Firmy v Česku i v zahraničí stále častěji umožňují svým zaměstnancům využívat pro pracovní účely soukromé počítače, telefony a další chytrá zařízení. Koncept nazývaný Bring Your Own Device nebo zkráceně BYOD se začal ve větší míře prosazovat od roku 2009, kdy světovou ekonomikou zmítala hospodářská krize. Firmám pomohl snížit náklady a zaměstnancům umožnil i v kanceláři používat zařízení, na nějž jsou zvyklí z domova a které často i kvalitou převyšuje to, jež jim mohl zaměstnavatel nabídnout.

Není divu, že využívání soukromých počítačů pro firemní účely zažívá boom. Podle posledního průzkumu Tech Pro Research tuto možnost svým lidem celosvě­tově nabízí 60 procent firem. Největší oblibě se těší mezi středně velkými podniky s 50 až 250 zaměstnanci. Pracovat na soukromých počítačích nebo vyřizovat pracovní telefonáty z osobních mobilů mohou zaměstnanci téměř tří čtvrtin z nich. A popularita systému "přines si do práce vlastní techniku" roste také v Česku. Zatímco ještě loni měla pravidla pro jeho nasazení jen pětina českých malých a středních podniků, letos už je to podle zjištění společnosti Microsoft téměř polovina. Prakticky jich ale práci na soukromých počítačích zřejmě umožňuje mnohem více.

Hlavně zodpovědně

Ačkoliv nasazení soukromé techniky znamená pro firmy menší náklady, vyšší komfort pro pracovníky a ruku v ruce s tím i vyšší produktivitu, nese s sebou i řadu rizik. "Je nutné si uvědomit, že při BYOD se počítač či jiné chytré zařízení najednou stává vedle soukromého úložiště i nosičem firemních dat a informací," připomíná security business architect ze společnosti Anect Michal Rapco. Prvním rizikem je možnost ztráty dat, ať už jejich důvěrnosti, nebo úplná ztráta, a to jak na straně zaměstnance v případě soukromých dat, tak i na straně zaměstnavatele. Druhým rizikem je pak možnost zneužití daného zařízení k neoprávněnému přístupu k síti či službám druhé strany.

Tato úskalí by manažeři, kteří pouštějí firemní data do zařízení zaměstnanců, podle právníků rozhodně neměli podceňovat. Ačkoliv totiž lidé pracují s vlastní technikou, odpovědnosti za únik citlivých dat nebo porušení obchodního tajemství se firma úplně zříci nemůže.

"Pokud při pracovní činnosti způsobí zaměstnanec škodu jinému subjektu, nese vůči této třetí straně odpovědnost zaměstnavatel. To, že zaměstnanec tuto škodu způsobil vlastním zařízením, v drtivé většině případů nesejme odpovědnost ze zaměstnavatele," upozorňuje advokát PwC Legal Petr Glogar. Výjimkou jsou jen situace, kdy zaměstnanec způsobí škodu úmyslně například s cílem obohatit se na úkor ostatních. V takovém případě je odpovědný jen pracovník sám.

Od toho, zda jde o úmyslný čin, či nikoliv, se odvíjí i výše odškodnění, které může zaměstnavatel, potažmo třetí strana od pracovníka požadovat. "Za škodu způsobenou nedbalostí odpovídá zaměstnanec do výše čtyřapůlnásobku hrubé měsíční mzdy. Úmyslně způsobená škoda hranici nemá a je nutné ji nahradit celou," dodává Glogar.

Softwarové licence

Hlídat by si firma měla také to, jaké programy její lidé používají. Podle právníků totiž není zcela jasné, do jaké míry nese odpovědnost za to, že její lidé pro práci využívají nelegální software nebo programy určené pouze pro domácí − nekomerční využití.

"Odpovědnost zaměstnavatele by neměla vzniknout, ani kdyby zaměstnanec používal nelegální software pro výkon zaměstnání, pokud mu to zakazuje vnitřní předpis či smlouva se zaměstnavatelem. Jelikož ale soudní praxe v tomto chybí, doporučil bych, aby zaměstnavatel zkontroloval, zdali používaný software je legální, případně software zaměstnanci sám poskytl," uvádí Zdeněk Kučera, advokát Baker & McKenzie, který IT právo přednáší na ČVUT a Právnické fakultě Univerzity Karlovy. V úvahu přitom připadají například různá cloudová řešení. Vše by ale mělo být smluvně ošetřeno.

