Na co si dát pozor při používání BYOD zařízení ve firmách?

Firmy stále častěji umožňují zaměstnancům používat vlastní notebooky, smartphony nebo tablety ve firemních sítích. Jak se na problematiku BYOD (Bring Your Own Device) dívá právník?

Zavádění nových technologií s sebou přináší nové okruhy problémů, které vznikají při jejich používání. Cílem následujícího textu je nastínění otázek a zejména odpovědí na otázky, které bude řešit každý podnikatel při zavedení užívání BYOD zařízení při svém podnikání. 

Úvodem je vhodné vyjasnit si pojmy, zmíněné v tomto příspěvku:

  • pokud zde budeme hovořit o BYOD zařízení, pak je jím míněno jak mobilní zařízení např. smartphone nebo notebook tak i PC,
  • za podnikatele je pak pro účely tohoto článku považován jak zaměstnavatel v případě zaměstnaneckého vztahu pracovník – podnikatel, tak smluvní partner v případě, že pracovník vykonává činnost v rámci jiného smluvního vztahu než jakožto zaměstnanec,
  • licencemi se míní rozsah oprávnění k užití příslušného software. 

Z pohledu práva se problematika užívání BYOD zařízení, rozebíraná v tomto příspěvku, řídí zejména následujícími zákony:

  • zákonem č. 89/2012 Sb., občanským zákoníkem (NOZ), kterým jsou upraveny vztahy mezi podnikatelem a jeho zákazníky
  • zákonem č. 121/2000 Sb., o právu autorském (AZ), který se aplikuje na užívaný software
  • zákonem č. 262/2006 Sb., zákoník práce (ZP). 

Posledně jmenovaný zákon, tedy zákoník práce, pak bude také nejčastěji používaným zákonem pro nastavení a následné praktikování procesu používání BYOD zařízení u podnikatele. Je to z toho důvodu, že lidský faktor a přirozený sklon člověka k vytváření vlastních pravidel je možné korigovat jen prosazováním pravidel podnikatele pro používání BYOD zařízení právě za pomoci ustanovení zákoníku práce. 

Zásady pro zavedení BYOD u podnikatele 

První zásadou pro zavedení BYOD je pečlivá příprava. V rámci této přípravy musí podnikatel dopředu nastavit pravidla pro užívání BYOD zařízení pracovníky a identifikovat rizika, individuálně specifická tomuto podnikateli.

Pravidly jsou zejména:

  • kontrola přístupu k BYOD zařízení (vynucení používání jednoduchého, nebo i sofistikované hesla)
  • zavedení „time-out“ – tedy ukončení činnosti u nepoužívaného zařízení
  • používání zabezpečených (šifrovaných) komunikačních kanálů, úložišť dat a aplikací, které s daty pracují
  • politika zálohování dat
  • používání antivirů a firewall
  • provádění včasné aktualizace používaného operačního systému a software (aplikací)
  • vytvoření jednotlivých druhů BYOD zařízení – vyloučení některých činností pro jednotlivé druhy BYOD zařízení tak, aby bylo možno eliminovat/minimalizovat škody, jejichž vznik nelze adekvátně vyloučit jiným postupem
  • široký souhlas vlastníka BYOD ke kontrole a zásahům podnikatele do BYOD, když šíře takového souhlasu by měla zahrnovat i možnost podnikatele měnit nastavení a omezovat použití BYOD zařízení k jiným, než pracovním účelům a souhlas by měl zahrnovat i případné smazání případných soukromých dat (fotografie, e-maily apod.)
  • souhlas vlastníka BYOD ke zpracování osobních údajů (pro případnou evidenci mimo BYOD v databázi podnikatele)
  • souhlas ve vztahu k autorským právům, vytvořeným pracovníkem za pomoci BYOD zařízení 

Pomyslným uzavřením fáze přípravy je pak uzavření dohody s pracovníkem, jejímž obsahem je závazek pracovníka k dodržování pravidel pro užívání BYOD. Tato dohoda může mít pak formu např. dodatku k vzájemné smlouvě, nebo formu jednostranného pokynu ze strany podnikatele směrem k pracovníkovi nebo pracovníkům, kteří BYOD zařízení mají používat.

Zavedením pravidel však není zaručeno, že tato pravidla budou dodržována. Je proto nezbytné, aby podnikatel dodržování pravidel prosazoval. Nejúčinnější, poměrně levnou a zároveň nejvíce transparentní formou kontroly jsou školení (awareness program). 

Další „must have“ formou kontroly je fyzická kontrola při zahájení používání zařízení, kterou je vhodné doplnit o vzdálenou kontrolu, možnost odesílání reportů o stavu zabezpečení každého BYOD zařízení, monitoring alespoň počtu BYOD zařízení u podnikatele, vhodně pak i jednotlivých druhů podle přístupových oprávnění. 

Bylo by závažnou chybou opomenout evidenci kontrolních úkonů, bez jejíž existence by vlastně kontroly jako nebyly. 

