Korzystanie z własnych urządzeń jest wygodne m.in. dlatego, że często pracownicy inwestują w sprzęt lepszej klasy, niż może im zaoferować pracodawca. Poza tym pracując, mają równocześnie dostęp do prywatnych danych, mogą po nie sięgać w dowolnym momencie, a jednocześnie komunikować się i organizować sobie życie zawodowe i osobiste. Z drugiej strony pracodawca nie musi wprawdzie dbać o konserwację i utrzymanie sprzętu, którego nie jest właścicielem, ale jednak chciałby monitorować to, co robi zatrudniona przez niego osoba, bo boi się o to, że dane, do których pracownik ma dostęp, mogą dostać się w niepowołane ręce lub zostać utracone.

Odpowiedzialność za dane

Co więc powinniśmy zrobić, żeby zapobiec konfliktowi interesów między prawem pracodawcy do kontroli i ochrony zasobów przedsiębiorstwa a ochroną prywatności pracownika? "Pracodawca wszystkie najważniejsze warunki korzystania z prywatnych urządzeń powinien zapisać w regulaminie pracy jako osobną procedurę oraz w indywidualnych umowach z pracownikiem" - radzi mec. Małgorzata Darowska z kancelarii Bird&Bird. Najbezpieczniej jest, jeśli dane pracownika zostaną odseparowane od danych firmowych za pomocą specjalnych rozwiązań technicznych. Ponadto pracodawca może określić, z jakich aplikacji pracownik może korzystać, które dane może ściągać na urządzenie, a których nie. Istotne jest to, że pracownik nie może się zgodzić na swobodny dostęp do urządzenia, bo sam wówczas naruszyłby prawo ochrony danych osobowych, np. przechowywanych w poczcie elektronicznej.

Na pracodawcy ciąży również obowiązek powiadamiania pracownika co jakiś czas o tym, że jego urządzenie jest monitorowane i w jakim zakresie. Mecenas Darowska uczula również pracodawców, żeby przestrzegali kilku ważnych zasad: pracodawca musi prowadzić dokumentację wszystkich czynności związanych z monitorowaniem, a zakres monitorowania ma być tylko taki, jaki jest niezbędny do ochrony uzasadnionego interesu pracodawcy. W prawie zakres ten określa się jako adekwatny.

Istotne jest również, żeby upoważnienie, jakiego pracodawca udziela pracownikowi do korzystania z firmowych aplikacji i baz danych, były każdorazowo aktualizowane wraz ze zmianą zakresu czynności, które pracownik wykonuje, i rodzaju technologii, jakimi dysponuje. Jednocześnie powinien zostać zobowiązany do stosowania zabezpieczeń - w postaci loginu czy hasła, które uniemożliwiają dostęp do urządzenia osobom z zewnątrz. Podobnie jak do odinstalowania oprogramowania, które może powodować wyciek danych, oraz każdorazowego zgłoszenia kradzieży lub zaginięcia urządzenia.

Abonent nie jest właścicielem

Należy również pamiętać, że jeśli pracownik korzysta z prywatnego urządzenia, ale ma dostęp do danych firmowych, to pracodawca pozostaje administratorem tych danych i w razie wycieku lub naruszenia dóbr osobistych osób trzecich odpowiada cywilnie oraz karnie. Dotkliwe mogą być również kary administracyjne. Przykładowo, jeśli Generalny Inspektor Ochrony Danych Osobowych stwierdzi, że dane nie były zabezpieczone we właściwy sposób, to administrator może zapłacić od 50 tys. zł do 200 tys. zł. Także pracownik, który bezprawnie kopiuje lub udostępnia dane firmowe, może odpowiadać za czyn nieuczciwej konkurencji.

Problemy związane z ochroną danych występują również na styku BYOD i prawa telekomunikacyjnego. "Prawo telekomunikacyjne określa szczegółowo kwestię tajemnicy telekomunikacyjnej. Dbałość o jej przestrzeganie spoczywa na operatorze, który ma obowiązek transmisji danych w taki sposób, żeby nikt inny nie miał dostępu" - mówi mec. Tadeusz Piątek z kancelarii Domański Zakrzewski Palinka sp.k. "Ponieważ jednak przestrzeganie tego przepisu uniemożliwiałoby monitoring urządzenia, w uzasadnionych przypadkach można odstąpić od reżimu ochrony, pod warunkiem że zgoda nie jest wymuszona, musi być proporcjonalna i adekwatna do potrzeb" - wyjaśnia mec. Piątek.

Kolejnym problemem jest kwestia numeru telefonu, z którym pracownik po zakończeniu umowy o pracę lub innej formy współpracy odchodzi z firmy do konkurencji. Prawo mówi jednoznacznie, że numer stacji abonenckiej nie jest przedmiotem własności, a abonent jest jedynie użytkownikiem.

Rozliczanie podatkowe BYOD

W polskim prawie nie ma jeszcze przepisów podatkowych, które wprost odnosiłyby się do BYOD, więc pracodawcy z konieczności muszą stosować przepisy ogólne. O tym, do jakich konkretnie przepisów podatnik powinien się stosować i z jakich ulg może skorzystać, decyduje stosunek prawny użytkownika sprzętu z firmą, dla której pracuje. Inaczej wygląda sytuacja pracownika wobec pracodawcy, jeśli ma umowę o pracę, a inaczej usługodawcy wobec usługobiorcy, z którym łączy go umowa cywilnoprawna.

W pierwszym modelu pracodawca może wypłacić zwolniony z podatku ekwiwalent za wykorzystanie do pracy sprzętu należącego do pracownika (dotyczy to tabletów, telefonów czy smartfonów, ale już nie samochodu) na podstawie art. 21 ust 1 pkt 13 ustawy o PIT. Wysokość ekwiwalentu można określić jako utraconą wartość rzeczy. Ekwiwalent musi zostać wliczony do podstawy opodatkowania.

W drugim z wymienionych modeli pracodawca może przekazać pracownikowi pieniądze, za który ten kupi sprzęt. Może również dysponować własnym sprzętem, a jego wartość wlicza już w wartość usługi. Osoby prowadzące działalność gospodarczą zakupiony sprzęt wykazują jako koszt swojej działalności, a jeśli są płatnikami VAT, mogą odliczyć sobie wartość podatku.

"Należy dokonać kalkulacji, wziąć pod uwagę możliwość odliczeń, powiększenia kosztów i VAT, a potem wybrać taką formę, która jest w naszym przypadku najbardziej opłacalna. Jeśli pracodawca ma wątpliwości, można wystąpić do urzędu skarbowego o indywidualne interpretacje" - radzi doradca podatkowy mec. Anna Turska.

Z punktu widzenia pracodawcy BYOD stwarza wprawdzie ryzyko, ale można nad nim zapanować za pomocą rozwiązań technologicznych i prawa, które nie po raz pierwszy musi doganiać rzeczywistość.