Bring your Own Device - jak zorganizować pracę w firmie

prawo: wierzbowski eversheds
Bring Your Own Device
- jak zorganizować pracę w firmie
Jestem przedsiębiorcą świadczącym usługi wymagające wykorzystania nowoczesnych urządzeń mobilnych,
takich jak tablety, smartfony czy notebooki. Część moich pracowników wykorzystuje w pracy własne
urządzenia, co dość dobrze sprawdza się w praktyce. Nie jestem jednak pewien, czy jest to legalne, w jaki sposób
mogę zabezpieczyć firmowe informacje poufne, do których mają dostęp pracownicy na swoich urządzeniach, no
i co zrobić, jeśli któryś z pracowników zdecyduje się odejść z firmy?
Działem opiekuje się:
Gerard Karp
Adwokat w zespole prawa
telekomunikacyjnego i ochrony danych
osobowych w kancelarii Wierzbowski
Eversheds. Specjalizuje się w prawie
ochrony danych osobowych, nowych
technologii i komunikacji elektronicznej.
24
proseed
B
YOD, czyli bring your own device, to coraz bardziej popularne
rozwiązanie, polegające na tym, że
pracownicy korzystają z własnych
urządzeń elektronicznych, takich jak
telefony, smartfony czy notebooki, do
wykonywania pracy na rzecz firmy.
Szczegółowe rozwiązania w tym zakresie mogą przybierać różne formy,
w zależności od potrzeb. Może to być
na przykład korzystanie z urządzeń
będących uprzednio własnością pracowników albo zakup takich urządzeń
przez pracodawcę i stopniowe ich
spłacanie przez pracowników.
Chociaż przepisy nie odpowiadają
wprost na pytanie o dopuszczalność
stosowania BYOD w Polsce, to Kodeks pracy nie ustala bezwzględnego
obowiązku zapewnienia pracownikom narzędzi pracy przez praco-
dawcę. Wyraźnie dozwolona jest
możliwość wykonywania pracy przy
pomocy własnych narzędzi w związku
z telepracą, czyli np. wykonywaniem
pracy z domu (art. 6711 §2 kp). Ogólną
dopuszczalność wykonywania pracy przy pomocy własnych narzędzi
potwierdziło już orzecznictwo Sądu
Najwyższego1.
BYOD niesie za sobą wiele korzyści,
ale także pewne ryzyka. Wprowadzenie takiego systemu w firmie
może przynieść oszczędności, ale
dla bezpieczeństwa przedsiębiorstwa, klientów, a także samych
pracowników – wymaga zawarcia
stosownych klauzul w umowach
o pracę lub podpisania stosownych
aneksów, a także modyfikacji regulaminów pracy i polityki ochrony
prywatności.
Między innymi wyrok z 14.02.1959 r. (IV CR 371/58), który, mimo że leciwy, to zachowuje aktualność w tym
zakresie, a stanowisko w nim wyrażone zostało powtórzone w nowych orzeczeniach, np. w wyroku z 7.03.2006 r.
z sprawie I PK 146/05, w wyroku z 25.11.2004 r. w sprawie I PK 42/04, a także w wyroku z 12.03.2009 r.
w sprawie II PK 198/08.
1
prawo > Bring Your Own Device - jak zorganizować pracę w firmie
W jaki sposób
wprowadzić BYOD?
Z uwagi na specyfikę stosunku pracy
i relacji pomiędzy jego stronami,
wprowadzenie tego rozwiązania
wymaga zgody pracownika. Ustalenie, że dany pracownik będzie
korzystał np. z prywatnego laptopa, powinno znaleźć się w umowie
o pracę, przy czym może ono też zostać dodane aneksem do tej umowy.
Natomiast ogólne zasady używania
własnych urządzeń przez pracowników powinny zostać określone
w umowie o pracę, w regulaminie
pracy, ewentualnie w polityce BYOD
(będącej załącznikiem do regulaminu
pracy) albo w układzie zbiorowym.
Zasady funkcjonowania BYOD powinny określać między innymi prawo
pracodawcy do:
ÌÌ stosowania zabezpieczeń
informatycznych na urządzeniu
pracownika,
ÌÌ usuwania danych firmowych
z urządzeń pracownika,
ÌÌ monitorowania korzystania
z tego urządzenia.
Ryzyka pracodawcy
BYOD niesie ze sobą pewne niebezpieczeństwa dla pracodawców.
