Ta strona używa cookies do celów analitycznych.

16/09/2021

BYOD w IT. Na co warto zwrócić uwagę?

BYOD czyli wykorzystanie prywatnych nośników do wykonywania czynności służbowych jest jednym z najczęściej stosowanych w branży IT modeli pracy. W związku z pandemią Covid-19, BYOD w ostatnich miesiącach zaczął być wprowadzony do stosowania również przez przedsiębiorców z innych branż, a nawet przez podmioty publiczne.

 

BYOD ( Bring Your Own Device tj. przynieś własne urządzenie/sprzęt) to model wykorzystania urządzeń, w którym pracodawca dopuszcza, że praca będzie wykonywana na sprzęcie należącym do pracownika. Szereg przedsiębiorstw z branży IT i nowych technologii z uwagi na charakter pracy osób zatrudnionych (np. programistów lub grafików) dopuszcza wykonywanie zadań służbowych z użyciem swojego własnego sprzętu ( m.in. laptopów, komputerów stacjonarnych lub telefonów komórkowych). Oczywiście, model ten jest stosowany nie tylko przy umowie o pracę, ale również przy umowie zlecenia, umowie o dzieło lub umowie b2b. Metodę BYOD stosuje się zarówno przy wykonywaniu pracy zdalnej, jak i podczas pracy w siedzibie pracodawcy.

Warto jednakże zwrócić uwagę na to, że w praktyce nieumiejętne lub nieprawidłowe zastosowanie BYOD w branży IT negatywnie wpływa na stan bezpieczeństwa informacji. Konsekwencją może być zmniejszenie ochrony przetwarzanych danych osobowych (zarówno własnych jak i danych powierzonych do przetwarzania) oraz tajemnicy przedsiębiorstwa.

 

Ale zacznijmy od początku...

Dla przedsiębiorcy, który staje przed wyborem metody pracy dla swoich pracowników z użyciem sprzętu elektronicznego, najprostszym rozwiązaniem będzie sytuacja, w której każdy sprzęt służbowy na którym przetwarzane są informacje, jest jego własnością. W takim wariancie pracownicy pracują  wyłącznie na dostarczonym i zabezpieczonym przez pracodawcę sprzęcie. Oczywiście najlepiej, gdy taka praca wykonywana jest w siedzibie pracodawcy, a sprzęt ten nie jest wynoszony poza obszar przetwarzania. W takiej sytuacji dominuje tzw. model COBO (Corporately Owned Business Only tj. własność firmowa, tylko do biznesowego wykorzystania)  polegający na tym, że pracownicy mogą korzystać wyłącznie z urządzeń, które są pozostają własnością pracodawcy i to wyłącznie do celów biznesowych.

Kolejnym, stosowanym modelem jest CYOD  (Choose Your Own Device tj. wybierz własne urządzenie/sprzęt ). Przy CYOD pracodawca pozwala pracownikowi wybrać określony sprzęt (np. markę, parametry, określone funkcjonalności dopasowane do konkretnej osoby i stanowiska), który będzie wykorzystywał w bieżącej pracy. Często wybór jest dokonywany z listy zaproponowanej przez pracodawcę. Niejednokrotnie po pewnym czasie sprzęt ten może stać się własnością pracownika.

Kolejną możliwością pracy na sprzęcie jest COPE (Corporate Owned Personally Enabled czyli własność korporacyjna, do użytku osobistego). W tym modelu pracodawca wskazuje użycie firmowego sprzętu w bieżącej pracy, jednak jednocześnie pozwala korzystać pracownikom z niego nie tylko  do celów służbowych lecz również prywatnych.

 

Przepisy prawa (w tym RODO) nie zakazują BYOD, ale...

Pomimo wielu wariantów wykorzystania sprzętu, najstarszy model tj. BYOD pozostaje wciąż dominujący w branży IT, szczególnie w stosunku do osób zatrudnionych na okres związany z realizacją danego projektu. BYOD w tym kontekście oceniany jest jako niezwykle funkcjonalne rozwiązanie.

Brak przepisów prawa, które zakazywałby zastosowanie tego modelu. Warto natomiast zwrócić uwagę, że często jest niestety tak, że pracodawca zabezpiecza wyłącznie komputery, które są jego własnością.  A wprowadzenie BYOD polega wyłącznie na wskazaniu, że pracownik „sam jest odpowiedzialny za bezpieczeństwo danych osobowych na wszystkich nośnikach” ,co z punktu widzenia zarówno ochrony danych jak i prawa pracy finalnie nie będzie zabezpieczeniem dla pracodawcy. Co więcej, doświadczenie pokazuje, że przy dokonywaniu np.  analizy ryzyka na potrzeby art. 32 RODO, w tym aspekcie niejednokrotnie zostanie wykazane wysokie ryzyko przetwarzania danych.

