Jak wynika z badań, ponad 3/4 Polaków korzysta aktywnie ze smartfonów z czego kolejne 3/4 co najmniej raz w tygodniu wykorzystuje je do celów służbowych. Ciężko się temu dziwić – wszak telefony już dawno przestały być urządzeniami przeznaczonymi wyłącznie do komunikacji, a stały się mobilnymi centrami rozrywki, instrumentami budowania relacji społecznościowych, czy też przenośnymi narzędziami biurowymi. Najlepszym przykładem tego jest fakt, że ten artykuł przygotowany został właśnie na telefonie, a nie na nieporęcznym komputerze, pozostawionym na biurku w pracy.
W zakresie wykorzystania smartfonów do celów służbowych, coraz rzadziej wykorzystuje się telefony przekazywane przez pracodawcę, zastępując je dla własnej wygody prywatnymi. Firmy przeważnie tego nie zabraniają, czasem doszukując się w tym oszczędności, czasem dążąc do zapewnienia pracownikom większej dostępności do narzędzi pracy, a chyba najczęściej po prostu nie widząc w tym żadnego problemu i nie zawracając sobie głowy tym zagadnieniem.
Podobne zjawisko można zauważyć w przypadku komputerów prywatnych, wykorzystywanych w celach zawodowych. Tu odsetek użycia jest znacząco niższy, co nie znaczy, że samo zagadnienie nie występuje i nie wiąże się z takimi samymi ryzykami jak w przypadku smartfonów.
W każdym przypadku takiego wykorzystania prywatnego sprzętu pracownika do celów (chociażby częściowo) służbowych, mówimy o dopuszczeniu w firmie modelu BYOD (Bring Your Own Device).
Problemy z asymilowaniem w organizacji takiego modelu (jak to zwykle bywa) nie pojawiając się najczęściej na etapie bieżącego użytkowania, tylko wtedy gdy zdajemy sobie sprawę, że może być to dodatkowy czynnik ryzyka dla bezpieczeństwa naszych danych firmowych.
Model BYOD zasadniczo przewiduje ograniczone lub nieograniczone korzystanie ze sprzętu prywatnego w celach służbowych. To oznacza, że w zależności od wariantu, pracownik przez swój prywatny komputer lub telefon może uzyskiwać dostęp do poczty służbowej, a nawet dokumentów gromadzonych na serwerach pracodawcy.
Z chwilą udostępnienia członkowi personelu takiej możliwości, pracodawca generalnie (pomimo, że są to jego dane, a nawet dane za które ponosi odpowiedzialność – jak administrowane przez niego dane osobowe) traci nad nimi kontrolę. W przeciwieństwie do infrastruktury firmowej, pracodawca traci wiedzę, gdzie dane są gromadzone, jak są przetwarzane oraz komu są przekazywane. Samo zabezpieczenie się od strony formalnej(chociażby przez udzielenie pracownikowi upoważnienia do przetwarzania danych osobowych czy też podpisanie przez pracownika NDA) nie rozwiązuje głównego problemu – ryzyka, że przez działanie pracownika lub niewystarczającą ochronę zawartości urządzenia BYOD zostanie naruszona tak tajemnica przedsiębiorstwa jak i poufność wspomnianych danych osobowych.
Pracodawcy relatywnie rzadko stosują dodatkowe zabezpieczenia, takie jak polityki BYOD, które mogą pozwolić doprecyzować zakres wykorzystywania prywatnego narzędzia w celach służbowych, a jeszcze rzadziej zabezpieczenia techniczne, umożliwiające chociażby monitoring prywatnego urządzenia pracownika. To ostatnie jest tak mało spotykaną praktyką nie tylko wobec obaw pracowników o ich inwigilację, ale też ze względu na przepisy RODO.
Co należy podkreślić, monitoring BYOD jest legalny, możliwy, a nawet wskazany, choć ma pewne ograniczenia. W ujęciu przepisów, pracodawca ma możliwość monitorowania wyłącznie poczty służbowej oraz aplikacji dedykowanych do przetwarzania firmowych danych. W żadnym wypadku pracodawca nie może kontrolować poczty prywatnej pracownika, pomimo że jej niewłaściwe wykorzystanie (np. przesyłanie na nią poza wiedzą i zgodą pracodawcy dokumentów służbowych) może uzasadniać rozwiązanie umowy o pracę (tak m.in. wskazano w wyroku SN z 19.11.2014 r., II PK 49/14).
