Számtalan írás foglalkozik azzal, hogy a saját eszközök munkahelyi használatának (BYOD – Bring Your Own Device) pozitív hatása van a hatékonyságra. Ugyanakkor a szakértők többsége arra is figyelmeztet, hogy fontos a tendencia stratégiai szintű kezelése, hogy biztosítható legyen az eszközök felügyelete és a megfelelő szintű biztonság. Van azonban a trendnek egy olyan vetülete, amelyről viszonylag kevés szó esik.

Ellenőrizetlen eszközök arzenálja ■ Egy londoni kutató cég, az Ovum felmérése szerint a munkavállalók 46 százaléka úgy használja saját mobileszközeit a munkahelyén, hogy a munkáltatója nem tud róla. Ez persze sok esetben összefügg azzal, hogy az adott cégnek nincs is BYOD szabályzata, vagy ha van is, azt soha nem íratta alá a dolgozókkal. A felmérésre reagálva adott ki a Balázs & Holló Ügyvédi Iroda egy összeállítást, amely a hazai helyzetet elemzi. Az iroda partner-ügyvédje, dr. Holló Dóra ebben úgy nyiltakozik, hogy itthon még az Ovum által feltártnál is rosszabb a helyzet: a cégek többsége még a szabályozatlan BYOD-ból adódó veszélyek nagyságrendjével sincs tisztában.



A szakember felhívja a probléma jogi vetületére is felhívja a figyelmet: "A magyar cégek minden pillanatban kártérítési pereket és adatvédelmi bírságokat kockáztatnak, illetve rosszabb esetekben még büntetőjogi felelősségüket is kockára teszik. Ehhez elég, ha a dolgozó elveszíti a vállalatnál is használt tabletjét, és az azon tárolt szenzitív céges adatok nyilvánosságra kerülnek" – idézi a közlemény Holló Dórát.

A törvények csak áttételesen szabályozzák ■ Magyarországon a munkahelyre bevitt saját eszközökkel kapcsolatban nincs önálló törvényi szabályozás. Az erre vonatkozó joggyakorlatot részben a Munka Törvénykönyve, részben pedig az Adatvédelmi törvény alakítja ki. Így például az Adatvédelmi törvény paragrafusai határozzák meg az adatkezelés tartalmát és formáját, illetve összefoglalják az azok tárolására, nyilvánosságra hozatalára, illetve továbbítására vonatkozó szabályokat.

Holló szerint ezek alapján egyértelmű, hogy ha a vállalati adat a munkáltató által nem ellenőrzötten, azaz erre vonatkozó szabályzat vagy erre is kiterjedő munkaszerződés nélkül kerül a munkavállaló saját eszközére, a munkáltató máris megsérti az adatkezelésre vonatkozó adatvédelmi kötelezettségét. Ha pedig ez kitudódik, az érintettek akár kártérítést is kérhetnek, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 100 ezertől 10 millió forintig terjedő bírságot szabhat ki – és akkor még a vállalati reputáció sérüléséről nem is beszéltünk, pedig közvetve az is súlyos anyagi károkat okozhat.

A személyes adatokhoz kapcsolódó jogok megsértésével a munkavállalói oldal felelősségét is rögzíti a Btk. Ez azokra az esetekre vonatkozik, ha ezeket a jogokat a munkavállaló haszonszerzés érdekében sérti meg, és azzal jelentős érdeksérelmet okoz. Ilyen esetben 2 évig terjedő szabadságvesztés szabható ki az elkövetőre. Ugyanakkor ha a saját eszköz használatának következményeként üzleti titok sérül, akkor a munkaadó is felelősségre vonható a Polgári törvénykönyv 81.§-a alapján, bár vagyoni hátrány okozása esetén ilyenkor is felmerülhet az elkövető büntetőjogi felelősségének kérdése (Btk. 418.§).