 

Plusy i minusy BYOD.

Korzyści płynące z zastosowania modelu BYOD to tzw. elastyczność dla pracownika, który  odczuwa komfort pracy na własnym, znanym mu dobrze komputerze. Pracownik może korzystać np. z laptopa do którego jest przyzwyczajony, a praca na nim jest dla niego wygodniejsza oraz bardziej intuicyjna. Korzyścią będzie również tzw. elastyczność dla pracodawcy tj. możliwość zastosowania nośników zewnętrznych np. gdy pojawi się nagle nowy projekt do realizacji na rzecz klienta. W zależności od rodzaju projektu IT, każdorazowo pracuje przy nim inna  liczba  pracowników, a niektóre osoby uczestniczą tylko na jednym z etapów prac, stąd też mając zapewniony dodatkowy sprzęt pracodawca nie musi martwić się o wcześniejsze zaopatrzenie w sprzęt. Powszechnie przyjęto, że BYOD  wprowadza się przede wszystkim ze względu na zmniejszenie kosztów po stronie pracodawcy, lecz trudno zgodzić się z tym stwierdzeniem, gdyż pracodawca chcąc właściwie wprowadzić BYOD, ponosi koszty zabezpieczeń sprzętu BYOD, jednocześnie nie będąc jego właścicielem.

Problemy z BYOD pojawiają się natomiast pod kątem bezpieczeństwa oraz dużego ryzyka dostępu osób nieuprawnionych (np. członków rodziny). Jeżeli chodzi o branżę IT, to często taki pracodawca będzie również podmiotem przetwarzającym lub dalszym podmiotem przetwarzającym i uczestniczy w wielu procesach na podstawie art. 28 RODO dotyczących powierzenia lub dalszego powierzenia przetwarzania danych osobowych. Niejednokrotnie umowy w tym zakresie obwarowane są dużą odpowiedzialnością oraz karami umownymi. Kolejnym problemem jest  oddzielenie danych i informacji od tych, które znajdują się już na tym komputerze pracownika (tj. dane prywatne i dane służbowe). Często problemetyczną kwestią jest brak zabezpieczeń.  Dlaczego? Sama decyzja o zastosowaniu BYOD u pracodawcy nie zabezpieczy komputera na którym pracownik będzie wprowadzał służbowe dane,a wręcz odwrotnie. Często problem jest bagatelizowany, a tzw. głos rozsądku pojawia się najczęściej za późno tj. gdy dochodzi do naruszenia danych osobowych lub wycieku tajemnic przedsiębiorstwa po stronie pracownika, który przetwarzał dane na niezabezpieczonym i prywatnym komputerze. A  przecież zgodnie Art. 24 ust. 1 oraz art. 32 RODO Administrator danych powinien stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe.

 

Jeśli BYOD, to co dalej?

Jeżeli przedsiębiorca po rozważeniu plusów i minusów omawianej metody oraz uwzględnieniu własnej specyfiki pracy, zdecyduje się na wprowadzenie BYOD, powinien dobrze to zorganizować. Na podstawie przeprowadzonej analizy powinien zacząć od zbudowania struktury bezpiecznego dostępu do zasobów Spółki (w tym danych osobowych i tajemnicy przedsiębiorstwa).

Warto podkreślić, że standardy zabezpieczeń na komputerach użytkowanych w formie BYOD określone przez pracodawcę powinny być co najmniej takie same lub bardzo podobne jak na komputerach służbowych.

Warto zabezpieczyć komputery wykorzystywane w metodzie BYOD, a nie przerzucać ten obowiązek na pracownika, który pomimo zapewnień że np. sam zakupi program antywirusowy i zaszyfruje dysk komputera lub wprowadzi trzystopniowe uwierzytelnienie w komputerze, z reguły nigdy tego nie zrobi, a finalnie to pracodawca pozostanie z konsekwencjami. Ponadto nie należy zobowiązywać pracowników do zapewnienia środków zabezpieczeń na własny koszt i ryzyko. Przykładem może być niedawna decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO)  z dnia  13 lipca 2021 DKN.5131.22.2021 dotycząca Administratora danych który twierdził że obowiązek zabezpieczenia nośników spoczywa na użytkownikach i powinni go dokonać we własnym zakresie, z czym nie zgodził się  PUODO wskazując, że „stosowane przez Prezesa Sądu (Administratora danych) działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych”.