Velmi praktické je pak umístění stránek nápovědy a stránek s často kladenými otázkami (FAQ) na firemní intranet.

Po vytvoření interních pravidel je na místě zmapování rizik, jak může používání BYOD zařízení ovlivnit externí vztahy podnikatele, tedy vztahy vůči svým obchodním partnerům a případně orgánům státní správy. 

  • zmapování procesů, kde může dojít k vlivu BYOD na externí vztahy s cílem předcházení případným škodám
  • zmapování procesů pro tvorbu interních pravidel (což je podstatné pro vytváření více skupin zařízení BYOD – s různými přístupovými oprávněními)
  • vytvoření únikového plánu pro sebe i pro klienty pro případ zneužití nebo ztráty zařízení BYOD (např. vzdálené zablokování/smazání zařízení, smazání přístupových práv apod.)
  • provádění penetračních testů 

Autorská práva a BYOD zařízení

Velmi podstatnou problematikou při používání BYOD zařízení je oblast autorských práv a autorskoprávní ochrany.

V této problematice je možné identifikovat čtyři okruhy, které je nezbytné zohlednit při přípravě zavedení BYOD zařízení u podnikatele. 

Prvním okruhem, který by měl podnikatel ověřit, je kompatibilita softwaru, nainstalovaného na BYOD zařízení, s interními systémy podnikatele. Pokud by licenční podmínky určitého softwaru neumožňovaly nastavení např. doménových oprávnění, pak by nastavení BYOD zařízení bylo velmi komplikované a nákladné, ne-li dokonce nemožné. 

Druhým okruhem je kompatibilita softwaru, nainstalovaného na BYOD zařízení, se záměry podnikatele ve vztahu k předmětu jeho podnikání. Tento stav by se měl řešit nejen pro aktuální podmínky, ale i s lehkou příměsí vizionářství také tzv. pro futuro

Riziko kroku vedle eliminujeme rešerší obvykle používaného softwaru, kde si ověříme vhodnost takového softwaru pro použití pro business účely, tedy za účelem dosahování zisku. Příkladem softwaru, jehož licenční podmínky vylučují využití pro podnikání, jsou zejména různé software pro vzdělávání, dále software užívaný pod některým z druhů akademických licencí apod. 

Vyloučit z užívání v BYOD zařízení je na místě i pro software, který pracuje s různými typy volných licencí, kde musíte dodržovat licenční podmínky, platné pro tento typ licencí. Tento typ licencí, tedy licence do značné míry uvolňující užívání softwaru, prožívá v posledních 10 letech překotný vývoj a vznikají další a další formy licenčních modelů. Tyto nové modely, jako např. AGPL, cílí zejména na podnikání, takže jejich využití v BYOD zařízení by v úvahu přicházelo. Opět však platí, že je nutné ověřit, o jakou licenci se jedná a jaké jsou její případné limity. 

Na vyloučení pro podnikání nevhodného softwaru pak nesmíme zapomenout, nejlépe nějakou vhodnou obecnou formulací, i v pravidlech pro užívání BYOD zařízení u podnikatele. 

Třetím okruhem je pak používání softwaru podnikatele v zařízení BYOD a jeho užívání pracovníkem. Ve vztahu k proprietárnímu softwaru jako je např. Windows apod. nedochází k jakýmkoli komplikacím či neshodám ve vztahu k autorským právům, neboť licence je pořizována buď na zařízení, nebo na počet uživatelů či počet zařízení bez zkoumání, zda takový uživatel je smluvní stranou straně licenčního vztahu, nebo zda zařízení patří smluvní straně licenčního vztahu, či nikoli. V této souvislosti je však možné narazit na otázku, jak řešit případný audit od nějaké kontrolní instituce (např. distributora softwaru), ale v případě potřeby se nám na takový případ vztahuje oprávnění, vyplývající z pravidel pro používání BYOD u podnikatele. 

Čtvrtým okruhem je pak vymezení se podnikatele vůči obsahu dat, které by mohly mít nelegální povahu, a které jsou i přes zákaz podnikatele, obsažené v pravidlech pro užívání BYOD zařízení, uloženy na zařízení BYOD. Takovými daty může být např. pirátsky opatřená hudba, filmy nebo software. Možnost stažení takto „nelegálních“ dat je sice stále odpovědností spíše toho, kdo takováto data stáhnout umožní (šíří je), avšak jejich další užívání (např. za pomoci BYOD zařízení) bez náležitého oprávnění je již prohřeškem skutečného uživatele a podnikatel musí činit kroky, aby takovémuto nelegálnímu užívání bránil. Jinak by mohl spoluodpovídat za náhradu škody. 

V této souvislosti je však také vhodné zmínit otázku, která se bezprostředně netýká autorského práva, ale vlastnictví BYOD zařízení, neboť nezřídka je BYOD zařízení ve vlastnictví jiných osob, než pracovníka (např. rodiče). Podnikatel by se proto měl zajistit i pro tento případ např. prohlášením pracovníka, že je oprávněn používat předmětné zařízení a zároveň vymezením se podnikatele ohledně jeho vědomosti o skutečném vlastníkovi zařízení. 

