A cégek érdeke a privát eszközök céges használatának szabályozása

2013. szeptember 15. vasárnap - 07:30 / piacesprofit.hu
  •    

Nem szabályozzák a hazai vállalkozások a privát mobileszközök céges környezetben való használatát, pedig nemcsak milliós kártérítést és pénzbüntetést kockáztatnak, hanem azt is, hogy jogvita esetén teljesen kiszolgáltatottá válnak munkavállalóikkal szemben – mutat rá a Balázs & Holló Ügyvédi Iroda. A jogi iroda közleménye szerint egyedi szabályozás nélkül még adatlopás gyanúja esetén sem feltétlenül vizsgálható át a privát eszközök tartalma.

Kép:PP archív

A munkavállalók 46%-a úgy használja saját mobileszközeit (mobiltelefon, tablet, notebook, stb.) a munkahelyén, hogy a munkáltatója nem tud róla, nincs erre vonatkozó szabályzata, vagy ha van is, azt soha nem íratta alá a dolgozókkal – derül ki a londoni székhelyű Ovum piackutató cég 17 ország közel 3800 felhasználójára kiterjedő globális BYOD (Bring Your Own Device – BYOD) felméréséből.

A Balázs &Holló Ügyvédi Iroda partner-ügyvédje dr. Holló Dóra szerint itthon még ennél is rosszabb a helyzet: a cégek többsége még a szabályozatlan BYOD-ból adódó veszélyek nagyságrendjével sincs tisztában.

Fontos gondoskodni például a selejtezésre kerülő eszközökön tárolt adatok megfelelő, biztonságos törléséről is.

„A magyar cégek minden pillanatban kártérítési pereket és adatvédelmi bírságokat kockáztatnak, illetve rosszabb esetekben még büntetőjogi felelősségüket is kockára teszik. Ehhez elég, ha a dolgozó elveszíti a vállalatnál is használt tabletjét, és az azon tárolt szenzitív céges adatok nyilvánosságra kerülnek” – mutatott rá Holló Dóra. „Ráadásul ez a fajta munkáltatói hanyagság már az aktív jogsértés tárgykörébe tartozik.”

Kártérítést kockáztat

Holló Dóra elmondta: Magyarországon a munkahelyre bevitt saját eszközökkel kapcsolatban nincsen önálló törvényi szabályozás. Az erre vonatkozó joggyakorlatot részben a Munkatörvénykönyv, részben pedig az Adatvédelmi törvény alakítja ki. Így például az Adatvédelmi törvény paragrafusai határozzák meg az adatkezelés tartalmát és formáját, illetve összefoglalják az azok tárolására, nyilvánosságra hozatalára, illetve továbbítása vonatkozó szabályokat is.  A szakértő szerint ezek alapján egyértelmű, hogyha a vállalati adat a munkáltató által nem ellenőrzötten, azaz erre vonatkozó szabályzat, vagy erre is kiterjedő munkaszerződés nélkül kerül a munkavállaló saját eszközére, a munkáltató máris megsérti az adatkezelésre vonatkozó adatvédelmi kötelezettségét. Holló Dóra szerint, ha ez kitudódik, az érintettek akár kártérítést is kérhetnek, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 100 ezer–10 millió Ft közötti összegben bírságolhat, és az eset nyilvánosságra kerüléséből adódó vállalati reputációs veszteség sem elhanyagolható.

Tiltani nem érdemes
A rendszergazdák és informatikai döntéshozók első reakciója sok esetben az elutasítás arra felvetésre, hogy az munkatársak a saját gépükön dolgozzanak a céges hálózaton. Ez a félelem teljesen természetes a belső rendszer integritása és biztonsága szempontjából, de a tiltással csupán azt lehet elérni, hogy csökkenjen a kollégák munkahatékonysága és motiváltsága.
A saját eszköz munkahelyi használatának (vagyis bring your own device – BYOD) a legfontosabb előnye ugyanis a hatékonyság növekedése mellett az, hogy – mint azt felmérések mutatják – növekszik az alkalmazottak saját munkájukkal való elégedettsége is. Ráadásul a privát életben megszokott eszközök munkahelyi használata a betanulási időt is csökkentheti. Természetesen az sem mellékes, hogy a cégek informatikai beruházásokra fordítandó költsége jelentősen csökkenhet, hiszen az alkalmazottak maguk gondoskodnak a műszaki infrastrukrúrájukról.

