Wykonywanie pracy przy pomocy własnych urządzeń potwierdził Sąd Najwyższy

Bring your own device (BYOD), zwane również bring your own technology (BYOT) bądź konsumeryzacją IT, polega na dopuszczeniu lub nawet wymuszeniu, by pracownicy wykonywali swoje zadania służbowe, używając urządzeń prywatnych (np. telefonów, i-Padów, notebooków). Jest to już od kilku lat popularne rozwiązanie. Czasem jest to wyraźna polityka obowiązująca w firmie, a czasem rozwiązanie, które wykształciło się w sposób naturalny i po części poza wiedzą firmy. Niewątpliwie sprzyja ono obecnym realiom, gdy życie prywatne i zawodowe pozostają w ścisłej synergii. Noszenie kilku telefonów lub posiadanie kilku notebooków jest znaczną niedogodnością, a w efekcie jest zachętą dla pracowników do skorzystania z BYOD. Z drugiej strony jest to oszczędność dla pracodawcy. Przepisy kodeksu pracy nie ustanawiają bezwzględnego obowiązku zapewnienia pracownikom narzędzi do pracy. Zresztą dopuszczalność wykonywania pracy za pomocą własnych urządzeń potwierdził Sąd Najwyższy (wyrok z 12 marca 2009 r., II PK 198/08).

O ile technicznie można sobie poradzić z tym fenomenem, przynajmniej w większych przedsiębiorstwach, o tyle prawnie niesie on ze sobą wiele rodzajów ryzyka i zdecydowanie bardziej złożone problemy niż wielokrotnie dyskutowane wykorzystywanie Internetu i firmowego adresu e-mail dla celów prywatnych.

Po pierwsze, niemożliwe jest zmuszenie użytkownika urządzenia, będącego jednocześnie jego właścicielem, bez uzgodnień umownych do przyjęcia ograniczeń przy korzystaniu z niego, co w przypadku urządzeń należących do pracodawcy jest coraz częściej stosowaną formułą w politykach i regulaminach firmy.

W przypadku urządzeń udostępnionych przez pracodawcę można regulaminowo wyłączyć korzystanie z nich do celów prywatnych

Kto jest stroną umowy

Niezależnie od własności samego urządzenia pojawia się pytanie, kto będzie stroną umowy z dostawcą usług telekomunikacyjnych. Możliwe są różne modele:

? przedsiębiorca podpisuje umowę o usługi telekomunikacyjne, z których pracownik może korzystać również dla celów prywatnych,

? pracownik wykorzystuje usługi, na które podpisał umowę prywatnie i w związku z tym otrzymuje od pracodawcy zwrot poniesionych kosztów,

? istnieją dwie odrębne umowy i numery dla celów prywatnych i służbowych podpisane przez obie strony niezależnie.

Drugi model będzie najbardziej ryzykowny dla pracodawcy. Szczególnie w kontekście odchodzącego pracownika mającego znaczny kontakt z klientami firmy.

W grę wchodzi naruszenie konstytucyjnej zasady swobody i wolności komunikowania się (art. 49 konstytucji). Na urządzeniu prywatnym znajduje się o wiele więcej informacji, do których pracodawca nie powinien mieć wglądu, aniżeli w urządzeniach służbowych, które mimochodem są używane do celów prywatnych. W przypadku urządzeń udostępnionych przez pracodawcę można regulaminowo wyłączyć korzystanie z nich w celach prywatnych. Przy formalnym zakazie korzystania z przekazanego sprzętu czy przydzielonego adresu email pracodawca może założyć, iż wiadomości elektroniczne dotyczą tylko działalności firmy, a zapisane numery telefonów czy nagrane wiadomości głosowe są kontaktami służbowymi lub od nich pochodzą i może, z pewnymi wyjątkami, je odczytać. Inaczej gdy urządzenie jest własnością samego użytkownika. Zresztą taki zakaz zaprzeczyłby samym założeniom BYOD. Oparcie się na regułach czasu pracy, które obecnie ulegają zatarciu, nie będzie żadnym antidotum. Dlatego zakazanie korzystania ze sprzętu dla celów prywatnych podczas pracy nie rozwiąże problemu, gdyż nie chodzi o czas, w jakim może dojść do potencjalnych naruszeń, ale o sam fakt przemieszania się informacji służbowych i prywatnych oraz jego następstw.

Ochrona danych

Wdrożenie zasad BYOD rodzi również problemy na gruncie prawa ochrony danych osobowych i bezpieczeństwa informacji. Administrator danych osobowych, którym jest pracodawca, zgodnie z art. 36 ust. 1  ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: uodo) jest zobowiązany „zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem". Sprowadza się to do tego, iż pracodawca który decyduje się na BYOD, jako podmiot odpowiedzialny powinien mieć wpływ na wybór urządzeń oraz ich ustawienia. Dodatkowo należy się zastanowić, czy przetwarzanie przez pracownika danych osobowych na jego własnym sprzęcie może się w dalszym ciągu opierać na upoważnieniu do przetwarzania danych osobowych, czy też bardziej odpowiednie będzie powierzenie przetwarzania danych osobowych drogą umowy w rozumieniu art. 31 uodo.