Monitoring użytkowników w sieci – zasady zgodne z RODO

Monitoring użytkowników w sieci – zasady zgodne z RODO

Kto by pomyślał, że śledzenie użytkowników sieci może być aż tak skomplikowane?

Przyznam szczerze, że kiedy po raz pierwszy zetknąłem się z wytycznymi dotyczącymi monitorowania infrastruktury IT w kontekście RODO, trochę się zgubiłem. Całe to zamieszanie z przetwarzaniem danych osobowych, uzyskiwaniem zgód i obowiązkami informacyjnymi – to wyglądało na prawdziwy galimatias. Ale po zagłębieniu się w temat i przeanalizowaniu różnych przykładów, udało mi się wypracować całkiem przejrzysty schemat działania. I chciałbym się z Wami tym podzielić.

Monitorowanie infrastruktury IT – co to takiego?

Zacznijmy od wyjaśnienia, o czym w ogóle mówimy. Pod pojęciem “monitorowania infrastruktury IT” kryje się szereg działań, które mają na celu weryfikację i kontrolę tego, co dzieje się w naszej sieci lokalnej. Chodzi tu między innymi o:

  • śledzenie, jakie urządzenia są do niej podłączone
  • sprawdzanie, z jakimi zasobami się łączą użytkownicy
  • wykrywanie podejrzanych zdarzeń, takich jak próby włamania czy obecność złośliwego oprogramowania
  • kontrolowanie dostępu do określonych zasobów
  • analiza natężenia ruchu sieciowego

Mówiąc wprost, monitorujemy ruch w naszej sieci, aby zapewnić jej bezpieczeństwo i sprawne funkcjonowanie. I tu dochodzimy do sedna problemu – bo przy okazji tego monitorowania zbieramy całą masę informacji, które mogą stanowić dane osobowe użytkowników.

Dane osobowe w grze

O co konkretnie chodzi? Cóż, nawet jeśli nie zbieramy bezpośrednio danych identyfikujących konkretne osoby, to i tak możemy powiązać wiele informacji z użytkownikami sieci. Choćby na podstawie adresu IP, adresu MAC czy loginu. I to właśnie stawia nas w roli administratora danych osobowych, zobowiązanego do przestrzegania wszelkich wymogów RODO.

Kluczową kwestią jest zatem zrozumienie, że monitorowanie infrastruktury IT w celach bezpieczeństwa wiąże się z przetwarzaniem danych osobowych. I to bez względu na to, czy działania te są skierowane na pracowników, czy też na innych użytkowników, np. współpracowników zewnętrznych.

Podstawa prawna i zasady

Dobra wiadomość jest taka, że monitorowanie infrastruktury IT w celach związanych z bezpieczeństwem generalnie jest legalne. Opiera się ono na art. 6 ust. 1 lit. f RODO, dotyczącym przetwarzania danych w ramach prawnie uzasadnionych interesów administratora.

Ale, jak to zwykle bywa, diabeł tkwi w szczegółach. Monitorując naszą sieć, musimy pamiętać, aby nie naruszyć nieproporcjonalnie prywatności użytkowników. Innymi słowy, musimy wyważyć nasze potrzeby związane z ochroną bezpieczeństwa IT z interesami i prawami osób, których dane przetwarzamy.

Zwykle oznacza to, że możemy zbierać logi, skanować pakiety pod kątem złośliwego oprogramowania, sprawdzać, z kim łączą się urządzenia, ale już nie powinniśmy szczegółowo śledzić, jakie klawisze naciska użytkownik czy jakie ruchy myszą wykonuje. To zbyt daleko idąca ingerencja w prywatność.

Informowanie użytkowników

Niezależnie od tego, czy prowadzimy monitoring w celach bezpieczeństwa, czy też w celu kontroli czasu pracy i wykorzystania narzędzi (co wymaga nieco innych działań), musimy pamiętać o dwóch kluczowych obowiązkach:

  1. Obowiązek informacyjny – musimy poinformować użytkowników, w jaki sposób ich dane są przetwarzane, w jakim celu, kto jest administratorem, jak długo dane będą przechowywane, a także o przysługujących im prawach.

