Bring your Own Device - jak zorganizować pracę w firmie
Transkrypt
Bring your Own Device - jak zorganizować pracę w firmie
prawo: wierzbowski eversheds Bring Your Own Device - jak zorganizować pracę w firmie Jestem przedsiębiorcą świadczącym usługi wymagające wykorzystania nowoczesnych urządzeń mobilnych, takich jak tablety, smartfony czy notebooki. Część moich pracowników wykorzystuje w pracy własne urządzenia, co dość dobrze sprawdza się w praktyce. Nie jestem jednak pewien, czy jest to legalne, w jaki sposób mogę zabezpieczyć firmowe informacje poufne, do których mają dostęp pracownicy na swoich urządzeniach, no i co zrobić, jeśli któryś z pracowników zdecyduje się odejść z firmy? Działem opiekuje się: Gerard Karp Adwokat w zespole prawa telekomunikacyjnego i ochrony danych osobowych w kancelarii Wierzbowski Eversheds. Specjalizuje się w prawie ochrony danych osobowych, nowych technologii i komunikacji elektronicznej. 24 proseed B YOD, czyli bring your own device, to coraz bardziej popularne rozwiązanie, polegające na tym, że pracownicy korzystają z własnych urządzeń elektronicznych, takich jak telefony, smartfony czy notebooki, do wykonywania pracy na rzecz firmy. Szczegółowe rozwiązania w tym zakresie mogą przybierać różne formy, w zależności od potrzeb. Może to być na przykład korzystanie z urządzeń będących uprzednio własnością pracowników albo zakup takich urządzeń przez pracodawcę i stopniowe ich spłacanie przez pracowników. Chociaż przepisy nie odpowiadają wprost na pytanie o dopuszczalność stosowania BYOD w Polsce, to Kodeks pracy nie ustala bezwzględnego obowiązku zapewnienia pracownikom narzędzi pracy przez praco- dawcę. Wyraźnie dozwolona jest możliwość wykonywania pracy przy pomocy własnych narzędzi w związku z telepracą, czyli np. wykonywaniem pracy z domu (art. 6711 §2 kp). Ogólną dopuszczalność wykonywania pracy przy pomocy własnych narzędzi potwierdziło już orzecznictwo Sądu Najwyższego1. BYOD niesie za sobą wiele korzyści, ale także pewne ryzyka. Wprowadzenie takiego systemu w firmie może przynieść oszczędności, ale dla bezpieczeństwa przedsiębiorstwa, klientów, a także samych pracowników – wymaga zawarcia stosownych klauzul w umowach o pracę lub podpisania stosownych aneksów, a także modyfikacji regulaminów pracy i polityki ochrony prywatności. Między innymi wyrok z 14.02.1959 r. (IV CR 371/58), który, mimo że leciwy, to zachowuje aktualność w tym zakresie, a stanowisko w nim wyrażone zostało powtórzone w nowych orzeczeniach, np. w wyroku z 7.03.2006 r. z sprawie I PK 146/05, w wyroku z 25.11.2004 r. w sprawie I PK 42/04, a także w wyroku z 12.03.2009 r. w sprawie II PK 198/08. 1 prawo > Bring Your Own Device - jak zorganizować pracę w firmie W jaki sposób wprowadzić BYOD? Z uwagi na specyfikę stosunku pracy i relacji pomiędzy jego stronami, wprowadzenie tego rozwiązania wymaga zgody pracownika. Ustalenie, że dany pracownik będzie korzystał np. z prywatnego laptopa, powinno znaleźć się w umowie o pracę, przy czym może ono też zostać dodane aneksem do tej umowy. Natomiast ogólne zasady używania własnych urządzeń przez pracowników powinny zostać określone w umowie o pracę, w regulaminie pracy, ewentualnie w polityce BYOD (będącej załącznikiem do regulaminu pracy) albo w układzie zbiorowym. Zasady funkcjonowania BYOD powinny określać między innymi prawo pracodawcy do: ÌÌ stosowania zabezpieczeń informatycznych na urządzeniu pracownika, ÌÌ usuwania danych firmowych z urządzeń pracownika, ÌÌ monitorowania korzystania z tego urządzenia. Ryzyka pracodawcy BYOD niesie ze sobą pewne niebezpieczeństwa dla pracodawców. Wśród najważniejszych można wskazać na przykład: ÌÌ uzyskanie dostępu do danych firmy przez