A munkaadót valószínűleg az sem vigasztalja majd, hogy munkavállalói oldalról a Btk. is foglalkozik a személyes adatokhoz kapcsolódó jogok megsértésével, abban az esetben, ha haszonszerzés érdekében, vagy jelentős érdeksérelmet okozva történik. Ez esetben ugyanis akár 2 évig terjedő szabadságvesztés is kiszabható az elkövetőre. Amennyiben a BYOD-ból fakadóan üzleti titok sérül, akkor a munkaadó a Polgári törvénykönyv 81.§-a alapján is felelősségre vonható, de vagyoni hátrány okozása esetén ebben az esetben is felmerülhet az elkövető büntetőjogi felelősségének kérdése. (Btk. 418.§)

A munkáltató elveszítheti a kontrollt saját üzleti adatai felett

A Munkatörvénykönyv szabályai alapján külön megállapodás hiányában – a munkáltató eleve nem írhatja elő a munkavállaló számára saját eszközeinek használatát – szögezi le a szakember. (Pedig egy globális felmérés eredményei szerint a vállalatok közel kétötöde kíván felhagyni azzal a gyakorlattal, hogy céges infokommunikációs eszközökkel látja el alkalmazottait.)Ha ennek ellenére mégis elfogadott a cégnél a BYOD, akkor szinte óhatatlan, hogy egyazon készüléken végleg összekeverednek a munkavégzés során használt adatok (e-mailek, dokumentumok, kontaktinformációk, kimutatások, stb.), illetve a munkavállaló saját adatai.

„Ennek, hacsak nincs megfelelően részletes adatvédelmi szabályzat vagy erre a kérdésre is kiterjedő munkaszerződés, az lehet a következménye, hogy a munkáltató a munkaviszony megszűnése esetén nem fogja tudni a céges adatokat anélkül visszaszerezni vagy törölni, hogy a magánadatokat közben ne lássa. Ilyenkor választhat: vagy az üzleti titok megtartására vonatkozó szabályokat szegi meg és nem ellenőrzi a munkaadónál maradó adatokat, vagy a munkavállalót védő adatvédelmi szabályokat sérti meg és privát adatokat is átnéz” – foglalta össze Holló Dóra.

A munkaadó kezét ebben az esetben a Munkatörvénykönyv munkavállaló személyhez fűződő jogaival kapcsolatos szabályozása köti meg. Ez ugyanis egyértelműen kimondja, hogy a munkáltató nem juthat hozzá a munkavállaló privát adataihoz. (Még akkor sem, ha esetleg arra gyanakszik, hogy a dolgozó privát eszközökön keresztül, illegálisan jutott hozzá céges adatokhoz.)

„Avagy BYOD-szabályozás nélkül a munkáltató elveszti a kontrollt saját szenzitív üzleti adatai felett, és szélsőséges esetben teljesen kiszolgáltatottá válhat munkavállalójával szemben” – figyelmeztetett Holló Dóra.

További bosszúság forrása lehet, hogy ha a BYOD nincs kifejezetten megtiltva, akkor adatvédelmi szabályzat vagy megfelelő munkaszerződéses passzus nélkül az sem ellenőrizhető, hogy a munkavállaló a saját eszközén pontosan mit csinál munkaidőben. (Például több mint 800 ezer magyar munkavállaló, az interneteléréssel rendelkező dolgozók 55 százaléka használja munkahelyéről a közösségi oldalakat egy felmérés szerint.)Ha pedig a munkaadó mégis alkalmaz ilyen ellenőrző technikákat, akkor a Mt. 11.§ második bekezdésébe ütközően jár el és ezért ugyancsak felelősségre vonható. Persze totális BYOD-tilalom esetén sem ellenőrizheti a munkáltató a személyes eszközökön lévő tartalmakat, de használatukat korlátozhatja a munkaközi szünetekre.

Szabályozz okosan!

Holló Dóra szerint, a saját használatú mobileszközök elterjedése miatt, különösen irodai munkák esetében egyre kevésbé életszerű a BYOD teljes tiltása, ugyanakkor az adatvédelmi előírások komplexitása miatt egyértelmű, hogy a munkaadó csak akkor alhat nyugodtan, ha teljes körűen szabályozza ezt a gyakorlatot.

„Kiemelten fontos a vállalat működésének sajátosságait szem előtt tartó, testreszabott BYOD-stratégia és a kapcsolódó, mindenre kiterjedő szabályrendszer kialakítása. Ehhez IT-szakember és az adatvédelemben és munkajogban is jártas jogász is szükséges, akik a vonatkozó szabályzatot és szerződéses hátteret a különböző területek igényeinek egyeztetésével készítik el ” – állítja Holló Dóra.

A már elkészített jogi és technikai szabályzatokat és szerződéses hátteret a céges változásokra és a technikai fejlődésre való tekintettel, legalább évente érdemes felülvizsgáltatni, fűzte hozzá a szakember.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek