywania wiadomości (np. Teams, Google Workspace czy Slack).
Bezpieczeństwo kont
W przypadku korzystania z komunikatorów zazwyczaj konieczne jest posiadanie konta na danej platformie (np. Microsoft 365, Google Workspace czy Slack). Pracownicy mają dostęp do wielu różnych zasobów w chmurze oraz czatów zawierających poufne informacje z punktu widzenia przedsiębiorstwa – niekoniecznie podlegające pod RODO. Uzyskanie nieuprawnionego dostępu do konta przez cyberprzestępców może nieść za sobą poważne skutki – np. rozsyłanie e-maili z fakturami zawierające numery kont bankowych przestępców.
W tym celu organizacja powinna zadbać o to, aby użytkownicy wykorzystywali dwuetapowe uwierzytelnianie, czyli logowanie z wykorzystaniem dodatkowego składnika. Może być nim m.in.:
- jednorazowy kod z SMS lub aplikacji uwierzytelniającej (OTP);
- dane biometryczne (odcisk palca);
- klucz fizyczny.
Dzięki temu wyciek loginu i hasła znacząco utrudnia cyberprzestępcom włamanie się na konto służbowe, co chroni korespondencję.
Podsumowanie
Świadomość zagrożeń oraz określonych kanałów komunikacji jest kluczowa dla rozważnego korzystania z komunikatorów w firmie. Rozwiązania techniczne, takie jak np. DLP (data loss prevention software) bezpośrednio nie zapobiegną fotografowaniu papierowych dokumentów, tak jak to miało miejsce w gnieźnieńskiej spółce.
Pracownicy powinni wiedzieć, jakich kanałów komunikacji powinno się użyć w danej sytuacji, lecz to po stronie pracodawcy leży określenie konkretnego rozwiązania.
Dodatkowym wyzwaniem staje się ochrona informacji w przypadku korzystania przez pracowników z własnych urządzeń (BYOD, ang. Bring Your Own Device). Taka sytuacja powinna być odnotowana w analizie ryzyka. Monitorowanie korzystania z komunikatorów może być uzasadnionym interesem administratora, lecz nie może naruszać praw pracownika.
Ważne jest również to, jak komunikujemy się poza swoją organizację w przypadku wykorzystania prywatnych kanałów komunikacji, co oczywiście nie jest zalecane. Należy przy tym podkreślić różnice w poziomie bezpieczeństwa informacji (np. brakiem szyfrowania end-to-end (E2E), zapewniającego poufność).
Polecamy:
