Az adatvédelmi terület jogi specialistája szerint egyedi szabályozás nélkül még adatlopás gyanúja esetén sem feltétlenül vizsgálható át a privát eszközök tartalma.
A munkavállalók 46 százaléka úgy használja saját mobileszközeit (mobiltelefon, tablet, notebook stb.) a munkahelyén, hogy a munkáltatója nem tud róla, nincs erre vonatkozó szabályzata, vagy ha van is, azt soha nem íratta alá a dolgozókkal – derül ki a londoni székhelyű Ovum piackutató cég 17 országra kiterjedő globális BYOD (Bring Your Own Device – saját eszközök céges használatáról szóló) felméréséből.
Holló Dóra ügyvéd szerint itthon még ennél is rosszabb a helyzet: a cégek többsége még a veszélyek nagyságrendjével sincs tisztában. „A magyar vállalkozások minden pillanatban kártérítési pereket és adatvédelmi bírságokat kockáztatnak, illetve rosszabb esetekben még büntetőjogi felelősségüket is kockára teszik. Ehhez elég, ha a dolgozó elveszíti a vállalatnál is használt tabletjét, és az azon tárolt szenzitív céges adatok nyilvánosságra kerülnek. Ráadásul ez a fajta munkáltatói hanyagság már az aktív jogsértés tárgykörébe tartozik” – véli a szakértő.
Fotó: Shutterstock
Magyarországon a munkahelyre bevitt saját eszközökkel kapcsolatban nincsen önálló törvényi szabályozás. Az erre vonatkozó joggyakorlatot részben a Munka törvénykönyve, részben pedig az adatvédelmi törvény alakítja ki.
A szakértő szerint ezek alapján egyértelmű, hogy ha a vállalati adat a munkáltató által nem ellenőrzötten, azaz erre vonatkozó szabályzat, vagy erre is kiterjedő munkaszerződés nélkül kerül a dolgozó saját eszközére, a munkáltató máris megsérti az adatkezelésre vonatkozó adatvédelmi kötelezettségét. Ha pedig ez kitudódik, az érintettek akár kártérítést is kérhetnek, a Nemzeti Adatvédelmi és Információszabadság Hatóság 100 ezer és 10 millió forint közötti összegben bírságolhat, és az eset nyilvánosságra kerüléséből adódó vállalati reputációs veszteség sem elhanyagolható.
A munkaadót valószínűleg az sem vigasztalja majd, hogy munkavállalói oldalról a Btk. is foglalkozik a személyes adatokhoz kapcsolódó jogok megsértésével, abban az esetben, ha haszonszerzés érdekében, vagy jelentős érdeksérelmet okozva történik. Ez esetben ugyanis akár 2 évig terjedő szabadságvesztés is kiszabható az elkövetőre.
Tilt, tűr vagy támogat?
A Munka törvénykönyve alapján – külön megállapodás hiányában – a munkáltató eleve nem írhatja elő a munkavállaló számára saját eszközeinek használatát – szögezi le a szakember.
Ha ennek ellenére mégis elfogadott a cégnél a saját eszközök használata, akkor szinte óhatatlan, hogy egyazon készüléken végleg összekeverednek a munkavégzés során használt adatok (e-mailek, dokumentumok, kontaktinformációk, kimutatások stb.), illetve az alkalmazott saját adatai.
Ennek, hacsak nincs megfelelően részletes adatvédelmi szabályzat vagy erre a kérdésre is kiterjedő munkaszerződés, az lehet a következménye, hogy a munkáltató a munkaviszony megszűnése esetén nem fogja tudni a céges adatokat anélkül visszaszerezni vagy törölni, hogy a magánadatokat közben ne lássa. Ilyenkor választhat: vagy az üzleti titok megtartására vonatkozó szabályokat szegi meg, és nem ellenőrzi a munkaadónál maradó adatokat, vagy a dolgozót védő adatvédelmi szabályokat sérti meg, és privát adatokat is átnéz.
A munkaadó kezét ebben az esetben a Munka törvénykönyvének a munkavállaló személyhez fűződő jogaival kapcsolatos szabályozása köti meg. Ez ugyanis egyértelműen kimondja, hogy a munkáltató nem juthat hozzá a munkavállaló privát adataihoz. (Még akkor sem, ha esetleg arra gyanakszik, hogy a dolgozó privát eszközökön keresztül, illegálisan jutott hozzá céges adatokhoz.)
„Avagy BYOD-szabályozás nélkül a foglalkoztató elveszti a kontrollt saját szenzitív üzleti adatai felett, és szélsőséges esetben teljesen kiszolgáltatottá válhat munkavállalójával szemben” – figyelmeztetett Holló Dóra.
Okos eszközhöz okos szabályozás
Az ügyvéd szerint a saját használatú mobileszközök elterjedése miatt, különösen irodai munkák esetében egyre kevésbé életszerű a BYOD teljes tiltása, ugyanakkor az adatvédelmi előírások komplexitása miatt egyértelmű, hogy a munkaadó csak akkor alhat nyugodtan, ha teljes körűen szabályozza ezt a gyakorlatot.
„Kiemelten fontos a vállalat működésének sajátosságait szem előtt tartó, testreszabott BYOD-stratégia és a kapcsolódó, mindenre kiterjedő szabályrendszer kialakítása. Ehhez IT-szakember és az adatvédelemben és munkajogban is jártas jogász is szükséges, akik a vonatkozó szabályzatot és szerződéses hátteret a különböző területek igényeinek egyeztetésével készítik el” – tette hozzá.
A már elkészített jogi és technikai szabályzatokat és szerződéses hátteret a céges változásokra és a technikai fejlődésre való tekintettel, legalább évente érdemes felülvizsgáltatni.