osoby nieupoważ- ÌÌ ÌÌ nione, które weszły w posiadanie urządzenia, ryzyko ujawnienia danych firmy w przypadku odejścia pracownika z pracy, ryzyko utraty klientów (np. kontaktujących się z danym pracownikiem na jego prywatny numer telefonu). Pewnym zabezpieczeniem przed ww. przykładami ryzyk może być uzgodnienie z pracownikiem (w umowie o pracę albo w aneksie) szczegółowych postanowień dotyczących: ÌÌ poufności w związku ze stosowaniem modelu BYOD, ÌÌ ograniczeń w zakresie „przejmowania” klientów, ÌÌ zobowiązania do szczególnej dbałości o dane pracodawcy znajdujące się na urządzeniu pracownika, ÌÌ przypomnienia pracownikowi o przepisach ustawy o zwalczaniu nieuczciwej konkurencji, zwłaszcza w zakresie obowiązku zachowania tajemnicy przedsiębiorstwa. Szczegółowe regulacje muszą przy tym uwzględniać specyfikę danego przedsiębiorstwa, a także branży, w której działa firma. Z perspektywy podatkowej korzystanie przez pracownika z jego własnego sprzętu przy wykonywaniu obowiąz- prawo > Bring Your Own Device - jak zorganizować pracę w firmie Adam Nierzwicki Radca prawny w zespole prawa pracy kancelarii Wierzbowski Eversheds. Specjalizuje się w doradztwie z zakresu szeroko pojętego prawa pracy, posiada także doświadczenie w zakresie ochrony danych osobowych. Jest współautorem blogu kodeksWpracy.pl oraz publikacji prasowych z zakresu prawa pracy. proseed 25 ków służbowych może wiązać się w szczególności z ryzykiem ustalenia przez władze skarbowe, że pracodawca otrzymuje w takiej sytuacji od pracowników tzw. nieodpłatne świadczenie. Wartość takiego świadczenia stanowiłaby przychód pracodawcy. Zabezpieczeniem przed ryzykiem ustalenia przez władze skarbowe, że pracodawca otrzymuje nieodpłatne świadczenie w związku z wprowadzeniem systemu BYOD, mogłoby być wprowadzenie do umowy o pracę klauzuli dotyczącej ekwiwalentu pieniężnego za używanie przez pracownika przy wykonywaniu pracy jego własnego sprzętu. Przepisy podatkowe nie wskazują jednak, jak ustalić wartość takiego ekwiwalentu. Co do zasady, obserwując praktykę władz skarbowych, wydaje się, że wartość ekwiwalentu powinna być ustalana w szczególności z uwzględnieniem stopnia zużycia sprzętu, dokonanego w trakcie tego używania przez pracownika do celów służbowych, i udokumentowanych cen rynkowych takiego sprzętu. Wypłacony pracownikowi ekwiwalent pieniężny za używany przez niego sprzęt stanowiący jego prywatną własność byłby wolny od podatku dochodowego (por. art. 21 ust. 13 Ustawy o podatku dochodowym od osób fizycznych z dnia 26 lipca 1991 r.) i mógłby stanowić koszt uzyskania przychodu dla pracodawcy. 26 proseed Ochrona prywatności i danych osobowych pracownika Nie ulega wątpliwości, że możliwość wykorzystywania sprzętu będącego własnością pracownika do celów służbowych może w pewnych sytu- W przypadku gdy nośniki pozostają własnością pracownika, pracodawca nie może tak po prostu dokonać pełnej kontroli sprzętu, nawet po wcześniejszym uprzedzeniu pracownika. acjach rodzić konflikt interesów na kompletnie innej płaszczyźnie, mianowicie dostępu do informacji, np. korespondencji, dokumentów lub innych treści prywatnych (niezwiązanych w żaden sposób ze świadczeniem pracy na rzecz przedsiębiorstwa). W klasycznej sytuacji, czyli gdy to firma dostarcza pracownikowi narzędzia pracy, to pracodawca jest właścicielem tych nośników. Oznacza to, że w sytuacji newralgicznej, o ile wcześniej pracownika uprzedził, może np. przeprowadzić monitoring takiego sprzętu, w szczególności, gdy uzasadnione będzie podejrzenie łamania prawa lub narażania klientów firmy na szkodę (np. poprzez podejmowanie działań konkurencyjnych). W przypadku gdy nośniki pozostają własnością pracownika, pracodawca nie może