BYOD neboli Bring Your Own Device, tedy „přines si své vlastní zařízení“, je bezpochyby trendem posledních několika let. Tento přístup sám o sobě není však žádnou novinkou, de facto od vzniku notebooků jako přenosných počítačů se právě této jejich vlastnosti využívalo i k pracovním účelům a zprvu byly doménou právě těch lidí z business sektoru, kteří měli největší potřebu mít s sebou svou práci na cestách vždy po ruce.
Ale teprve nedávný rozmach chytrých telefonů a tabletů přispěl k rychlému rozšiřování a přijímání BYOD strategie napříč společnostmi. A jak to tak bývá, kromě mnoha nesporných výhod s sebou tento pracovní model nese i určitá úskalí.
Globální rozšíření chytrých telefonů, které už prakticky vytlačily z užívání klasické mobilní přístroje, následný nástup tabletů ve spojení se stále lepším a rychlejším pokrytím mobilním internetovým signálem, s sebou přineslo skutečnost, že prakticky každý dnes považuje okamžitou dostupnost svých dat, ať už se nachází kdekoliv, za samozřejmost. Takto vysoká mobilita se logicky musela promítnout i do pracovní sféry, kde možnost, aby uživatel pracoval na vlastních zařízeních a byl tak případně dostupný i „v terénu“, jde jednoznačně považovat za výhodu, a proto více a více společností začalo toto svým zaměstnancům umožňovat. Největší rozmach nastal s využíváním cloudových úložišť, kdy jednou z prvních nadnárodních korporací, která toto řešení začala používat, byla společnost Intel v roce 2009. Do budoucna samozřejmě můžeme očekávat nárůst těchto tendencí, už jen proto, že portfolio chytrých zařízení se neustále rozšiřuje a lze si představit i zapojení např. chytrých hodinek, chytrých televizí, inteligentních systémů v automobilech nebo i zařízení typu Google Glasses do pracovního procesu. Na paměti však je vždy nutno mít, že každý takovýto technologický zlepšovák, který si zaměstnanec přinese a v pracovní době používá, byť se může tvářit nevinně, představuje určité riziko, které se nesmí podcenit.
Levné a pro zaměstnance pohodlné řešení
Hlavní výhodou pro podnikatele, který svým zaměstnancům umožní pracovat na vlastních zařízeních, je, že tímto krokem ušetří na pořizovacích nákladech na toto vybavení, které by jinak musel zaměstnancům poskytnout. Naproti tomu zaměstnanci jistě ocení, že jim je umožněno pracovat se zařízeními, na která jsou navyklí a většinou je mají plně uzpůsobena svým potřebám. To platí hlavně u mobilních zařízení, která si obvykle lidé pořizují i jako výraz osobních názorů a preferencí a různě následně upravují k obrazu svému. Z toho vyplývá hned první problém, na který může podnikatel narazit, a to ten, že široké spektrum zařízení jeho zaměstnanců například funguje na odlišných operačních systémech či s odlišnými uživatelskými rozhraními, a tudíž se může stát, že některé ze zařízení nebude s určitými firemními řešeními plně kompatibilní. U jednoduchých záležitostí se předpokládá, že každý jednotlivý uživatel svému zařízení rozumí a je schopen si s podobným problémem poradit, jelikož je například pro danou platformu typický nebo ho uživatel řešil už v minulosti. Složitější otázky (ne)kompatibility pak vyžadují zásah osoby s hlubšími zkušenostmi v oboru IT a může se tak stát, že kvůli poskytnuté volnosti zaměstnancům v tom, na jakém zařízení budou pracovat, bude firemní IT specialista nucen řešit další agendu, což mu přirozeně zabere určitý čas a v konečném důsledku pro podnikatele i případnou nutnost toto finančně kompenzovat.