Velmi důležité je, ve vztahu k autorským právům, zajistit si souhlas pracovníka s širokým využitím jím vytvořených autorských děl, pokud takový souhlas podnikatel nemá již v jiné smluvní dokumentaci vztahu s pracovníkem. 

I přes poměrně jednoduchou logiku je stále dost časté, že v životním cyklu určitého softwaru není zachován propojený řetěz oprávnění k užití softwaru počínaje autorem – vývojářem, dále všech osob, které se na vzniku autorského díla podílejí až ke koncovému uživateli. A ještě častější pak je, že takové oprávnění nezahrnuje veškeré aspekty užívání, které je nutné mít tzv. „odemknuté“ k neomezené dispozici s takovým softwarem pro účely jeho vývoje a následné distribuce. 

Kompenzace hodnoty BYOD zařízení podnikatelem 

Poskytnutí kompenzace hodnoty zařízení BYOD za jeho používání pro účely podnikání u podnikatele má právní i psychologické konsekvence. Pracovník totiž dostává kompenzaci za to, že dodržuje dohodnutá pravidla. 

V případě, že by je nedodržoval, se pak obvyklá hrozba za nedodržení pravidel, tj. náhrada škody, pracovně-právní postih mající podobu např. krácení odměn, důtky a i např. ukončení smluvního vztahu s pracovníkem, rozšiřuje o další hrozby – vracení poskytnutého plnění a nemožnost používat pořízené, zpravidla nákladné zařízení. 

Samotná výše kompenzace musí být v adekvátní pořizovací hodnotě a nesmí ji v součtu překročit, neboť zde bychom se již dostávali do oblasti daňového příjmu pro pracovníka. 

Možné důsledky při nedodržení pravidel

V případě porušení dohodnutých pravidel pracovníkem je vždy takového porušení více či méně závažným porušením smlouvy mezi pracovníkem a podnikatelem. Možným důsledkem takového jednání, či opomenutí pracovníka, kterým došlo k porušení dohodnutých pravidel, je pak:

  • porušení mlčenlivosti
  • způsobení škody, které může být dokonce považováno za úmyslné, a proto bez omezení zákonným limitem pro pracovníky v zaměstnaneckém poměru 

Ve vztahu k pracovníkovi pak podnikatel zvažuje podle míry porušení pravidel a samozřejmě za dodržení zákonem předvídaného postupu, některý z následujících postihů:

  • krácení nároků pracovníka ze složky odměny, odvislé od plnění pracovních povinností pracovníka
  • napomenutí za porušení pracovních povinností
  • napomenutí za porušení pracovních povinností s upozorněním na možnost výpovědi
  • výpověď pracovního poměru podle § 52 ZP
  • okamžité zrušení pracovního poměru podle § 55 ZP 

Porušení dohodnutých pravidel ve vztahu mezi podnikatelem a jeho zákazníkem pak může mít následující konsekvence:

  • porušení povinnosti k ochraně obchodního tajemství (§ 504 NOZ, tj. zákon č. 89/2012 Sb.)
  • porušení ochrany důvěrných informací (smluvní)
  • porušení smlouvy se zákazníkem ve vztahu k dohodnutému způsobu přístupu k jeho datům
  • povinnost k náhradě škody
  • smluvní pokuty, pokud zajišťují povinnosti podnikatele vůči zákazníkovi 

Shrnutí na závěr

Základem zavedení principu BYOD je pečlivá příprava a prevence. Následné nápravy při zanedbání přípravy jsou vždy již bolestivé a nákladné. 

Zavedením systému kontroly dodržování pravidel pracovníky, používajícími BYOD zařízení, dosáhneme snížení rizika, že případné následky škodlivého jednání dopadnou na podnikatele a budou považovány za osobní jednání osoby, která se takového porušení závazných pravidel dopustila. 

UX16

To, jak se pracovník chová při používání BYOD zařízení u podnikatele, tedy zejména zda dodržuje dohodnutá pravidla, je nejlepší bezpečnostní kontrolou a potvrzením o vhodnosti BYOD koncepce. 

Úplně novou, i když do značné míry související až obdobnou problematikou, je pak stále se rozšiřující užívání prostředí cloudových úložišť typu Dropbox nebo iCloud pracovníky pro pracovní účely – BYOC.

59 názorů Vstoupit do diskuse
poslední názor přidán 7. 7. 2014 13:51
Zasílat nově přidané názory e-mailem

Školení UX: Jak zapojit uživatele do designu

  •  
    Jak dostat ono tajemné UX do designu.
  • Ve kterých fázích zapojit uživatele, abyste dostali nejvíc muziky za nejmíň peněz.
  • Jak vytvářet jednoduché a srozumitelné persony

Detailní informace o školení UX »