tak po prostu dokonać pełnej kontroli sprzętu, nawet po wcześniejszym uprzedzeniu pracownika. W związku z tym pojawiają się dwa pytania: ÌÌ czy pracodawca może niejako narzucić model BYOD wszystkim pracownikom? ÌÌ czy funkcjonowanie takiego modelu będzie pozwalało pracodawcy na prowadzenie monitoringu sprzętu, który nie będzie jego własnością? A jeśli tak, to w jakim zakresie? Wdrożenie BYOD a zgoda pracownicza Wykorzystywanie sprzętu pracownika do celów służbowych wiąże się z faktem dostępu pracodawcy do zasobów (treści, plików) zawartych na tym nośniku. Nie ulega wątpliwości, że pracodawca najprawdopodobniej będzie miał też możliwości techniczne dostępu do innych treści, w tym do prawo > Bring Your Own Device - jak zorganizować pracę w firmie danych osobowych lub informacji objętych sferą prywatności pracownika. Zasadnym jest pytanie, czy w świetle obowiązujących przepisów prawa, zwłaszcza ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 r., Nr 101, poz. 926 z późn. zm), model BYOD jest prawnie dopuszczalny. W sytuacji braku wyraźnych przepisów prawa regulujących ten aspekt wydaje się, że taki model działania byłby dopuszczalny, ale przy zachowaniu pewnych ograniczeń. Mianowicie musiałby funkcjonować przy wyraźnej zgodzie pracownika. Należy zwrócić uwagę, że problematyka zgody w stosunkach pracowniczych jest kontrowersyjna i może być kwestionowana jako wymuszona (w szczególności wyrok Naczelnego Sądu Administracyjnego z 1 grudnia 2009 r. o sygn. I OSK 249/09, niepubl.). Wydaje się jednak, że jeśli pracownikowi stworzono rzeczywiste warunki do dobrowolnego skorzystania z modelu BYOD, takie działanie jest dopuszczalne. Oczywiście w razie sporu to na pracodawcy ciążyłby obowiązek udowodnienia, że zgoda pracownika była dobrowolna. Monitoring pracownika oraz wykorzystywanych przez niego urządzeń prywatnych Samo zagadnienie monitoringu nie jest uregulowane przepisami prawa. Niemniej dopuszcza się jego prowadzenie w sytuacji, gdy zagrożone są interesy pracodawcy, a pracownik został wcześniej uprzedzony o możliwości tego typu działań. Wprowadzenie BYOD w firmie może przynieść oszczędności, ale wymaga zawarcia stosownych klauzul w umowach o pracę lub podpisania aneksów, a także modyfikacji regulaminów pracy i polityki ochrony prywatności. Jak wcześniej zaznaczono, niewątpliwie monitoring jest znacznie mniej kontrowersyjny, gdy chodzi o wykorzystywanie sprzętu pracodawcy, natomiast więcej problemów pojawia się, gdy chodzi o prowadzenie monitoringu sprzętu należącego do prawo > Bring Your Own Device - jak zorganizować pracę w firmie pracownika. Na takim nośniku będzie zawartych nieporównywalnie więcej informacji dotyczących życia prywatnego pracownika niż na sprzęcie służbowym (nawet jeżeli ten ostatni za przyzwoleniem pracodawcy może być wykorzystywany do celów prywatnych). Wydaje się, że monitoring w ograniczonym zakresie mógłby zostać dopuszczony nawet przy modelu BYOD. Przede wszystkim pracownik musiałby zostać wyraźnie uprzedzony, że takie działania mogą być prowadzone. Co istotne, taka informacja musiałaby być podana jeszcze przed wyrażeniem zgody pracownika na wykorzystanie jego sprzętu na cele służbowe. Zgoda na monitoring nie mogłaby być nieograniczona. Pracodawca nie mógłby więc prowadzić monitoringu całego sprzętu pracownika, ale jedynie jego części, np. firmowej skrzynki pocztowej. Zasady takiego ograniczonego monitoringu powinny zostać jasno opisane w procedurach związanych z przetwarzaniem danych i zakomunikowane pracownikom chcącym uczestniczyć w systemie BYOD. Autorzy dziękują za współpracę Małgorzacie Sajkiewicz, która jest prawnikiem w zespole doradztwa podatkowego kancelarii Wierzbowski Eversheds. proseed 27