Největším problémem je ohrožení dat
BYOD strategie se stala logickou odpovědí na zvýšenou poptávku po pracovní mobilitě a s ní související proměny, k nimž na poli pojetí pracovního prostoru za posledních několik let došlo. Řešení samo o sobě se na první pohled zdá být i velmi efektivním za cenu minima nákladů ze strany podnikatele. Je si však nutno uvědomit, že zároveň s tím přibylo i hrozeb, kterým tak podnikatel musí čelit. Na firemní síti se při použití BYOD pohybuje velké množství různorodých zařízení, což s sebou nese mnohdy rapidní zhoršení kontroly a ochrany citlivých informací a dat. Mobilní telefony a tablety nejsou většinou vybaveny ani zdaleka dostačujícím šifrováním přenášených dat a je mnohem snazší se do nich nabourat. Daní za již zmíněnou efektivizaci a často i produktivitu práce je tak obava z každodenního rizika, že data mohou být ohrožena. Komplexní zamyšlení nad možnými riziky a bezpečnostními hrozbami by v každém případě mělo zavedení podpory BYOD předcházet. Pokud podnikatel sám nemá dostatečné odborné znalosti, vyplatí se věc konzultovat s experty nejen na IT, ale i na právní oblast. Zde totiž obzvláště platí, že prevenci není radno podcenit, jelikož investice do kvalitně zabezpečeného systému a právní ošetření celé věci bývá levnější než případné řešení ztráty, zneužití či krádeže dat, které může mít pro společnost likvidační následky nejen po finanční stránce. I po implementaci všech vstupních opatření a umožnění zaměstnancům používat svá vlastní zařízení se vyplatí na prevenci dbát a zaměstnance dostatečně proškolit a informovat o možných bezpečnostních hrozbách. Vhodné je i například na firemní intranet umístit soubor s nejčastěji kladenými otázkami v souvislosti s BYOD.
Chybou by bylo soustředit se pouze na nejdůležitější data
Je naivní za důležitá a cenná data považovat pouze ta, která například v sobě reálně nesou obchodní tajemství nebo citlivé osobní údaje. Tato sice skutečně v případě jejich narušení představují asi největší hrozbu, nicméně mnohem větším rizikem jsou data běžného charakteru, jako je například interní e‑mailová komunikace. Při synchronizaci e-mailových účtů na mobilním zařízení nemusí ani dojít k nikterak sofistikovanému elektronickému útoku, stačí pouze zařízení ztratit či jen na chvilku odložit a veškerá korespondence je ihned dávána všanc potencionálním zlodějům dat. Bohužel však právě tato data už ze své podstaty specifické pokročilé zabezpečení vylučují, nakládá se s nimi v rámci široké sítě osob a zařízení a dohled nad nimi tak, aby vše probíhalo bez možnosti chyby v lidském faktoru, je takřka nemožný nebo minimálně značně nákladný časově i finančně.
Se zaměstnanci je nutno vše smluvně ošetřit
Nutností každé společnosti, která se rozhodne BYOD systém využívat, je kvalitně nastavená politika využívání zařízení zaměstnanců a jasně stanovená pravidla a podmínky jejich využívání. Zaměstnanci musí být se všemi těmito informacemi seznámeni a při vzniku pracovního poměru svůj souhlas vyjádřit podpisem pracovní smlouvy, v níž budou náležitosti používání vlastních zařízení ve firemním prostředí vyjádřeny. U stávajících zaměstnanců v době zavedení BYOD potom věc vyřeší sepsání a podepsání dodatku k pracovní smlouvě. Sama smlouva má na zaměstnance vliv i v tom, že si uvědomí, že používání jejich zařízení není jen tak, a že k datům, která jim společnost svěří přesunem do jejich zařízení, se váže i určitá zodpovědnost. Je tedy potřeba specifikovat, o která data se jedná a stanovit požadavky pro používání tabletů a chytrých telefonů, které tato data obsahují. Obvyklé bude stanovení zákazu poskytování zařízení třetím stranám a požadavek minimalizace rizika ztráty nebo odcizení zařízení. To je však viditelně mírně v rozporu s realitou, kde člověk standardně svůj telefon půjčuje svým blízkým a na jeho případnou krádež má často minimální vliv. Proto by se k věci mělo přistupovat co nejvíce racionálně a daná upozornění by měla sloužit primárně jako upozornění zaměstnanců (ale i podnikatele samotného, pokud rovněž používá vlastní zařízení) na nutnost počínat si obezřetně.
