Bez internetu se dnes většina zaměstnání neobejde a broadbandová přípojka kombinovaná často ještě s mobilními daty je dnes prakticky standard. Situací, kdy přitom může zaměstnanec s neomezeným přístupem k internetu v kombinaci s využíváním služebních zařízení způsobit zaměstnavateli odpovědnost za škodu vůči třetím osobám, je celá řada. Kde začíná a končí zodpovědnost zaměstnavatele za používání IT vybavení a jak semůže jeho zneužití bránit?
Odpovědnost zaměstnavatele
Jak se můžeme dočíst v občanském zákoníku a zákoníku práce, zaměstnavatel odpovídá za jednání svých zaměstnanců. Práce na firemním IT vybavení je pouze rozšířením jednání zaměstnanců do kybernetického prostoru a platí pro ni stejná pravidla, jaká vyplývají z občanskoprávní úpravy zastoupení firmy nebo podnikatele a z charakteru pracovněprávního vztahu zaměstnanec – zaměstnavatel obecně.
„Obecně platí, že zaměstnavatel je za jednání svých zaměstnanců odpovědný nehledě na jeho zavinění. Případné zavinění se naopak zkoumá u odpovědnosti za škodu zaměstnanců, po kterých zaměstnavatel v případě zaviněného porušení povinností ve vztahu k jimi vykonávané práci může požadovat náhradu škody, a to až do výše 4,5 násobku jejich průměrného měsíčního výdělku. Toto omezení neplatí, pokud zaměstnanci zaměstnavateli způsobí škodu úmyslně. V takovém případě odpovídá zaměstnanec za skutečnou škodu v plné výši a navíc také za případný ušlý zisk na straně zaměstnavatele. Zaměstnavatel a zaměstnanec mohou být také odpovědni za škodu společně. V takovém případě každý odpovídá za ‚svoji část‘ způsobené škody. Dalším typem odpovědnosti zaměstnavatele ve vztahu k zaměstnancům je odpovědnost za správní delikty. Rizika zaměstnavatelů se významně liší vzhledem k předmětu podnikání daného zaměstnavatele podle toho, které normy na podnikání zaměstnavatele dopadají. Každý zaměstnavatel je však odpovědný za přestupky a správní delikty podle zákona o inspekci práce“ uvádí do obecného kontextu právnička Hana Gawlasová, partnerka advokátní kanceláře Squire Patton Boggs.
„Kromě odpovědnosti soukromoprávní, může být zaměstnavatel v důsledku jednání zaměstnance odpovědný také v trestněprávní rovině. Zaměstnanec je totiž jednou z osob, jejíž trestný čin může být zaměstnavateli, právnické osobě, přičítán podle zákona o trestní odpovědnosti právnický osob. Pokud bude trestný čin skutečně právnické osobě přičitatelný, může být vedle pachatele odsouzena v trestním řízení i tato právnická osoba. Tak tomu bude v případě, že se nepodaří prokázat, že jednání zaměstnance bylo tzv. excesem, tedy jednáním, které není v zájmu společnosti,“ dodává Gawlasová.
Co je a co není možné na firemním IT vybavení dělat
Pro firemní síť a počítačové vybavení firmy platí totéž, co pro jakýkoli majetek zaměstnavatele. „Zaměstnanci nesmí užívat majetek zaměstnavatele (a tedy ani firemní počítače a internet) k soukromým účelům bez jeho souhlasu, s čímž souvisí i zájem zaměstnavatele na kontrole dodržování a plnění tohoto zákazu, ovšem za předpokladu, že prováděná kontrola bude přiměřená sledovanému cíli a bude narušovat zaměstnancovo soukromí jen v rozsahu, který je nezbytně nutný,“ vysvětluje právnička.
Takzvaně vyvinit se z trestní odpovědnosti může zaměstnavatel v případě, že udělal vše, co je možné na něm oprávněně požadovat, aby ke spáchání trestného činu nedošlo. Za tímto účelem zaměstnavatelé většinou zavádějí nejrůznější etické kodexy a compliance programy. Zaměstnavatel také může zneužití firemního IT vybavení do určité míry předcházet aktivním monitoringem aktivit, které na firemních počítačích a firemní síti zaměstnanci provádějí. Sem spadá například automatizované kontrolování internetového provozu (SSL inspekce, sandboxing, e-mailová gateway pro pracovní mail). Jenže to má háček. Ze zákona totiž smí kontrolou primárně sledovat pouze ochranu svého majetku, což je v praxi poměrně limitující.
