Riziká spojené s Bring your own device

V sú­čas­nos­ti sa mno­ho spo­loč­nos­tí roz­ho­du­je o spô­so­be, ako by moh­li ušet­riť na nák­la­doch spo­je­ných s in­for­mač­ný­mi a te­le­ko­mu­ni­kač­ný­mi tech­no­ló­gia­mi. Jed­na z ta­kých­to mož­nos­tí je aj umož­niť za­mes­tnan­com pou­ží­vať vo fi­rem­nom pros­tre­dí ich vlas­tné za­ria­de­nia - od mo­bil­ných te­le­fó­nov, tab­le­tov až po po­čí­ta­če. Tá­to po­li­ti­ka, ozna­čo­va­ná ako Bring your own de­vi­ce (BYOD), však za­hŕňa aj ce­lý rad ri­zík. Väč­ši­nou ide o bez­peč­nos­tné ri­zi­ká a, po­cho­pi­teľ­ne, s kaž­dým ta­kým­to ri­zi­kom sú ne­vyh­nut­ne spo­je­né práv­ne dôs­led­ky, ak sa ri­zi­ko pre­ja­ví.

Vý­skyt za­ria­de­ní, kto­ré ne­pa­tria za­mes­tná­va­te­ľo­vi, vnút­ri or­ga­ni­zá­cie zna­me­ná, že úda­je o spo­loč­nos­ti sa bu­dú uk­la­dať aj na za­ria­de­niach mi­mo do­sa­hu za­mes­tná­va­te­ľa. V kaž­dej spo­loč­nos­ti sú in­for­má­cie, kto­rých zve­rej­ne­nie by ju moh­lo poš­ko­diť. Pre­to je ne­vyh­nut­né za­bez­pe­čiť ochra­nu úda­jov nie­len v rám­ci opat­re­ní na pred­chá­dzanie bez­peč­nos­tných in­ci­den­tov, ale aj sta­no­ve­ním jas­ných a pres­ných pra­vi­diel.

Po­kiaľ sa za­mes­tná­va­teľ roz­hod­ne po­vo­liť svo­jim za­mes­tnan­cov pou­ží­vať ich vlas­tné za­ria­de­nia, kaž­dý ta­ký­to za­mes­tna­nec by mal byť vop­red a preu­ká­za­teľ­ne oboz­ná­me­ný so všet­ký­mi pod­mien­ka­mi a ob­me­dzenia­mi, kto­ré bu­de mu­sieť dodr­žia­vať. To bu­de naj­vhod­nej­šie reali­zo­vať vo for­me vnú­tor­né­ho pred­pi­su. Prí­pad­né po­ru­še­nie pra­vi­diel po­tom bu­de mož­no pos­tih­núť ako po­ru­še­nie pra­cov­nej dis­cip­lí­ny so všet­ký­mi z to­ho ply­nú­ci­mi dôs­led­ka­mi vrá­ta­ne mož­nos­ti ukon­če­nia pra­cov­né­ho po­me­ru so za­mes­tnan­com.

Vnú­tor­ný pred­pis za­mes­tná­va­te­ľa by mal ob­sa­ho­vať pre­dov­šet­kým špe­ci­fi­ká­ciu za­ria­de­ní, kto­ré je do­vo­le­né pou­ží­vať, zoz­nam po­vo­le­ných a za­ká­za­ných ap­li­ká­cií na ta­kých­to za­ria­de­niach, ako aj zoz­nam ak­ti­vít, kto­ré sa na nich ne­mô­žu vy­ko­ná­vať. Žiaľ, žiad­ny vnú­tor­ný pred­pis ne­do­ká­že ochrá­niť úda­je na za­ria­de­niach v prí­pa­de ich stra­ty či krá­de­že. O ta­kej­to sku­toč­nos­ti by mal byť za­mes­tna­nec po­vin­ný in­for­mo­vať za­mes­tná­va­te­ľa bez zby­toč­né­ho od­kla­du.

Oso­bit­ne ri­zi­ko­vá si­tuácia nas­ta­ne, ak za­mes­tná­va­teľ spra­cú­va osob­né úda­je a za­mes­tnan­ci s ni­mi bež­ne pri­chá­dza­jú do sty­ku. Po­kiaľ za­mes­tná­va­teľ bu­de uva­žo­vať o tom, ku kto­rým osob­ným úda­jom umož­ní pris­tu­po­vať za­mes­tnan­com aj z ich vlas­tných za­ria­de­ní, ako pre­vádz­ko­va­teľ mô­že byť pos­tih­nu­tý do­zor­ným or­gá­nom do­kon­ca aj v prí­pa­de, ak je­ho za­mes­tna­nec (v pos­ta­ve­ní op­ráv­ne­nej oso­by) po­ru­šil vnú­tor­né pred­pi­sy za­mes­tná­va­te­ľa a v dôs­led­ku toh­to po­ru­še­nia doš­lo nap­rík­lad k zve­rej­ne­niu osob­ných úda­jov dot­knu­tej oso­by.

Oso­bit­ne prob­le­ma­tic­ké bu­de aj vy­má­ha­nie náh­ra­dy ško­dy, kto­rá za­mes­tná­va­te­ľo­vi vznik­la v dôs­led­ku pou­ží­va­nia za­ria­de­ní pa­tria­cich za­mes­tnan­cov. V zá­sa­de mož­no kon­šta­to­vať, že pri pou­ži­tí us­ta­no­ve­ní Zá­kon­ní­ka prá­ce o náh­ra­de ško­dy mô­že byť pre za­mes­tná­va­te­ľa ob­rov­ský prob­lém vô­bec do­ká­zať za­mes­tnan­co­vi, že spô­so­bil ško­du. Ďal­šia li­mi­tá­cia je ob­me­dzenie náh­ra­dy ško­dy su­mou štvor­ná­sob­ku prie­mer­né­ho me­sač­né­ho zá­rob­ku za­mes­tnan­ca pred po­ru­še­ním po­vin­nos­ti, kto­rým spô­so­bil ško­du, po­kiaľ ide o ško­du spô­so­be­nú z ned­ban­li­vos­ti. Z práv­ne­ho hľa­dis­ka tak ri­zi­ká spo­je­né pou­ží­va­ním vlas­tných za­ria­de­ní za­mes­tnan­ca jed­noz­nač­ne pre­vy­šu­jú vý­ho­dy toh­to rie­še­nia.

Zdroj: PCR 7/2012