Vagy-vagy helyzetek ■ A problémakört tovább bonyolítja, nyilatkozta Holló Dóra, hogy a Munka Törvénykönyve szabályai alapján – külön megállapodás hiányában – a munkáltató eleve nem írhatja elő a munkavállaló számára saját eszközeinek használatát. Ennek egyenes következménye, hogy ha egy cégnél mégis elfogadják, hogy a dolgozó a saját eszközét használja munkavégzésre, azon összekeverednek a munkahelyi adatok (e-mailek, dokumentumok, kontaktinformációk, kimutatások stb.) és a munkavállaló személyes adatai.

"Ennek, hacsak nincs megfelelően részletes adatvédelmi szabályzat vagy erre a kérdésre is kiterjedő munkaszerződés, az lehet a következménye, hogy a munkáltató a munkaviszony megszűnése esetén nem fogja tudni a céges adatokat anélkül visszaszerezni vagy törölni, hogy a magánadatokat közben ne lássa. Ilyenkor választhat: vagy az üzleti titok megtartására vonatkozó szabályokat szegi meg, és nem ellenőrzi a készüléken maradó adatokat, vagy a munkavállalót védő adatvédelmi szabályokat sérti meg, és privát adatokat is átnéz" – foglalta össze Holló Dóra.

A munkaadó kezét ebben az esetben a Munka Törvénykönyvének azok a pontjai kötik meg, melyek a munkavállaló személyhez fűződő jogait szabályozzák. A Munka Ttörvénykönyve ugyanis egyértelműen kimondja, hogy a munkáltató nem juthat hozzá a munkavállaló privát adataihoz. Még akkor sem, ha esetleg arra gyanakszik, hogy a dolgozó privát eszközökön keresztül, illegálisan jutott hozzá céges adatokhoz! Ebből egyenesen következik, hogy a BYOD-szabályozás bevezetése és akkurátus betartatása nélkül a munkáltató gyakorlatilag elveszti a kontrollt saját szenzitív üzleti adatai felett, és szélsőséges esetben teljesen kiszolgáltatottá válhat munkavállalójával szemben.


Ha az adott cégnél a saját eszközök használatát nem tiltják kategorikusan, akkor adatvédelmi szabályzat vagy megfelelő munkaszerződés erre vonatkozó kitételeinek hiányában az sem ellenőrizhető, hogy a munkavállaló a saját eszközén pontosan mit csinál munkaidőben. Ha pedig a munkaadó mégis alkalmaz ilyen ellenőrző technikákat, akkor a Munka Törvénykönyve 11.§ második bekezdésébe ütközően jár el. Az ugyanis arról rendelkezik, hogy a munkáltatónak előzetesen kell tájékoztatnia a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálják. Ha ezt a tájékoztatást elmulasztotta, és utólag mégis használ ilyen technikákat, ugyancsak felelősségre vonható. 

A saját eszközök használatát a munkáltató ugyan korlátozhatja – például munkaközi szünetekre –, sőt meg is tilthatja, de akkor sem ellenőrizheti a munkavállalók személyes eszközein lévő tartalmakat.

A 3T helyett okos szabályozás ■ Holló Dóra szerint a saját használatú mobileszközök elterjedése miatt, különösen irodai munkák esetében egyre kevésbé életszerű a BYOD teljes tiltása. Egyáltalán: a támogatás-tűrés-tiltás hármasból önmagában egyik sem vezet eredményre. Holló szerint az adatvédelmi előírások komplexitása miatt egyértelmű, hogy a munkaadó csak akkor alhat nyugodtan, ha teljes körűen szabályozza a saját eszközök munkahelyi használatát.


A szakértő arra is felhívta a figyelmet, hogy nincs általános recept. A vállalat működésének sajátosságait szem előtt tartó, testre szabott BYOD-stratégiát kell kialakítani, és ahhoz igazodva kell létrehozni a mindenre kiterjedő szabályrendszert. Ehhez minden esetben szükség van a cég IT-szakembereinek (IT-stratéga, üzemeltetés stb.) és az adatvédelemben és munkajogban jártas jogász szoros együttműködésére, mert csak így hozhatók összhangba az igények a jogi keretekkel. Mivel a technológiai lehetőségek rendkívül gyorsan változnak, a szabályrendszer minden aspektusát (jogi, technikai, szerződéses) legalább évente érdemes felülvizsgálni, és összhangba hozni a cég működésében bekövetkezett változásokkal.