BYOD to interesujące i popularne rozwiązanie dla świeżo powstałych firm, zwłaszcza startupów, które nie dysponują dużymi budżetami na zakup sprzętu. Co ciekawe jest to też praktyka niektórych korporacji. Dla osób nie znających tego terminu, jest to sytuacja w której personel firmy korzysta do pracy z własnych urządzeń, stąd też taka a nie inna nazwa (BYOD – Bring Your Own Device, Przynieś Własne Urządzenie). BYOD może przybrać różną postać, począwszy od prostego dopuszczenia do korzystania z własnego smartphone’a, przez pracę w domu na prywatnym komputerze, po wyłączną pracę na swoich własnych urządzenia – firma w takiej sytuacji nie zapewnia żadnych urządzeń.
Na BYOD firmy często patrzą od strony kosztów (można zredukować budżet na zakup sprzętu), wygody pracownika (konia z rzędem temu co nie zna żadnej osoby wolącej swój telefon od firmowego) czy środowiskowej (mniej sprzętu w gospodarce = mniej zużytych zasobów = mniej elektrośmieci). Rzadko, a nawet wcale, zastanawiają się nad tą kwestią od strony prawnej. Przyjrzyjmy się więc prawnym pułapkom BYOD.
Czy prawo zezwala na BYOD?
W polskim prawie nie istnieje zakaz pracowania na własnych urządzeniach. Nie oznacza to jednak, że każdy model BYOD jest zgodny z prawem, w praktyce największy wpływ na legalność BYOD mają dwie kwestie: rodzaj umowy pomiędzy firmą oraz to czy BYOD jest dobrowolne czy też obowiązkowe.
Załóżmy, że firma nie dostarcza laptopów lub telefonów, w takiej sytuacji, jeśli dana osoba pracuje w ramach umowy o pracę (UoP), firma nie ma możliwości by zmusić pracownika do korzystania z prywatnego laptopa czy smartphone’a. Polskie prawo pracy nie pozwala zmusić pracownika by ten pracował na własnym laptopie, nie pozwala też by odrzucić kandydata, który na rozmowie o pracę powie, że nie posiada lub nie zamierza pracować na swoim komputerze. A nawet jeśli pracownik zgodzi się korzystać z własnego sprzętu to w każdej chwili może się z tego wycofać i nie tylko nie można go za to zwolnić ale trzeba mu ten sprzęt zapewnić.
Na przeciwnym biegunie leży B2B oraz umowa o dzieło (UoD). W przypadku tych umów ciężko mówić o przymusie BYOD, niejako w ich naturę wpisana jest konieczność samodzielnego wyposażenia się w narzędzia do pracy. Tutaj BYOD jest więc obecne by default i tylko od tego co napisano w umowie zależy czy zamiast BYOD pracownik otrzyma firmowy sprzęt.
Po środku możliwości znajduje się umowa zlecenia (UZ), zawieszona w prawniczym limbo zwanym „to zależy”. W pewnych przypadkach można wymagać by pracownik na zleceniu korzystał z własnego sprzętu a w pewnych nie. Możliwość ta nie jest związana z tym czy umieszczono taki obowiązek w umowie, lecz bardziej z poziomem wynagrodzenia. Zgodnie z przepisami zatrudniający osobę na zleceniu ma dwa obowiązki:
•zapewnić przynajmniej stawkę minimalną za godzinę pracy,
•zwrócić zleceniobiorcy (pracownikowi pracującemu na zleceniu) koszty, jakie ten poniósł.
W teorii nie brzmi to jakoś strasznie ale jak się bliżej przyjrzymy, to jednak BYOD w ramach zlecenia wymaga głębszego sięgnięcia do kieszeni. Można narzucić BYOD swoim zleceniobiorcom („pracownikom”) ale trzeba zapłacić taką kwotę by ani owi „pracownicy”’ ani Państwowa Inspekcja Pracy (PIP) nie mogli tej kwoty podważyć.
Jak mogą się przyczepić? PIP może uznać, że po odjęciu kosztów sprzętu (laptop, telefon, abonament, licencje na programy itp.) wynagrodzenie zleceniobiorcy jest niższe niż to wynikające z ustawy o stawce minimalnej. Wtedy nakaże firmie podniesienie wynagrodzenia.
Dodam, że nawet jeśli PIP nie znajdzie punktu zaczepiania to zleceniobiorca dalej może żądać zwrotu wydatków na potrzebny mu sprzęt itp.
Bezpieczeństwo prawne w BYOD
Załóżmy, że w firmie wdrożono BYOD w odpowiedni sposób, zgodnie z tym co wcześniej napisałem, jest to jednak tylko jeden z aspektów prawnych. Oprócz legalności praktycznym problemem jest bezpieczeństwo prawne. Firma stosująca BYOD może zetknąć się z kilkoma wyzwaniami chcąc wyeliminować ten problem.
Podstawowym wyzwaniem jest ochrona informacji, zarówno tych, które należą do firmy i często są poufne, oraz tych, które powierzył klient w ramach NDA. Stosując lub pozwalając na BYOD traci się kontrolę nad tymi informacjami. Można oczywiście wpisać do umowy z pracownikiem obowiązek ochrony tych informacji oraz ich skasowania po zakończeniu umowy ale z prawnego punktu widzenia firma nie ma za bardzo możliwości sprawdzenia czy są one realizowane.
Podobnie wygląda to od strony RODO (GDPR), czyli przepisów, które narzucają obowiązek wdrożenia rozwiązań z zakresu bezpieczeństwa informacji. Generalnie RODO (GDPR) stanowi spore pole do popisu dla osób z branży IT Security ale nie tylko bo i dla innych dziedzin (kiedyś szerzej omówię ten temat). BYOD w RODO napotyka na podobny problem co przy poufności informacji, ponieważ w obu przypadkach firma nie ma i nie może mieć wglądu w prywatne urządzenie pracownika, wyjątkiem może być B2B ale tutaj kłania się „to zależy”. Brak wglądu w prywatne urządzenia generuje kilka problemów:
•nie można weryfikować czy informacje zostały usunięte a jest to kluczowe dla podpisanych NDA, ochrony firmowych tajemnic i realizacji obowiązkowego w RODO kasowania informacji,
•nie da się weryfikować poziomu bezpieczeństwa urządzenia z którego korzysta pracownik ani na ten poziom wpływać.
Ponieważ RODO (GDPR) narzuca obowiązek wdrażania środków bezpieczeństwa stosowanie BYOD bez konsultacji z prawnikiem może mieć bardzo nieprzyjemne skutki i mam na myśli nie tyle kary finansowe ile utratę klientów, którzy w ramach RODO mogą nas audytować i uznać, że wdrożone rozwiązania są zbyt ryzykowne z prawnego punktu widzenia. Taka opinia audytora kończy współpracę.
Nie chcę demonizować BYOD ponieważ znam kilka sposobów na jego wdrożenie tak, by uniknąć opisanych problemów, trzeba po prostu pamiętać, że wdrożenie wymaga analizy prawno-technicznej.
Przemysław Caputa TechPrawnik