Zaměstnavatel smí kontrolovat dodržování zákazu užívání (nebo stanovených parametrů omezení užívání) pracovních pomůcek zaměstnanci pro soukromé účely, přičemž rozsah kontroly musí být takzvaně přiměřený. Stejným způsobem může zaměstnavatel kontrolovat zaměstnance ve snaze předejití možným škodám, ochránit zaměstnavatele, ostatní zaměstnance a jiné osoby. Sledování, ať již otevřené nebo skryté, je nicméně možné provádět pouze za předpokladu, že pro něj existuje závažný důvod a za podmínky, že jsou zaměstnanci o jeho rozsahu a způsobu provedení kontroly informováni.
„Podmínky pro řádný monitoring zaměstnanců jsou vymezeny zákoníkem práce v druhém a třetím odstavci § 316. Zaměstnavatel tak může provádět monitoring (sledování zaměstnance) pouze na základě předchozího oznámení, v němž je vymezen způsob a rozsah kontrol, a především jen v nezbytných případech, jako je ochrana zdraví osob a již zmíněná ochrana majetku. Monitoring také nesmí být zaměřen na zaměstnance, jako osobu, ale pouze na majetek zaměstnavatele,“ doplňuje Gawlasová.
Pokud navíc monitoring zpracovává osobní údaje, je potřeba na něj aplikovat také obecná ustanovení týkající se ochrany osobních údajů a soukromí stanovená v GDPR, případně zvláštními předpisy upravujícími ochranu soukromí elektronických komunikací (ePrivacy).
Podle pracovní skupiny WP29 (The Article 29 Data Protection Working Party – nezávislý evropský poradní orgán v oblasti ochrany dat a soukromí, jejíž roli však již převzal Evropský sbor pro ochranu osobních údajů), která se zpracováním osobních dat při monitorování informačních a komunikačních technologií na pracovišti, i mimo něj, zabývala ve svém stanovisku č. 2/2017, je ale monitorování online aktivit zaměstnanců v naprosté většině případů nepřiměřeným opatřením a je při něm vždy důkladně potřeba posoudit vliv na ochranu osobních údajů (Data Protection Impact Assesment), které nyní stanovuje GDPR.
Upozornění WP29 se týká i využívání aplikací v cloudu, které teoreticky umožňují velmi detailní zaznamenávání zaměstnaneckého chování. Zaměstnanec by v rámci užívání těchto aplikací měl mít možnost si vymezit prostor, který bude čistě osobní a do něhož nebude mít přístup ani zaměstnavatel ani jiní zaměstnanci. Např. při užívání kalendáře umístěného v cloudu by mělo být zaměstnancům umožněno označit některé položky jako soukromé a tyto by pak měly být přístupné jen zaměstnanci.
Dosáhne zaměstnavatel na BYOD ve firemní síti?
Specifickým případem je, když zaměstnanec k práci využívá své vlastní zařízení, tzv. koncept Bring Your Own Device (BYOD). Kromě odpovědnosti zaměstnavatele popsané výše, přináší BYOD i větší bezpečnostní rizika, např. pokud zaměstnanci nemají k dispozici bezpečný přístup k firemní síti (zpravidla přes VPN), čímž mohou způsobit případný únik citlivých firemních informací nebo napadení ostatních zařízení v síti.
„Kromě úskalí, která BYOD přináší z hlediska pracovního a autorského a jiných odvětví práva, je nutné upozornit i na problémy spojené s GDPR, jelikož v případech užívání vlastního zařízení zaměstnancem se zaměstnavatel bude snažit eliminovat možnost neoprávněného úniku nebo zneužití jak obchodních, tak i osobních dat a informací o zaměstnancích prostřednictvím monitorování těchto zařízení, bude přitom zpracovávat osobní údaje a potenciálně zasahovat do soukromí zaměstnance,“ říká Gawlasová.
„Pro ideální využití konceptu BYOD zaměstnavatelem je potřeba, aby zaměstnavatel vydal vnitropodnikovou směrnici, v níž budou popsána práva a povinnosti zaměstnanců i zaměstnavatele s ohledem na užívání daného zařízení, včetně způsobu a podmínek jeho případného monitoringu. Zaměstnanci musí být se všemi těmito informacemi seznámeni a řádně proškoleni,“ dodává.
Jsou ale věci, přes které jednoznačně nejede vlak. Podle WP29 zaměstnavatelé zejména nesmějí zpracovávat informace a data těchto zaměstnanců, která nesouvisejí s jejich prací, a k těmto datům si nesmějí ani zřídit přístup.