Wśród najważniejszych można wskazać na przykład:
ÌÌ uzyskanie dostępu do danych
firmy przez osoby nieupoważ-
ÌÌ
ÌÌ
nione, które weszły w posiadanie urządzenia,
ryzyko ujawnienia danych firmy
w przypadku odejścia pracownika z pracy,
ryzyko utraty klientów
(np. kontaktujących się z danym
pracownikiem na jego prywatny
numer telefonu).
Pewnym zabezpieczeniem przed ww.
przykładami ryzyk może być uzgodnienie z pracownikiem (w umowie
o pracę albo w aneksie) szczegółowych postanowień dotyczących:
ÌÌ poufności w związku ze stosowaniem modelu BYOD,
ÌÌ ograniczeń w zakresie „przejmowania” klientów,
ÌÌ zobowiązania do szczególnej
dbałości o dane pracodawcy
znajdujące się na urządzeniu
pracownika,
ÌÌ przypomnienia pracownikowi
o przepisach ustawy o zwalczaniu nieuczciwej konkurencji,
zwłaszcza w zakresie obowiązku zachowania tajemnicy
przedsiębiorstwa.
Szczegółowe regulacje muszą przy
tym uwzględniać specyfikę danego
przedsiębiorstwa, a także branży,
w której działa firma.
Z perspektywy podatkowej korzystanie przez pracownika z jego własnego
sprzętu przy wykonywaniu obowiąz-
prawo > Bring Your Own Device - jak zorganizować pracę w firmie
Adam Nierzwicki
Radca prawny w zespole prawa pracy
kancelarii Wierzbowski Eversheds.
Specjalizuje się w doradztwie z zakresu
szeroko pojętego prawa pracy, posiada
także doświadczenie w zakresie ochrony
danych osobowych. Jest współautorem
blogu kodeksWpracy.pl oraz publikacji
prasowych z zakresu prawa pracy.
proseed
25
ków służbowych może wiązać się
w szczególności z ryzykiem ustalenia
przez władze skarbowe, że pracodawca otrzymuje w takiej sytuacji od
pracowników tzw. nieodpłatne świadczenie. Wartość takiego świadczenia
stanowiłaby przychód pracodawcy.
Zabezpieczeniem przed ryzykiem
ustalenia przez władze skarbowe, że
pracodawca otrzymuje nieodpłatne
świadczenie w związku z wprowadzeniem systemu BYOD, mogłoby
być wprowadzenie do umowy
o pracę klauzuli dotyczącej ekwiwalentu pieniężnego za używanie przez
pracownika przy wykonywaniu pracy jego własnego sprzętu. Przepisy
podatkowe nie wskazują jednak, jak
ustalić wartość takiego ekwiwalentu.
Co do zasady, obserwując praktykę
władz skarbowych, wydaje się, że
wartość ekwiwalentu powinna być
ustalana w szczególności z uwzględnieniem stopnia zużycia sprzętu, dokonanego w trakcie tego używania
przez pracownika do celów służbowych, i udokumentowanych cen rynkowych takiego sprzętu. Wypłacony
pracownikowi ekwiwalent pieniężny
za używany przez niego sprzęt stanowiący jego prywatną własność
byłby wolny od podatku dochodowego (por. art. 21 ust. 13 Ustawy
o podatku dochodowym od osób
fizycznych z dnia 26 lipca 1991 r.)
i mógłby stanowić koszt uzyskania
przychodu dla pracodawcy.
26
proseed
Ochrona prywatności
i danych osobowych
pracownika
Nie ulega wątpliwości, że możliwość
wykorzystywania sprzętu będącego
własnością pracownika do celów
służbowych może w pewnych sytu-
W przypadku gdy
nośniki pozostają
własnością
pracownika,
pracodawca
nie może tak po
prostu dokonać
pełnej kontroli
sprzętu, nawet po
wcześniejszym
uprzedzeniu
pracownika.
acjach rodzić konflikt interesów na
kompletnie innej płaszczyźnie, mianowicie dostępu do informacji, np. korespondencji, dokumentów lub innych
treści prywatnych (niezwiązanych
w żaden sposób ze świadczeniem
pracy na rzecz przedsiębiorstwa).
W klasycznej sytuacji, czyli gdy
to firma dostarcza pracownikowi
narzędzia pracy, to pracodawca jest
właścicielem tych nośników. Oznacza to, że w sytuacji newralgicznej,
o ile wcześniej pracownika uprzedził,
może np. przeprowadzić monitoring
takiego sprzętu, w szczególności, gdy
uzasadnione będzie podejrzenie łamania prawa lub narażania klientów
firmy na szkodę (np. poprzez podejmowanie działań konkurencyjnych).