"Zákoník práce pamatuje na to, že zaměstnanci mohou při výkonu práce používat vlastní prostředky a že v pracovní smlouvě, samostatném dokumentu nebo vnitřním předpisu může zaměstnavatel stanovit rozsah použití a náhradu za takové použití," popisuje Kučera. Kromě typu a rozsahu používaných zařízení a jejich softwarového vybavení by měly firmy v klíčových dokumentech popsat také možnosti fyzické a vzdálené kontroly soukromých počítačů či telefonů a povinnost používat zabezpečení a ochranné programy, jako jsou antiviry, firewall, šifrovací kanály nebo zabezpečený přístup. Se zaměstnanci by dále měly uzavřít − samostatně nebo jako součást pracovní smlouvy − dohodu o autorských právech k dílům vytvořeným za pomoci soukromé techniky a dohodu o nakládání s daty při ukončení pracovního poměru.

Hlídat si své lidi

Citlivou otázkou je také to, do jaké míry mohou nadřízení monitorovat, zda se zaměstnanec v pracovní době skutečně věnuje pracovním úkolům a nevyřizuje třeba soukromé e-maily nebo nechatuje s kamarádem. Rozsudek Evropského soudu pro lidská práva ze začátku letošního roku totiž říká, že monitorovat soukromou komunikaci zaměstnance lze pouze v případě, že k ní pracovník využívá podnikové prostředky. Jak je to tedy v případě práce na soukromých počítačích?

"Pokud je v zařízení vytvořena oddělená zóna pro firemní aplikace, pak se k této oddělené zóně uplatní stejná pravidla jako při monitorování počítače zaměstnavatele. Pokud oddělená zóna vytvořena není, situace je složitější. Neustálé vzdálené monitorování zařízení, které je používáno i k soukromým účelům, samozřejmě nemůže obstát," upozorňuje Kučera.

Dostatečnou omluvenkou nicméně pro podniky může být třeba to, že monitorují práci svých lidí jen ve chvílích, kdy jsou připojeni na firemní wi-fi. V každém případě je třeba zaměstnance o možnosti sledování předem informovat a upravit ji ve smlouvách nebo v interních předpisech.

A pamatovat je potřeba také na tuzemské předpisy. Zákoník práce totiž stanoví, že sledovat nebo odposlouchávat zaměstnance a kontrolovat jejich e-maily může firma pouze v případě, že k tomu existuje závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele. Podle výkladového stanoviska ministerstva práce a sociálních věcí se bude nejčastěji jednat o peněžní ústavy, počítačové firmy a podobně, u nichž je nutno chránit know-how, údaje zaměstnanců.

Dvakrát měř…

Z pohledu právníků tak není zodpovědné nasazení vlastní techniky do praxe jednoduché. Manažeři uvažující o spuštění této inovace by proto měli důkladně zvážit ekonomické přínosy v porovnání s hrozbami a především dobře volit okruh pracovníků, kterým užívání soukromých zařízení v práci umožní. Zdaleka ne pro všechny je totiž tento koncept vhodný.

"Doporučujeme ho zavádět pouze u určité skupiny zaměstnanců, nikoliv plošně. V současné době mají informace o lidech a firmách stále větší hodnotu. K zařízení ve vlastnictví zaměstnance se mohou dostat osoby, o kterých zaměstnavatel nic neví, nezná jejich záměry a identitu a nemá ani pod kontrolou nakládání se zařízením a údaji tam obsaženými," varuje Glogar.

Nejcitlivější data ze svého byznysu − mezi něž patří obchodní tajemství, ale třeba i důvěrné informace o klientech firmy podle občanského zákoníku − by proto žádná firma neměla "pouštět" z vlastního hardwaru. Anebo by si alespoň měla na zaměstnanci vymínit oddělené místo na disku určené pro firemní aplikace. "Tato část může podléhat speciálnímu přístupu, šifrování a kontrole ze strany zaměstnavatele," radí Kučera. I ke zřízení takové zóny ale firma potřebuje souhlas vlastníka zařízení.

Článek připravený ve spolupráci s měsíčníkem Právní rádce vyšel v časopisu Ekonom dne 15. záři 2016.

Související