Bring your own device (BYOD), zwane również bring your own technology (BYOT) bądź konsumeryzacją IT, polega na dopuszczeniu lub nawet wymuszeniu, by pracownicy wykonywali swoje zadania służbowe, używając urządzeń prywatnych (np. telefonów, i-Padów, notebooków). Jest to już od kilku lat popularne rozwiązanie. Czasem jest to wyraźna polityka obowiązująca w firmie, a czasem rozwiązanie, które wykształciło się w sposób naturalny i po części poza wiedzą firmy. Niewątpliwie sprzyja ono obecnym realiom, gdy życie prywatne i zawodowe pozostają w ścisłej synergii. Noszenie kilku telefonów lub posiadanie kilku notebooków jest znaczną niedogodnością, a w efekcie jest zachętą dla pracowników do skorzystania z BYOD. Z drugiej strony jest to oszczędność dla pracodawcy. Przepisy kodeksu pracy nie ustanawiają bezwzględnego obowiązku zapewnienia pracownikom narzędzi do pracy. Zresztą dopuszczalność wykonywania pracy za pomocą własnych urządzeń potwierdził Sąd Najwyższy (wyrok z 12 marca 2009 r., II PK 198/08).
O ile technicznie można sobie poradzić z tym fenomenem, przynajmniej w większych przedsiębiorstwach, o tyle prawnie niesie on ze sobą wiele rodzajów ryzyka i zdecydowanie bardziej złożone problemy niż wielokrotnie dyskutowane wykorzystywanie Internetu i firmowego adresu e-mail dla celów prywatnych.
Po pierwsze, niemożliwe jest zmuszenie użytkownika urządzenia, będącego jednocześnie jego właścicielem, bez uzgodnień umownych do przyjęcia ograniczeń przy korzystaniu z niego, co w przypadku urządzeń należących do pracodawcy jest coraz częściej stosowaną formułą w politykach i regulaminach firmy.
W przypadku urządzeń udostępnionych przez pracodawcę można regulaminowo wyłączyć korzystanie z nich do celów prywatnych
Kto jest stroną umowy
Niezależnie od własności samego urządzenia pojawia się pytanie, kto będzie stroną umowy z dostawcą usług telekomunikacyjnych. Możliwe są różne modele:
? przedsiębiorca podpisuje umowę o usługi telekomunikacyjne, z których pracownik może korzystać również dla celów prywatnych,
? pracownik wykorzystuje usługi, na które podpisał umowę prywatnie i w związku z tym otrzymuje od pracodawcy zwrot poniesionych kosztów,
? istnieją dwie odrębne umowy i numery dla celów prywatnych i służbowych podpisane przez obie strony niezależnie.
Drugi model będzie najbardziej ryzykowny dla pracodawcy. Szczególnie w kontekście odchodzącego pracownika mającego znaczny kontakt z klientami firmy.
W grę wchodzi naruszenie konstytucyjnej zasady swobody i wolności komunikowania się (art. 49 konstytucji). Na urządzeniu prywatnym znajduje się o wiele więcej informacji, do których pracodawca nie powinien mieć wglądu, aniżeli w urządzeniach służbowych, które mimochodem są używane do celów prywatnych. W przypadku urządzeń udostępnionych przez pracodawcę można regulaminowo wyłączyć korzystanie z nich w celach prywatnych. Przy formalnym zakazie korzystania z przekazanego sprzętu czy przydzielonego adresu email pracodawca może założyć, iż wiadomości elektroniczne dotyczą tylko działalności firmy, a zapisane numery telefonów czy nagrane wiadomości głosowe są kontaktami służbowymi lub od nich pochodzą i może, z pewnymi wyjątkami, je odczytać. Inaczej gdy urządzenie jest własnością samego użytkownika. Zresztą taki zakaz zaprzeczyłby samym założeniom BYOD. Oparcie się na regułach czasu pracy, które obecnie ulegają zatarciu, nie będzie żadnym antidotum. Dlatego zakazanie korzystania ze sprzętu dla celów prywatnych podczas pracy nie rozwiąże problemu, gdyż nie chodzi o czas, w jakim może dojść do potencjalnych naruszeń, ale o sam fakt przemieszania się informacji służbowych i prywatnych oraz jego następstw.
Ochrona danych
Wdrożenie zasad BYOD rodzi również problemy na gruncie prawa ochrony danych osobowych i bezpieczeństwa informacji. Administrator danych osobowych, którym jest pracodawca, zgodnie z art. 36 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo) jest zobowiązany „zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem". Sprowadza się to do tego, iż pracodawca który decyduje się na BYOD, jako podmiot odpowiedzialny powinien mieć wpływ na wybór urządzeń oraz ich ustawienia. Dodatkowo należy się zastanowić, czy przetwarzanie przez pracownika danych osobowych na jego własnym sprzęcie może się w dalszym ciągu opierać na upoważnieniu do przetwarzania danych osobowych, czy też bardziej odpowiednie będzie powierzenie przetwarzania danych osobowych drogą umowy w rozumieniu art. 31 uodo.
Z drugiej zaś strony pracodawca nie ma uprawnień do posiadania danych osobowych, które są wynikiem realizacji celów osobistych pracownika, a zostały pozyskane przy użyciu urządzenia wykorzystywanego również do celów służbowych. W efekcie pracodawca może wejść w posiadanie danych osobowych pomimo braku podstaw do ich przetwarzania (art. 23 i 27 uodo), co grozi mu odpowiedzialnością karną na podstawie art. 49 uodo.
Justyna Matuszak, adwokat
Reasumując, przedsiębiorcy, którzy decydują się na wprowadzenie BYOD, powinni podjąć odpowiednie środki techniczno-organizacyjne oraz formalno-prawne. Warto skorzystać z pojawiających się na rynku programów Mobile Device Managment, które umożliwiają zarządzanie urządzeniami mobilnymi przez dostęp do bezpiecznej domeny internetowej. Mogą one wymuszać na użytkownikach konieczność stosowania hasła o określonej sile, zdalnie instalować aplikacje mobilne na nieograniczonej liczbie urządzeń. System umożliwia również zdalne usunięcie aplikacji i chronionych danych przez wymazanie pamięci. Programy te umożliwiają obsługę niezależną od systemu operacyjnego (Windows Mobile, Android, iOS, BlackBerry). Dodatkowo bezpieczniejsze dla rozdzielenia dwóch sfer aktywności będzie wyodrębnienie dwóch numerów. Pozwoli to na łatwiejsze protokołowanie danych służbowych, od których rozdzielone będą dane prywatne. Ponadto pracodawca nie będzie miał dostępu do billingów będących efektem prywatnej sfery życia użytkownika. W ten sposób zminimalizuje się również ryzyko utraty danych klientów w przypadku odejścia pracownika, który byłby stroną umowy o świadczenie usług telekomunikacyjnych. Niezależnie od wdrożonych założeń technicznych istotne jest uregulowanie materii drogą wprowadzenia stosownych klauzul do umów o pracę, aneksów, modyfikacji regulaminów o pracę i wewnętrznych polityk prywatności. Należy w nich wskazać na ograniczenia w zakresie przejmowania klientów, wskazania na przepisy o zwalczaniu nieuczciwej konkurencji, głównie w kontekście zachowania tajemnicy przedsiębiorstwa. Dodatkowo, co istotne, należy uregulować rozliczenie się pracownika z pracodawcą w przypadku rozwiązania stosunku pracy poprzez przekazanie danych czy też ich formalne zniszczenie – potwierdzone protokołem.