A munkavállalók 46%-a úgy használja saját mobileszközeit (mobiltelefon, tablet, notebook, stb.) a munkahelyén, hogy a munkáltatója nem tud róla, nincs erre vonatkozó szabályzata, vagy ha van is, azt soha nem íratta alá a dolgozókkal – derül ki a londoni székhelyû Ovum piackutató cég 17 ország közel 3800 felhasználójára kiterjedõ globális BYOD (Bring Your Own Device – BYOD) felmérésébõl.
A hazai piac adatvédelmi specialistája, a BALÁZS & HOLLÓ Ügyvédi Iroda partner-ügyvédje dr. Holló Dóra szerint itthon még ennél is rosszabb a helyzet: a cégek többsége még a szabályozatlan BYOD-ból adódó veszélyek nagyságrendjével sincs tisztában.
„A magyar cégek minden pillanatban kártérítési pereket és adatvédelmi bírságokat kockáztatnak, illetve rosszabb esetekben még büntetõjogi felelõsségüket is kockára teszik. Ehhez elég, ha a dolgozó elveszíti a vállalatnál is használt tabletjét, és az azon tárolt szenzitív céges adatok nyilvánosságra kerülnek” – mutatott rá Holló Dóra. „Ráadásul ez a fajta munkáltatói hanyagság már az aktív jogsértés tárgykörébe tartozik.”
BYOD lehet belõle!
Holló Dóra elmondta: Magyarországon a munkahelyre bevitt saját eszközökkel kapcsolatban nincsen önálló törvényi szabályozás. Az erre vonatkozó joggyakorlatot részben a Munkatörvénykönyv, részben pedig az Adatvédelmi törvény alakítja ki. Így például az Adatvédelmi törvény paragrafusai határozzák meg az adatkezelés tartalmát és formáját, illetve összefoglalják az azok tárolására, nyilvánosságra hozatalára, illetve továbbítása vonatkozó szabályokat is.
A szakértõ szerint ezek alapján egyértelmû, hogyha a vállalati adat a munkáltató által nem ellenõrzötten, azaz erre vonatkozó szabályzat, vagy erre is kiterjedõ munkaszerzõdés nélkül kerül a munkavállaló saját eszközére, a munkáltató máris megsérti az adatkezelésre vonatkozó adatvédelmi kötelezettségét.
Holló Dóra szerint, ha ez kitudódik, az érintettek akár kártérítést is kérhetnek, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 100 ezer–10 millió Ft közötti összegben bírságolhat, és az eset nyilvánosságra kerülésébõl adódó vállalati reputációs veszteség sem elhanyagolható.
A munkaadót valószínûleg az sem vigasztalja majd, hogy munkavállalói oldalról a Btk. is foglalkozik a személyes adatokhoz kapcsolódó jogok megsértésével, abban az esetben, ha haszonszerzés érdekében, vagy jelentõs érdeksérelmet okozva történik. Ez esetben ugyanis akár 2 évig terjedõ szabadságvesztés is kiszabható az elkövetõre.
Amennyiben a BYOD-ból fakadóan üzleti titok sérül, akkor a munkaadó a Polgári törvénykönyv 81.§-a alapján is felelõsségre vonható, de vagyoni hátrány okozása esetén ebben az esetben is felmerülhet az elkövetõ büntetõjogi felelõsségének kérdése. (Btk. 418.§)
Tilt, tûr vagy támogat?
A Munkatörvénykönyv szabályai alapján – külön megállapodás hiányában – a munkáltató eleve nem írhatja elõ a munkavállaló számára saját eszközeinek használatát – szögezi le a szakember.
Ha ennek ellenére mégis elfogadott a cégnél a BYOD, akkor szinte óhatatlan, hogy egyazon készüléken végleg összekeverednek a munkavégzés során használt adatok (e-mailek, dokumentumok, kontaktinformációk, kimutatások, stb.), illetve a munkavállaló saját adatai.
„Ennek, hacsak nincs megfelelõen részletes adatvédelmi szabályzat vagy erre a kérdésre is kiterjedõ munkaszerzõdés, az lehet a következménye, hogy a munkáltató a munkaviszony megszûnése esetén nem fogja tudni a céges adatokat anélkül visszaszerezni vagy törölni, hogy a magánadatokat közben ne lássa. Ilyenkor választhat: vagy az üzleti titok megtartására vonatkozó szabályokat szegi meg és nem ellenõrzi a munkaadónál maradó adatokat, vagy a munkavállalót védõ adatvédelmi szabályokat sérti meg és privát adatokat is átnéz” – foglalta össze Holló Dóra.
A munkaadó kezét ebben az esetben a Munkatörvénykönyv munkavállaló személyhez fûzõdõ jogaival kapcsolatos szabályozása köti meg. Ez ugyanis egyértelmûen kimondja, hogy a munkáltató nem juthat hozzá a munkavállaló privát adataihoz. (Még akkor sem, ha esetleg arra gyanakszik, hogy a dolgozó privát eszközökön keresztül, illegálisan jutott hozzá céges adatokhoz.)
„Avagy BYOD-szabályozás nélkül a munkáltató elveszti a kontrollt saját szenzitív üzleti adatai felett, és szélsõséges esetben teljesen kiszolgáltatottá válhat munkavállalójával szemben” – figyelmeztetett Holló Dóra.
További bosszúság forrása lehet, hogy ha a BYOD nincs kifejezetten megtiltva, akkor adatvédelmi szabályzat vagy megfelelõ munkaszerzõdéses passzus nélkül az sem ellenõrizhetõ, hogy a munkavállaló a saját eszközén pontosan mit csinál munkaidõben. Ha pedig a munkaadó mégis alkalmaz ilyen ellenõrzõ technikákat, akkor a Mt. 11.§ második bekezdésébe ütközõen jár el és ezért ugyancsak felelõsségre vonható. Persze totális BYOD-tilalom esetén sem ellenõrizheti a munkáltató a személyes eszközökön lévõ tartalmakat, de használatukat korlátozhatja a munkaközi szünetekre.
Szabályozz okosan!
Holló Dóra szerint, a saját használatú mobileszközök elterjedése miatt, különösen irodai munkák esetében egyre kevésbé életszerû a BYOD teljes tiltása, ugyanakkor az adatvédelmi elõírások komplexitása miatt egyértelmû, hogy a munkaadó csak akkor alhat nyugodtan, ha teljes körûen szabályozza ezt a gyakorlatot.
„Kiemelten fontos a vállalat mûködésének sajátosságait szem elõtt tartó, testreszabott BYOD-stratégia és a kapcsolódó, mindenre kiterjedõ szabályrendszer kialakítása. Ehhez IT-szakember és az adatvédelemben és munkajogban is jártas jogász is szükséges, akik a vonatkozó szabályzatot és szerzõdéses hátteret a különbözõ területek igényeinek egyeztetésével készítik el ” – állítja Holló Dóra.
A már elkészített jogi és technikai szabályzatokat és szerzõdéses hátteret a céges változásokra és a technikai fejlõdésre való tekintettel, legalább évente érdemes felülvizsgáltatni, fûzte hozzá a szakember.