Soukromý telefon není automaticky pracovním prostředkem. Zaměstnavatel může nastavovat pravidla (včetně bezpečnostních), avšak povinnost používat vlastní zařízení obvykle nelze jednoduše „nařídit“ jednostranným pokynem. V praxi se proto nabízejí dvě řešení: buď zaměstnavatel poskytne služební zařízení (telefon, hardwarový token apod.), nebo se se zaměstnancem dohodne na tom, že zaměstnanec použije zařízení vlastní (princip Bring Your Own Device – BYOD).

Taková dohoda by měla srozumitelně vymezit, co a kam se instaluje a k jakému účelu, jaká oprávnění aplikace vyžaduje, jak se postupuje při ztrátě zařízení či při ukončení pracovního poměru včetně povinnosti aplikaci vymazat.

Zákoník práce obecně vychází z toho, že výkon práce má probíhat na náklady zaměstnavatele. Pokud se k práci používá soukromé zařízení zaměstnance, má zaměstnanec obecně právo na náhradu. To většinou nečiní problémy v situacích, kdy zařízení slouží k výkonu práci pravidelně a v nezanedbatelném rozsahu (například mobilní telefon, který zaměstnanec využívá pro pracovní hovory, pracovní chat, vyřizování e-mailů, datové přenosy atd.); v praxi se to nejčastěji řeší nějakou paušální platbou, kterou zaměstnavatel dopředu stanoví. Výhodou takového řešení je i jeho daňová vhodnost pro obě strany, je-li systém dobře nastaven.

Má ale zaměstnanec právo na náhradu i v případě, kdy svůj osobní telefon využívá například jen pro přihlášení do systému zaměstnavatele? Formálně vzato ano, protože používá své soukromé zařízení pro výkon práce. Přestože se jedná jen o marginální využití. V praxi jsme se ale nesetkali s případem, že by takový použití soukromého zařízení zaměstnavatel kompenzoval.

 

Rozsah „firemní aplikace“ může být velmi rozdílný. Může jít o nenápadný nástroj, ale také o řešení, které zasahuje do správy celého zařízení zaměstnance. Mírnější variantou bývá například autentizátor pro dvoufaktorové ověření. Ten zpravidla pouze vygeneruje kód nebo potvrdí přihlášení. Pokud přitom nepožaduje přístup ke kontaktům, poloze ani obsahu telefonu, jde obvykle o omezený zásah do soukromí, který lze zpravidla obhájit sledovaným bezpečnostním účelem.

Podstatně citlivější je situace, kdy zaměstnavatel požaduje instalaci správy zařízení (Mobile Device Management – MDM) či tzv. bezpečnostního profilu. Tato řešení často vyžadují širší oprávnění, umožňují vynucovat bezpečnostní nastavení, spravovat pracovní data a někdy i provést vzdálené vymazání. Právě zde platí jednoduchá úměra – čím více funkcí a oprávnění aplikace vyžaduje, tím silnější je důvod, aby zaměstnavatel poskytl služební telefon – případně alespoň zajistil, že zásahy budou omezeny výhradně na pracovní část zařízení (např. oddělený pracovní profil) a nebudou se dotýkat soukromých dat.

Z pohledu ochrany osobních údajů bývá nejčastějším přešlapem snaha „pojistit“ vše souhlasem zaměstnance. V pracovněprávním vztahu je však souhlas problematický, protože kvůli závislému postavení zaměstnance není obvykle považován za svobodný a navíc je kdykoliv odvolatelný. Bezpečnější je proto opřít zpracování o jiný vhodný právní základ podle jeho účelu (typicky oprávněný zájem zaměstnavatele) a postupovat přiměřeně –  zpracovávat jen nezbytné údaje, jasně vymezit účel a srozumitelně vysvětlit, kdo k datům přistupuje, v jakém rozsahu a z jakého důvodu. 

Zaměstnanec není povinen používat k výkonu práce své soukromé zařízení; pokud zaměstnavatel takový postup vyžaduje, musí se na něm se zaměstnancem dohodnout, případně poskytnout alternativu. U autentizátoru může zaměstnavatel často legitimně trvat na tom, že jde o bezpečnostní standard, i tehdy je však nutné nabídnout náhradní řešení (např. hardwarový token nebo přístup z firemního zařízení).

Nemá-li zaměstnavatel se zaměstnancem dohodu a zároveň nenabídne služební zařízení, nelze z toho pro zaměstnance bez dalšího dovozovat negativní důsledky (například porušení pracovní kázně). V praxi by proto odmítnutí nemělo být řešeno tlakem, ale volbou – buď zaměstnanec přistoupí na BYOD režim za jasně stanovených podmínek (včetně případné náhrady), nebo obdrží alternativu. To je nejbezpečnější postup jak z hlediska pracovního práva, tak z pohledu GDPR. V praxi se ovšem setkáváme s opačným přístupem.

Používání soukromého telefonu pro pracovní účely by mělo stát na dohodě se zaměstnancem. Současně je rozumné volit nejméně invazivní variantu, která splní účel – když postačí autentizátor, není důvod sahat po správě celého zařízení zaměstnance. Zaměstnanec má mít jasně a srozumitelně vysvětleno, co se instaluje, jaká oprávnění se požadují a jaké to bude mít praktické dopady. Pokud telefon reálně slouží k výkonu práce pro zaměstnavatele, nelze vyloučit nárok zaměstnance na určitou náhradu, pokud nebude dohodnuto jinak.