V předminulém čísle jsme se věnovali fenoménu práce z domova, respektive využívání BYOD s ohledem na současnou situaci. Zabývali jsme se z pohledu praxe „důležitějším“ aspektem, jímž je bezpečnost klientských dat. Měli bychom však pamatovat i na osobní údaje zaměstnanců. Tentokrát se proto podíváme na to, jak je to s jejich osobními údaji v případě práce z domova na vlastním zařízení (BYOD).
Právo zaměstnanců na soukromí
Při práci z domova mohou zaměstnanci používat nejen zařízení půjčená z práce, ale také vlastní. Pro minimalizaci rizik jsme v minulém čísle vyjmenovali některá dostupná opatření a nástroje, díky kterým budou klientské osobní údaje v bezpečí i přes to, že s nimi zaměstnanec nepracuje na pracovišti ve firemním IT prostředí. Bezpečí zákaznických dat je však jen jedna strana mince. Na druhé straně stojí práva zaměstnanců na soukromí. Velmi zjednodušeně řečeno totiž můžeme říct, že čím více budeme přijímat opatření na ochranu osobních údajů zákazníků, tím více budeme pravděpodobně zasahovat do práv zaměstnanců.
Monitoring a kontrola zaměstnanců
Jedním z nejčastějších opatření, jak si ověřit, že jsou klientská data skutečně v bezpečí, je monitorování, co se s údaji děje. Při práci s daty tak například sbíráme logy, sledujeme, zda předmětné databáze někdo nekopíruje, popřípadě jak s nimi nakládá. Důvod je jednoduchý – potřebujeme vědět, že data nikdo neukradne. Různé úrovně a formy monitoringu jsou však problematické, protože se pomocí nich můžeme dostat i k jiným, osobním informacím, respektive k informacím soukromé povahy.
Pojďme zde uvést jeden z nejčastějších případů, kdy k tomu dochází. V předchozím článku jsme se bavili o možnostech nasazení technologie VPN – pokud se z domova přihlásíte přes internet ke svému PC v práci, váš zaměstnavatel může od toho okamžiku velmi zjednodušeně řečeno získat přístup ke stejným informacím, jaké má váš poskytovatel internetu.
Nemusíme zabíhat do zbytečných podrobností, stačí vědět, že zaměstnavatel má tak přístup k takovým informacím, jako jaké stránky jste navštívili, kolik jste na nich trávili času a podobně. Co to znamená pro soukromí zaměstnanců?
Jak je to se soukromým užitím?
V případě pracovních zařízení by se mohlo zdát, že je situace vyřešená jednoduše. Zákoník práce totiž v ustanovení § 316 stanovuje, že„zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat.“V takovém případě by se mohlo zdát, že pokud zaměstnanec nedostane povolení, je možno jej libovolně sledovat, a pokud se zde objeví informace osobní povahy, je tomu tak přes nesouhlas zaměstnavatele, a zaměstnanec tudíž pozbývá ochranu proti zasahování do svého soukromí. To však není celá pravda a toto téma by si zasloužilo větší pozornost (zejména s ohledem na judikaturu ESLP).
Na co si dát při nastavování pozor?
Neměli bychom opomenout, že tomuto tématu se dlouhodobě věnovala WP29, potažmo EDPB. Měli bychom tak brát v potaz některé dokumenty, jako je stanovisko 8/2001 ke zpracování osobních údajů v souvislosti se zaměstnáním, pracovní dokument WP 55 ke sledování elektronické komunikace na pracovišti a shrnující dokument toho všeho – aktualizované stanovisko 2/2017 ke zpracování osobních údajů na pracovišti, které nalezneme v českém překladu zde. V těchto dokumentech lze najít většinu odpovědí na dotazy týkající se zařízení TLS, systémů DLP či jiných nástrojů sloužících k monitoringu a podobně.
Vlastní úpravu této problematiky bychom měli hledat i v samotném zákoníku práce, ten totiž nad rámec GDPR v ustanovení § 316 odst. 2 stanovuje dodatečné podmínky:„Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.“
Monitorování zaměstnanců v rámci BYOD
Co se týče monitorování zaměstnanců, nevznikají větší rozdíly v tom, zda je monitorujeme na „pracovním“, nebo na jejich soukromém zařízení. Jeden rozdíl zde však je, neboť u soukromého zařízení můžeme očekávat, že po uplynutí pracovní doby bude aktivita na tomto zařízení s nejvyšší pravděpodobností již ryze soukromá. Pokud tedy na základě dohody může zaměstnanec přistupovat k firemním datům pouze prostřednictvím VPN, měli bychom si dát pozor, abychom nesledovali jeho aktivitu i poté, co již nepracuje, a pouze si zapomene vypnout VPN. Jakkoli totiž ohrožuje zaměstnanec firemní síť návštěvami nevhodných stránek, musíme být obezřetní a pamatovat na to, že těžko z toho můžeme vyvozovat jiné důsledky.
Totéž platí i pro využití jiných detekčních zařízení – neměla by být instalována na koncová zařízení, ale spíše do firemní sítě. V konečném důsledku si totiž velmi těžko odůvodníme nasazení „sledovacího“ softwaru na soukromé zařízení zaměstnance.
Doporučujeme proto zeptat se správce (popřípadě rovnou správce sítě), zda a jakým způsobem dochází k monitorování zaměstnanců a jejich práce, výkonnosti či jen ke sledování. Zeptejte se správce sítě, jak pozná, že nedochází k bezpečnostním únikům či ohrožením podnikové sítě tím, že zaměstnanci mohou navštěvovat nevhodné stránky s potenciálně škodlivým softwarem. Dešifruje správce TSL či využívá systém prevence úniku dat (DLP – Data Loss Prevention)? V pořádku – sleduje zaměstnavatel, s ohledem na práci z domova, pohyby myší či údery kláves pro ověření, že si zaměstnanec pouze „nepustil stopky“ a nekouká na YouTube?
Pokud si na některé z otázek odpovíte ano, měli byste se podívat, zda vše probíhá v souladu s GDPR a zákoníkem práce. V zásadě si všechny otázky zodpovíte tím, že nahlédnete do posouzení oprávněného zájmu, které by měl správce vyhotovit. Pokud jej správce nemá, znamená to dvojí – buď žádné není (tím pádem nacházíme rozpor s GDPR), nebo správce zpracovává osobní údaje na základě jiného právního titulu. To však může být samo o sobě porušením GDPR, protože pravděpodobně žádný jiný právní titul než oprávněný zájem v tomto případě nepřipadá v úvahu. Pokud však správce toto posouzení má, zkontrolujte, zda jsou naplněny všechny parametry (oprávněnost zájmu, nezbytnost…), a pokud je vše v pořádku, zkontrolujte, zda jsou zaměstnanci o tomto patřičně informováni. Pokud něco chybí, je to jednoduché – stačí nahlédnout do výše jmenovaných vodítek a stanovisek a držet se toho, co už znáte.
Je čas na revizi dokumentů
Ačkoli se už zaměstnanci pomalu do práce vrací, práce z domova bude stále poměrně častá alternativa k normálnímu pracovnímu životu. Zrevidujte proto pracovněprávní dokumentaci a zkontrolujte, že i vaše procesy ochrany osobních údajů s tímto počítají.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 11. 6. 2020