Následky mohou být závažné, vyplatí se mít vypracovaný krizový plán
Na každé porušení dohodnutých pravidel pracovníkem lze nahlížet jako na porušení jeho pracovní smlouvy. Podle intenzity se může jednat o porušení zcela bezvýznamné, například dříve zmíněné půjčení telefonu blízké osobě za mimopracovním účelem, ale může takto dojít i k porušení povinnosti mlčenlivosti, je-li stanovena, nebo v nejzávažnějších případech může dojít i ke způsobení škody podnikateli, a to i úmyslné, tedy vymahatelné bez zákonného limitu pro pracovníky v zaměstnaneckém poměru. Pro zaměstnance toto porušení v praxi může znamenat cokoliv od napomenutí, zkrácení prémií až po výpověď či v krajním případě okamžité zrušení pracovního poměru. Směrem ke třetím stranám, nejčastěji klientům, hrozí porušení povinnosti k ochraně obchodního tajemství, porušení ochrany důvěrných informací a osobních údajů nebo porušení jiné smluvní povinnosti mezi podnikatelem a klientem. Podnikateli tak může vzniknout povinnost k náhradě způsobené škody, nebo pokud je sjednána na podobné případy smluvní pokuta, tak povinnost k jejímu vyplacení. Toto je samozřejmě podnikatel regresem oprávněn vymáhat po zaměstnanci, který vznik škodní události zapříčinil.
Nabízí se i alternativa
Někteří podnikatelé se po zvážení poměru výhod a rizik rozhodnou na systém BYOD nepřejít, protože v jejich konkrétním případě možná rizika výhody převýší. Kupříkladu se tak může stát u středně velkých společností, které pracují s velkým množstvím citlivých dat, ale zároveň nemají dostatečný IT a právní aparát k dostatečné bezrizikové správě BYOD systému. Pokud však chtějí vyjít zaměstnancům vstříc podobnou cestou s menší hrozbou kupříkladu vnesení viru z domácího prostředí zaměstnance, nabízí se jim možnost použít strategii CYOD (Choose Your Own Device), známou jako COPE (Corporate Owned, Personally Enabled), tedy že zaměstnancům umožní si zařízení vybrat, dát jim je k užití, ale zachovat si k nim vlastnictví, a tím i větší míru možnosti nakládání s nimi a stanovení restrikcí. Zaměstnavatel zde má právo zúžit okruh výběru a minimalizovat tak možné problémy s kompatibilitou a zároveň třeba může na zařízení instalovat monitorovací software, na což by u zařízení ve vlastnictví zaměstnance bylo nahlíženo jako na zásah do soukromí. Zároveň se nabízí u zařízení v soukromém vlastnictví nevynutitelná možnost vymazat veškerá data ze zařízení, které je zavirované, a odpadají problémy co s daty, ukončí-li zaměstnanec pracovní poměr.
Uvidíme, jak se věci vyvinou
Filozofie BYOD je jistě zajímavou novinkou, co se přístupu k organizaci práce týká. Mnoho společností již na BYOD systém přešla k velké spokojenosti managementu i zaměstnanců. U ještě více společností lze očekávat, že tento krok v dohledné době podniknou. Zároveň však existují a existovat budou společnosti, pro něž využití BYOD nepřinese žádné výhody, a tak ho nevyužijí. S časem se nejspíše i podaří ustálit a minimalizovat rizika, která vyplývají převážně ze skutečnosti, že mobilní zařízení jsou relativně novotou, která je v mnoha ohledech ještě neprobádaná a jejich zapojování do pracovního procesu stále funguje metodou pokus – omyl. Pokud se se svou společností rozhodnete na BYOD přejít, nezbývá než popřát dostatek spokojenosti s tímto řešením při zachování potřebné míry obezřetnosti tak, aby nepřinášelo problémy, ale pouze užitek.
Originální článek naleznete na webu www.pravniprostor.cz