Pracodawca powinien również mieć widzę o tym, które urządzenia są objęte BYOD i jakie dane i informacje są na nich przenoszone. Powinien również zadbać o programowanie do zarządzania urządzeniami mobilnymi  np. MDM lub MAM.

Aby właściwie zarządzać BYOD należy ponadto wprowadzić środki organizacyjne w postaci procedury wewnętrznej BYOD, która dokładnie określi jednolite zasady, które ustalą m.in.:

  • jak i kiedy sprzęt jest zabezpieczany przez pracodawcę,
  • jak powinien go używać pracownik,
  • jak powinien  korzystać z niego pracownik,
  • jak ma wyglądać przetwarzanie danych na nim  (np. jakie dane powinny być na nim umieszczane a jakie nie, kiedy i jak należy je usuwać)

Z procedurą  BYOD należy zapoznać wszystkie osoby , które korzystają ze sprzętu w modelu BYOD.

Pracodawca już na etapie zawierania umowy powinien przedyskutować z osobą zatrudnianą z jakiego komputera będzie chciała korzystać. Jeżeli u pracodawcy funkcjonuje kilka modeli wykorzystania sprzętu, warto wybrać ten, który najlepiej dostosowany do specyfiki pracy pracownika. Nie wolno zapominać, że BYOD powinno być realizowane również z poszanowaniem prywatności użytkowników oraz prawa pracy (jeżeli dotyczy pracownika). Zgoda na wykonywanie kontroli i ingerencję w sprzęt powinna być dobrowolna, wiec lepiej przedyskutować  ten temat jeszcze przy zatrudnieniu. Należy również wyjaśnić pracownikowi, że opcja wykorzystania prywatnego sprzętu następuje na określonych zasadach. Opcję korzystania z prywatnego komputera pracownika, który nie jest zabezpieczony przez pracodawcę, należy z góry wykluczyć, gdyż jest to zbyt duże ryzyko negatywnych konsekwencji dla samego przedsiębiorcy.

 Przy wprowadzaniu procedury BYOD pracodawca powinien zwrócić uwagę m.in. na

  • Uregulowanie i ujenolicenie kwestii oprogramowania antywirusowego (np. zakup licencji dla pracowników , aktualizacja, przeglądy),
  • Uregulowanie kwestii kopiowania danych na komputer ( rozważenie czy  jest to niezbędne),
  • Ustalenie czy wszystko będzie przetwarzane wyłącznie w chmurze, po uwierzytelnieniu pracownika czy może jeszcze w inny sposób,
  • Wprowadzenie zasad blokowania komputerów przed dostępem osób nieuprawnionych,
  • Zaprowadzenie ewidencji komputerów pracujących na zasadach BYOD,
  • Zapewnienie pomocy technicznej dla pracowników,
  • Uregulowanie i ujednolicenie kwestii zabezpieczenia komputerów i dostępu do systemu hasłami,
  • Uregulowanie i ujenolicenie kwestii WIFI przy komputerach BYOD,
  • Uregulowanie kwestii zasad i częstotliwości przeglądu komputerów (z uwzględnieniem zasad prywatności pracownika),
  • Uregulowanie kwestii licencji,
  • Wskazanie które aplikacje można bezpiecznie instalować, a jakie są zakazane,
  • Wprowadzenie obowiązkowego szyfrowania sprzętu,
  • Właściwe zabezpieczenie sieci,
  • Dokładne wskazanie jakie dane mogą być przenoszone na komputery BYOD np. dane dotyczące konkretnych projektów w których uczestniczy 
     pracownik, najlepiej bez danych osobowych,
  • Uregulowanie mechanizmów usunięcia danych przez pracownika,
  • Ustalenie, że np. współpracownik b2b będzie wykonywał na tym laptopie tylko pracę wynikającej z zawartej umowy b2b.

Procedurę BYOD warto połączyć z procedurami ochrony danych osobowych, bezpieczeństwa informacji i ochrony tajemnicy przedsiębiorstwa, aby zapewnić spójność systemu ochrony informacji  u danego przedsiębiorcy.

 Jeżeli mają Państwo pytania związane z BYOD lub wdrożeniem procedury w tym zakresie, zapraszamy do kontaktu z naszą Kancelarią.