  2. Obowiązek uzyskania zgody – jeśli monitoring infrastruktury IT ma służyć celom innym niż bezpieczeństwo (np. kontrola czasu pracy), musimy uzyskać od użytkowników wyraźną zgodę na takie przetwarzanie.

Obowiązki te możemy spełnić na różne sposobyw zależności od celu monitorowania. Jeśli chodzi o bezpieczeństwo, możemy opisać zasady monitoringu w regulaminie pracy lub w polityce prywatności i cookies. Natomiast gdy cel jest inny, musimy poinformować o tym w sposób określony w Kodeksie pracy – np. poprzez regulamin pracy lub obwieszczenie.

Ocena skutków i rejestry

Oprócz tych podstawowych kwestii, warto pamiętać o kilku dodatkowych obowiązkach wynikających z RODO. Między innymi:

  • Ocena skutków dla ochrony danych (DPIA) – jeśli monitorowanie infrastruktury IT wiąże się z wysokim ryzykiem dla praw i wolności osób, powinniśmy przeprowadzić taką ocenę.

  • Rejestr czynności przetwarzania – w ramach dokumentacji ochrony danych powinniśmy ująć informacje o monitorowaniu, jego celu, zakresie, kategoriach danych, okresach przechowywania itp.

Dzięki temu będziemy mieli pełen obraz tego, co i w jaki sposób robimy w ramach nadzoru nad infrastrukturą IT, a także będziemy mogli wykazać organom nadzorczym, że działamy zgodnie z przepisami.

Jak to wdrożyć w praktyce?

Dobra, skoro mamy już teorię, czas na praktykę. Jak zatem wdrożyć monitoring infrastruktury IT w sposób zgodny z RODO?

Najprościej rzecz ujmując, powinniśmy:

  1. Określić cel monitorowania – czy jest to wyłącznie zapewnienie bezpieczeństwa, czy też kontrola czasu pracy i wykorzystania narzędzi.

  2. Ustalić zakres monitorowania – co konkretnie będziemy śledzić (ruch sieciowy, podłączone urządzenia, logowanie do zasobów itp.).

  3. Przygotować odpowiednie informacje dla użytkowników – w zależności od celu, może to być regulamin pracy, polityka prywatności lub zgoda na monitoring.

  4. Wdrożyć środki bezpieczeństwa – szyfrowanie, ograniczenie dostępu, okresowe czyszczenie logów itp.

  5. Odnotować monitorowanie w rejestrze czynności przetwarzania – wraz z innymi niezbędnymi informacjami.

  6. Rozważyć konieczność przeprowadzenia oceny skutków (DPIA) – jeśli mamy do czynienia z wysokim ryzykiem.

Brzmi skomplikowanie? Cóż, w dzisiejszych czasach ochrona danych osobowych to niestety konieczność. Ale nie martwcie się – z odpowiednim przygotowaniem i zrozumieniem przepisów, można to ogarnąć bez większego problemu.

Pisząc na stronie stronyinternetowe.uk…

A skoro mowa o ochronie danych, nie mogę pominąć tematu cookies. Jako firma projektująca strony internetowe, również u siebie na stronyinternetowe.uk korzystamy z narzędzi analitycznych, takich jak Google Analytics. I oczywiście musimy pamiętać o odpowiednim poinformowaniu użytkowników i uzyskaniu ich zgody na wykorzystywanie tych ciasteczek.

Zresztą, cała ta kwestia monitorowania i przetwarzania danych osobowych to temat rzeka. Nieustannie analizujemy nowe regulacje, śledzimy orzecznictwo i wypracowujemy najlepsze praktyki, aby nasi klienci mogli w pełni korzystać z możliwości, jakie daje Internet, jednocześnie zachowując zgodność z przepisami.

Jeśli i Ty zmagasz się z tymi zagadnieniami, zachęcam Cię do dalszego zgłębiania tematu. A jeśli masz jakiekolwiek pytania – nie wahaj się zapytać! Chętnie pomogę.

Nasze inne poradniki

Chcemy być Twoim partnerem w tworzeniu strony internetowej, a Ty chcesz mieć profesjonalnie zaprojektowaną witrynę?

Zrobimy to dla Ciebie!