Používání pracovního notebooku či telefonu pro osobní potřebu není samozřejmostí. Podle expertů pracovního portálu JenPráce.cz zákoník práce soukromé využívání firemního vybavení bez výslovného souhlasu zaměstnavatele zakazuje. Pokud firmy chtějí zaměstnancům takovou možnost umožnit, měly by jasně stanovit pravidla a limity, zejména s ohledem na ochranu osobních údajů a kybernetickou bezpečnost. Odborníci zároveň upozorňují, že kontrola dodržování těchto pravidel má zákonné hranice a musí respektovat právo zaměstnanců na soukromí i pravidla GDPR.
Používání pracovního vybavení pro soukromé účely je právně ošetřeno v zákoníku práce, kde příslušné ustanovení uvádí, že zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky a telekomunikačních zařízení. „Zákaz soukromého používání pracovních prostředků tudíž nemusí být uveden v pracovní smlouvě, protože ze zákoníku práce přímo vyplývá,“ upozorňuje Anna Kevorkyan, CEO pracovního portálu JenPráce.cz.
Chce-li zaměstnavatel soukromé používání vybavení zaměstnancům umožnit, měl by tak učinit výslovným souhlasem, a to ideálně přímo v pracovní smlouvě, v interní směrnici či v dodatku k pracovní smlouvě. Souhlas by měl vymezit rozsah soukromého využívání a stanovit konkrétní limity či zákazy, například co se týče instalace aplikací, využívání jiných než pracovních cloudových úložišť nebo sdílení zařízení s třetími osobami.
Hodí se zmínit, že pokud zaměstnavatel souhlas neudělí, avšak soukromé užívání bude v praxi tolerovat, může být toto chování vyhodnoceno jako takzvaný konkludentní souhlas (souhlas udělený jinak než ústně či písemně). „V případě soudního sporu je sice existence konkludentního souhlasu velmi obtížně prokazatelná, přičemž důkazní břemeno leží na zaměstnanci, přesto by mělo být v zájmu zaměstnavatele se podobným sporům vyhnout, což nejlépe zajistí právní jistota v podobě písemně uděleného souhlasu, nebo naopak důsledné dbaní na dodržování zákazu,“ radí Anna Kevorkyan.
Zákonné možnosti kontroly
Zákoník práce ustanovuje i oprávnění zaměstnavatele kontrolovat, zda je zákaz soukromého používání zaměstnanci dodržován. Tato kontrola však musí probíhat přiměřeným způsobem, zakázáno je tedy například kontrolovat obsahy e-mailů, zpráv a hovorů či zaměstnance při používání pracovních prostředků otevřeně či skrytě sledovat, pokud k tomuto neexistuje závažný důvod. Obecně lze říci, že limitem kontroly je právo zaměstnance na soukromí, přičemž je zaměstnavatel rovněž povinen dodržovat GDPR. Pozor také na to, že zaměstnavatel si nemůže přísnější kontrolu vynutit souhlasem zaměstnance. Zaměstnanec je totiž vůči němu v nerovném postavení, a tak by udělený souhlas s velkou pravděpodobností nesplnil požadavek GDPR na svobodné udělení.
Jak hlídat zákonné nakládání s osobními údaji klientů?
GDPR do celé situace silně vstupuje rovněž v momentě, kdy zaměstnanec pracuje s osobními údaji zákazníků či klientů zaměstnavatele. Zaměstnavatel se totiž v tu chvíli typicky stává správcem osobních údajů, čímž zodpovídá za dodržování GDPR při nakládání s nimi. „Rizika pak vznikají zejména tehdy, když zaměstnanci začnou přenášet tato data mimo firemní prostředí, používají soukromé cloudy či obcházejí interní pravidla nebo nedodržují nastavená bezpečností opatření,“ upozorňuje Anna Kevorkyan, CEO pracovního portálu JenPráce.cz. Zaměstnavatel má jakožto správce osobních údajů legitimní důvod kontrolovat, zda k tomuto nedochází, ovšem je potřeba pamatovat na to, že opět platí určité limity této kontroly, zejména její přiměřenost a nezasahování do soukromí zaměstnanců. Pro kontrolu používání osobních údajů zaměstnancem je tak například možné využít právní titul dle čl. 6 odst. 1 písm. f) GDPR, tedy oprávněný zájem zaměstnavatele, je však třeba posoudit, zda oprávněný zájem zaměstnavatele převažuje nad právy zaměstnanců na ochranu soukromí, a to provedením balančního testu.
Prevence je základ
Vzhledem k mnoha limitům kontroly používání pracovních prostředků k soukromým účelům a kontroly nakládání s osobními údaji klientů se v praxi doporučuje spoléhat raději na prevenci a k prověřování přistoupit až při incidentu nebo důvodném podezření. Preventivní opatření mohou zahrnovat například řízenou instalaci aplikací, blokování neautorizovaných cloudových nástrojů a úložišť, pravidelné aktualizace a důslednou antivirovou ochranu. Osvědčilo se též oddělení pracovních a soukromých dat s využitím sandboxingu. Všechna tato opatření mohou podstatně snížit i riziko kybernetického incidentu, které s umožněním soukromého používání výrazně roste.
