Ettevõtte andmed töötaja isiklikus seadmes – kuidas toimida?
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Kuidas oleks korrektne toimida, kui ettevõtte andmed asuvad vajaduse tõttu töötaja isiklikes seadmetes? Uurisime, mismoodi säilitada korrektsus nii töösuhte ajal kui selle järgselt ning kaitsta teavet.
Riigi Infosüsteemi Ameti kommunikatsioonijuht Liisa Tallinn selgitab alustuseks, et isiklike seadmete kasutamine ettevõtte töös (inglise keeles BYOD) on esmapilgul ettevõtte jaoks odav lahendus, kuid tegelikult on see kanal, kust kaitstav teave võib lekkida. Ettevõte peaks seetõttu looma eeskirja, kus on kirjas seadmete kasutuskord ja turvameetmed. Samuti tuleb selgelt määratleda teave, mis vajab kaitset ning on asutusesiseseks kasutamiseks ja/või ärisaladus.
Turvalisus ennekõike
Tema sõnul on isiklike seadmete kasutamise alternatiiviks osta organisatsioonile kindlat tüüpi nutiseadmed. RIA soovitab nutiseadmetes teavet kaitsta samal tasemel nagu laua- ja sülearvutites – hoolitseda paroolide, ekraaniluku, mälu krüpteerimise eest, korraldada keskhaldus ja tarkvara paigaldamise piirangud. «Tööandja saab oma andmeid/teenuseid segmenteerida, st määrata, et töötaja saab ligi ainult kalendrile või e-kirjadele.» Liisa Tallinna sõnul on tänapäeval suur osa teavet just
e-postkastides. «Töötaja jaoks tähendab korrektselt rakendatud turvapoliitika palju piiranguid – sisuliselt jääb ta ilma meelelahutusseadmest,» räägib Tallinn. «Teisisõnu, töötaja peab otsustama, kas siduda oma seade ettevõtte taristuga, et ettevõtte andmeid töödelda või on tähtsam oma isiklik meelelahutus.» RIA kommunikatsioonijuhi sõnul ei tohiks mõlemat korraga lubada. «Kui kasutaja ise soovib oma seadmes ettevõtte infot töödelda, on tööandjal õigus nõuda ka vastavate turvameetmete täitmist,» selgitab Liisa Tallinn.
Jagatud vastutus
Õigusaktid spetsiifiliselt BYOD-küsimusi ei reguleeri. Töölepingu seadus reguleerib vaid saladuse hoidmise kohustust. «Kuna tegemist on töötaja oma varaga, siis vara säilimise osas on töötajal täielik omavastutus,» teab Liisa Tallinn öelda. «Lähtudes saladuse hoidmise kohustusest, peaks töötaja hea seisma selle eest, et tema omandis olevad seadmed, millega ta tööandjale kuuluvat teavet töötleb, on tasemel, mis aitavad tal seda saladust hoida,» lisab kommunikatsioonijuht.
Kuna tööandja on otsustanud lubada töötajal kasutada töö tegemiseks töötaja enda seadmeid, siis tuleb Liisa Tallinna sõnul lähtuda jagatud vastutusest – tööandja peab kehtestama reeglid, mis aitavad töötajal tagada andmete konfidentsiaalsuse töötaja seadmetes. «Seadmete turvalisuse eest vastutab lõplikult ikkagi nende seadmete omanik – töötaja,» on Tallinn kindel. «Töötaja on kohustatud järgima kõiki talle teadaolevaid tööandja poolt töökorraldusele kehtestatud reegleid, nii sisekorraeeskirju kui ka turvaeeskirju.» Kui töötaja on neid reegleid järginud, ent turvarisk on nendele vaatamata realiseerunud, vabaneb töötaja vastutusest. Kui töötaja sellist vastutust ei soovi, võib ta valida mõne muu viisi – kasutada tööandja vahendeid või töödelda andmeid oma seadmetes vaid piiratud mahus.
Kommentaar
Mart Siilivask
Swedbank ASi pressiesindaja
Meie võimaldame töötajatele kõik vajalikud töövahendid, sh sellised, millega saab püsitöökohast eemal tööd teha, mistõttu töö tegemiseks isiklike seadmete kasutamine ei ole lubatud ning probleeme nimetatud teemal meil ei esine. Tööks vajalik info on meil liigitatud erinevateks turvalisusklassideks, mistõttu on väga selgelt paigas, milliste andmetega millistes programmides ja seadmetes saab töötada. Samuti on kaetud paberil dokumentide käsitlemine nii töökohal kui väljaspool tööd. Need nõuded on sätestatud töölepingus ja andmekaitse juhendis.
SEADUS
Töölepingu seaduses sätestab § 22 saladuse hoidmise kohustuse:
(1) Võlaõigusseaduse §-s 625 sätestatu kohaselt ja arvestades käesoleva seaduse § 6 lõikes 3 sätestatud teavitamise kohustust, võib tööandja määrata, millise teabe kohta kehtib töötajal tootmis- või ärisaladuse hoidmise kohustus.
[RT I 2009, 36, 234 – jõust. 01.07.2009]
(2) Tööandja ja töötaja võivad kokku leppida saladuse hoidmise kohustuse rikkumise leppetrahvi võlaõigusseaduses sätestatud tingimustel ja korras.
(3) Käesolevas paragrahvis sätestatu ei välista saladuse hoidmise kohustuse rikkumise tõttu tekkinud kahju hüvitamise nõudmist osas, mida leppetrahv ei katnud.
Allikas: Armo Vask, sotsiaalministeeriumi pressiesindaja