A munkavállalók 46%-a úgy használja saját mobileszközeit (mobiltelefon, táblagép, noteszgép stb.) a munkahelyén, hogy a munkáltatója nem tud róla, nincs erre vonatkozó szabályzata, vagy ha van is, azt nem íratta alá a dolgozókkal – derül ki a londoni székhelyű Ovum piackutató cég 17 ország közel 3800 számítástechnikai- és mobileszköz-használójára kiterjedő BYOD (Bring Your Own Device – Hozd a saját eszközödet!) -felméréséből.
A hazai piac adatvédelmi szakértője, dr. Holló Dóra ügyvéd szerint itthon még ennél is rosszabb a helyzet: a cégek többsége még a szabályozatlan BYOD-ból adódó veszélyek nagyságával sincs tisztában.
„A magyar cégek minden pillanatban kártérítési pereket és adatvédelmi bírságokat kockáztatnak, illetve rosszabb esetekben még büntetőjogi felelősségüket is kockára teszik. Ehhez elég, ha a dolgozó elveszíti a vállalatnál is használt tabletjét, és a rajta tárolt bizalmas, titkos céges adatok «közkinccsé válnak» – mutatott rá Holló Dóra. – Ráadásul ez a fajta munkáltatói hanyagság már az aktív jogsértés tárgykörébe tartozik.”
Dr. Holló elmondta: Magyarországon a munkahelyre bevitt saját eszközökkel kapcsolatban nincsen önálló törvényi szabályozás. Az erre vonatkozó joggyakorlatot részben a Munkatörvénykönyv, részben pedig az Adatvédelmi törvény alakítja ki. Így például az Adatvédelmi törvény paragrafusai határozzák meg az adatkezelés tartalmát és formáját, illetve összefoglalják a tárolásukra, nyilvánosságra hozatalukra, illetve továbbításukra vonatkozó szabályokat is.
A szakértő szerint ezek alapján egyértelmű: ha a vállalati adat a munkáltató által nem ellenőrzötten, azaz erre vonatkozó szabályzat, vagy erre is kiterjedő munkaszerződés nélkül rögzítődik a munkavállaló saját eszközén, a munkáltató máris megsérti az adatkezelésre vonatkozó adatvédelmi kötelezettségét.
Holló Dóra szerint: ha ez kitudódik, az érintettek akár kártérítést is kérhetnek, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 100 ezer–10 millió forint közötti összegben bírságolhat, és az eset kitudódásából adódó vállalati reputációs veszteség sem elhanyagolható.
A munkaadót valószínűleg az sem vigasztalja majd, hogy munkavállalói oldalról a Btk. is foglalkozik a személyes adatokhoz kapcsolódó jogok megsértésével abban az esetben, ha haszonszerzés végett vagy számottevő érdeksérelmet okozva történik. Ez esetben ugyanis akár két évig terjedő szabadságvesztés is kiszabható az elkövetőre.
Ha a BYOD-ból fakadóan üzleti titok sérül, akkor a munkaadó a Polgári törvénykönyv 81.§-a alapján is felelősségre vonható, de vagyoni hátrány okozása esetén ebben az esetben is felvetődhet az elkövető büntetőjogi felelőssége. (Btk. 418.§)
A Munkatörvénykönyv szabályai alapján – külön megállapodás hiányában – a munkáltató eleve nem írhatja elő a munkavállaló számára saját eszközeinek használatát – szögezi le a szakember.
Ha ennek ellenére mégis elfogadott a cégnél a BYOD, akkor szinte óhatatlan, hogy egyazon készüléken végleg összekeverednek a munka közben használt adatok (e-mailek, dokumentumok, kapcsolati információk, kimutatások stb.), illetve a munkavállaló saját adatai.
„Ennek, hacsak nincs megfelelően részletes adatvédelmi szabályzat vagy erre a kérdésre is kiterjedő munkaszerződés, az lehet a következménye, hogy a munkáltató a munkaviszony megszűnése esetén nem fogja tudni a céges adatokat anélkül visszaszerezni vagy törölni, hogy a magánadatokat közben ne lássa. Ilyenkor választhat: vagy az üzleti titok megtartására vonatkozó szabályokat szegi meg és nem ellenőrzi a munkaadónál maradó adatokat, vagy a munkavállalót védő adatvédelmi szabályokat sérti meg és privát adatokat is átnéz” – foglalta össze Holló Dóra.
A munkaadó kezét ebben az esetben a Munkatörvénykönyv munkavállaló személyhez fűződő jogaival kapcsolatos szabályozása köti meg. Ez ugyanis egyértelműen kimondja, hogy a munkáltató nem juthat hozzá a munkavállaló magánadataihoz. (Még akkor sem, ha esetleg arra gyanakszik, hogy a dolgozó privát eszközökön keresztül, illegálisan jutott hozzá céges adatokhoz.)
„Avagy BYOD-szabályozás nélkül a munkáltató elveszti az ellenőrzést saját bizalmas, titkos üzleti adatai felett, és szélsőséges esetben teljesen kiszolgáltatottá válhat munkavállalójával szemben” – figyelmeztetett Holló Dóra.
További bosszúság forrása lehet, hogy ha a BYOD nincs kifejezetten megtiltva, akkor adatvédelmi szabályzat vagy megfelelő munkaszerződéses passzus nélkül az sem ellenőrizhető, hogy a munkavállaló a saját eszközén pontosan mit csinál munkaidőben. Ha pedig a munkaadó mégis alkalmaz ilyen ellenőrző technikákat, akkor a Mt. 11.§ második bekezdésébe ütközően jár el és ezért ugyancsak felelősségre vonható. Persze totális BYOD-tilalom esetén sem ellenőrizheti a munkáltató a személyes eszközökön lévő tartalmakat, de használatukat korlátozhatja a munkaközi szünetekre.
Holló Dóra szerint, a saját használatú mobileszközök elterjedése miatt, különösen irodai munkák esetében, egyre kevésbé életszerű a BYOD teljes tiltása, ugyanakkor az adatvédelmi előírások összetettsége miatt egyértelmű, hogy a munkaadó csak akkor alhat nyugodtan, ha teljes körűen szabályozza ezt a gyakorlatot.
„Kiemelten fontos a vállalat működésének sajátosságait szem előtt tartó, testre szabott BYOD-stratégia és a kapcsolódó, mindenre kiterjedő szabályrendszer kialakítása. Ehhez IT-szakember és az adatvédelemben és munkajogban is jártas jogász is szükséges, akik a vonatkozó szabályzatot és szerződéses hátteret a különböző területek igényeinek egyeztetésével készítik el” – állítja az ügyvédnő.
A már elkészített jogi és technikai szabályzatokat és szerződéses hátteret a céges változásokra és a technikai fejlődésre való tekintettel, legalább évente érdemes felülvizsgáltatni, fűzte hozzá a szakember.
