Czy pracodawca może zabronić korzystania z TikToka?

Decyzje te podyktowane są obawą przed zagrożeniem ze strony chińskiej aplikacji dla rządowych danych poszczególnych państw i organizacji międzynarodowych. Czy polski pracodawca, nienależący do sektora administracji publicznej, mógłby podjąć analogiczną decyzję i zakazać swoim pracownikom instalowania na ich prywatnym telefonie lub komputerze określonych aplikacji lub korzystania z social mediów?

Przepisy prawa pracy nie regulują wprost jak daleko polecenia pracodawcy mogą ingerować w życie prywatne pracownika. W aktualnych realiach pracy zdalnej i dużej mobilności, wiele osób wykorzystuje służbowe narzędzia pracy do prywatnych celów (np. przeglądania prywatnej skrzynki mailowej). Z drugiej strony niejednokrotnie np. na prywatnym telefonie instalują służbową pocztę e-mail, czy też prowadzą korespondencję ze współpracownikami lub klientami z prywatnych komunikatorów. Granica pomiędzy narzędziem prywatnym, a służbowym coraz bardziej się więc zaciera.

W tym kontekście Kodeks Pracy wyraźnie wskazuje, że jednym z podstawowych obowiązków pracownika jest dbałość o odpowiednie zabezpieczenie informacji, które stanowić mogą tajemnicę przedsiębiorstwa pracodawcy lub których ujawnienie mogłoby narazić go na szkodę. Nie ma przy tym znaczenia, jaką postać przybierają tego typu dane (papierową, elektroniczną, tekstową, głosową itp.) ani w jakim miejscu są zgromadzone.

O ile pracodawca nie może nakazać pracownikowi wykorzystywania prywatnych urządzeń do wykonywania pracy, to ma prawo:

• zabronić wykorzystywania służbowego telefonu, laptopa, tabletu itp. do jakichkolwiek czynności niezwiązanych z pracą – np. przeglądania mediów społecznościowych, instalowania wskazanych aplikacji itp.;
• zabronić pracownikowi przetwarzania danych należących do organizacji na urządzeniach prywatnych – np. logowania się do firmowej poczty z prywatnego telefonu, przesyłania służbowych wiadomości i plików za pomocą powszechnie dostępnych komunikatorów, jak Messenger czy WhatsApp.

Oczywistym jest, że pracodawca odpowiada za bezpieczeństwo administrowanych przez siebie danych. Niezależnie jednak od tego, pracownik mający do nich dostęp, odpowiada również za ich odpowiednie zabezpieczenie w tym zakresie – i to niezależnie od tego, czy przetwarza informacje należące do organizacji lub jej kontrahentów na firmowym, czy na prywatnym sprzęcie.

Jeśli więc zdecyduje się na wykorzystywanie prywatnego telefonu lub komputera do pracy zawodowej, powinien mieć świadomość idących za tym zagrożeń oraz odpowiednio zabezpieczyć dostęp do takiego urządzenia. Chodzi tu nie tylko o zabezpieczenie fizyczne, jak PIN, hasło czy blokada ekranu, ale również odpowiednie oprogramowanie chroniące przed kradzieżą danych lub nienarażające na nią.

Oznacza to, że pracownik w równym stopniu odpowiada zarówno za narażanie na niebezpieczeństwo danych pracodawcy, do jakich ma dostęp poprzez urządzenia służbowe, jak i przypadki, kiedy dojdzie do niego za pośrednictwem jego urządzenia prywatnego.

Redukcji ryzyka utraty formowych danych posłużyć mogą z pewnością przejrzyste zasady korzystania z urządzeń, za pomocą których pracownicy wykonują swoje obowiązki. Z uwagi na wciąż zmieniające się zagrożenia dla cyberbezpieczeństwa, pracownicy powinni być na bieżąco uświadamiani w jaki sposób bezpiecznie pracować na firmowym zasobach. Dotyczy to również wyraźnego wytyczenia granic używania infrastruktury pracodawcy do prywatnych celów.

Często pomijaną, a nie mniej istotną, kwestią jest też wyraźne określenie zasad korzystania z prywatnych urządzeń w celach związanych z pracą. Jakkolwiek pracodawca nie może zabronić pracownikowi instalowania na prywatnym telefonie lub komputerze określonych aplikacji lub odwiedzania stron internetowych, to może zabronić mu logowania się z nieodpowiednio zabezpieczonego urządzenia do firmowych zasobów lub przechowywania na nim jakichkolwiek danych związanych z działalnością organizacji.