Sama Grupa Robocza art. 29, której opinie są wyznacznikiem jak należy interpretować RODO podkreśla, że w przypadkach, w których pracownik korzysta ze służbowego telefonu lub samochodu w celach prywatnych, powinien mieć opcję wyłączenia się spod monitoringu (tzw. opt-out). Używanie stałego monitoringu urządzeń nie może bowiem stanowić szeroko zakrojonego programu do inwigilacji pracowników. W opinii wyraźnie podkreślono, że najbardziej problematyczne może być korzystanie przez pracownika z prywatnych urządzeń podczas świadczenia pracy (tzw. polityka BYOD – BringYourOwn Device), co powoduje, że dane urządzenie zazwyczaj będzie zawierać prywatne dane pracownika, a nawet innych osób, np. domowników, członków rodziny korzystających z laptopa. W takiej sytuacji, aby monitoring mógł zostać uznany za dopuszczalny i uzasadniony, konieczne jest zastosowanie środków pozwalających oddzielić wykorzystanie sprzętu dla celów służbowych od wykorzystania dla celów prywatnych.
Szczególnym wyzwaniem po stronie pracodawcy jest doprowadzenie do usunięcia przez pracownika danych z urządzenia, tak w momencie ustania stosunku pracy, jak i przed jego odsprzedażą lub wyrzuceniem.
Tutaj pracodawca (o ile nie będzie stosował wspomnianych zabezpieczeń technicznych, które mogłyby umożliwić kontrolę, jakie pliki pracownik zgrywał na prywatne urządzenie, a nawet ograniczyć ich zapis) po pierwsze może jedynie bazować na deklaracjach pracownika, a po drugie przy rozwiązaniu stosunku pracy traci bezpowrotnie możliwość dalszego nadzoru (jako że odpada podstawa do monitoringu bez zgody pracownika).
Niezależnie od tego, jak poważnym ryzykiem dla pracodawcy jest ujawnienie danych stanowiących jego własność, nie może on żądać od pracownika wydania narzędzia prywatnego do inspekcji, czy też odsprzedania urządzenia pracodawcy. Może on jedynie prosić członka swojego personelu o złożenie stosownego oświadczenia starając się go do tego mobilizować (np. przy rozstaniu za porozumieniem stron uzależniając wypłatę odprawy od otrzymania takiego dokumentu). Z pewnością nie uchroni to pracodawcy przed faktycznym wyciekiem poufnych informacji gdyby oświadczenie było nieprawdziwe, ale może mu pomóc poradzić sobie z konsekwencjami. Po pierwsze może być to okoliczność (odebranie takiego oświadczenia), która zostanie wzięta pod uwagę, przez Prezesa Urzędu Ochrony Danych Osobowych przy nakładaniu kary, jeżeli przy utylizacji sprzętu administrowane dane osobowe nie byłyby usunięte i na skutek tego zostałyby ujawnione osobom niepowołanym (choć raczej nie zwolni to administratora z całej odpowiedzialności), a po drugie może ono (oświadczenie) pozwolić pracodawcy dochodzenie od pracownika odpowiedzialności, jeżeli wskutek ujawnienia, pracodawca poniósłby jakąkolwiek szkodę.
Co zostało już podkreślone, pomimo że nie jest to powszechna praktyka, zawsze tam gdzie umożliwiamy pracownikom możliwość korzystania z urządzeń prywatnych w celach służbowych, warto zadbać o wprowadzenie zasad (przez odpowiednią politykę BYOD), które będą precyzowały wszystkie wspomniane elementy, w tym wprowadzały wymogi spoczywające na pracowniku, jeżeli chciałby w jakikolwiek sposób pozbyć się sprzętu, na którym wskazane dane są przechowywane. Tam, gdzie w ramach BYOD będzie dochodziło do przetwarzania danych osobowych, taka polityka będzie jednym z elementów ogólnej procedury ochrony przetwarzanych danych osobowych, do czego posiadania zobligowany jest każdy administrator – także (a nawet w szczególności) ten który posiada pracowników, którym poszczególne zbiory danych udostępnia w ramach swojej działalności.