W przypadku gdy nośniki pozostają
własnością pracownika, pracodawca nie może tak po prostu dokonać
pełnej kontroli sprzętu, nawet po
wcześniejszym uprzedzeniu pracownika. W związku z tym pojawiają się
dwa pytania:
ÌÌ czy pracodawca może niejako
narzucić model BYOD wszystkim pracownikom?
ÌÌ czy funkcjonowanie takiego
modelu będzie pozwalało
pracodawcy na prowadzenie
monitoringu sprzętu, który nie
będzie jego własnością? A jeśli
tak, to w jakim zakresie?
Wdrożenie BYOD a zgoda
pracownicza
Wykorzystywanie sprzętu pracownika do celów służbowych wiąże się
z faktem dostępu pracodawcy do zasobów (treści, plików) zawartych na
tym nośniku. Nie ulega wątpliwości,
że pracodawca najprawdopodobniej
będzie miał też możliwości techniczne dostępu do innych treści, w tym do
prawo > Bring Your Own Device - jak zorganizować pracę w firmie
danych osobowych lub informacji objętych sferą prywatności pracownika.
Zasadnym jest pytanie, czy w świetle
obowiązujących przepisów prawa,
zwłaszcza ustawy z 29 sierpnia 1997
roku o ochronie danych osobowych
(Dz.U. 2002 r., Nr 101, poz. 926 z późn.
zm), model BYOD jest prawnie dopuszczalny. W sytuacji braku wyraźnych przepisów prawa regulujących
ten aspekt wydaje się, że taki model
działania byłby dopuszczalny, ale przy
zachowaniu pewnych ograniczeń.
Mianowicie musiałby funkcjonować
przy wyraźnej zgodzie pracownika.
Należy zwrócić uwagę, że problematyka zgody w stosunkach pracowniczych jest kontrowersyjna i może
być kwestionowana jako wymuszona
(w szczególności wyrok Naczelnego
Sądu Administracyjnego z 1 grudnia
2009 r. o sygn. I OSK 249/09, niepubl.).
Wydaje się jednak, że jeśli pracownikowi stworzono rzeczywiste warunki do dobrowolnego skorzystania
z modelu BYOD, takie działanie jest
dopuszczalne. Oczywiście w razie
sporu to na pracodawcy ciążyłby
obowiązek udowodnienia, że zgoda
pracownika była dobrowolna.
Monitoring pracownika
oraz wykorzystywanych
przez niego urządzeń
prywatnych
Samo zagadnienie monitoringu nie
jest uregulowane przepisami prawa.
Niemniej dopuszcza się jego prowadzenie w sytuacji, gdy zagrożone są
interesy pracodawcy, a pracownik
został wcześniej uprzedzony o możliwości tego typu działań.
Wprowadzenie BYOD
w firmie może
przynieść
oszczędności, ale
wymaga zawarcia
stosownych klauzul
w umowach o pracę
lub podpisania
aneksów, a także
modyfikacji
regulaminów pracy
i polityki ochrony
prywatności.
Jak wcześniej zaznaczono, niewątpliwie monitoring jest znacznie mniej
kontrowersyjny, gdy chodzi o wykorzystywanie sprzętu pracodawcy,
natomiast więcej problemów pojawia się, gdy chodzi o prowadzenie
monitoringu sprzętu należącego do
prawo > Bring Your Own Device - jak zorganizować pracę w firmie
pracownika. Na takim nośniku będzie
zawartych nieporównywalnie więcej
informacji dotyczących życia prywatnego pracownika niż na sprzęcie
służbowym (nawet jeżeli ten ostatni
za przyzwoleniem pracodawcy może być wykorzystywany do celów
prywatnych).
Wydaje się, że monitoring w ograniczonym zakresie mógłby zostać
dopuszczony nawet przy modelu
BYOD. Przede wszystkim pracownik
musiałby zostać wyraźnie uprzedzony, że takie działania mogą być
prowadzone. Co istotne, taka informacja musiałaby być podana jeszcze
przed wyrażeniem zgody pracownika
na wykorzystanie jego sprzętu na
cele służbowe. Zgoda na monitoring
nie mogłaby być nieograniczona.
Pracodawca nie mógłby więc prowadzić monitoringu całego sprzętu
pracownika, ale jedynie jego części,
np. firmowej skrzynki pocztowej. Zasady takiego ograniczonego monitoringu powinny zostać jasno opisane
w procedurach związanych z przetwarzaniem danych i zakomunikowane pracownikom chcącym uczestniczyć w systemie BYOD. Autorzy dziękują za współpracę Małgorzacie Sajkiewicz, która jest prawnikiem
w zespole doradztwa podatkowego
kancelarii Wierzbowski Eversheds.
proseed
27