Eesti tööturg on muutub ajas korraga paindlikumaks ja digitaalsemaks. Paindlikkus toob kaasa aga praktilise küsimuse: kelle seadmetega tööd päriselt tehakse? Ja mis saab siis, kui midagi läheb katki, kaob ära või “lihtsalt juhtub”. Näiteks ajad kohvitassi sülearvutile, kukutad telefoni trepil kildudeks või satuvad tööandja andmed isiklikust telefonist valesse kohta?
Kas töötaja peab töö tegemiseks kasutama oma isiklikke vahendeid või on see tööandja kohustus need tagada? Ja kui kahju on juba tekkinud, kes vastutab ja kes maksab arve?
Probleem algab siis, kui “eeldus” käitub nagu kohustus, kus tööandja ei anna töötajale töövahendit, aga töö tegemiseks on seda vaja, ning töötaja „peab kuidagi hakkama saama“. Kui kokkulepet ei ole, on see klassikaline vaidluste pinnas. Kulud, amortisatsioon, remont, kindlustus, andmete kaotsiminek, privaatsus, ja töö- ning puhkeaja piir hägustub.
Tööandja võib küll paluda töötajal kasutada tööks oma isiklikku telefoni või arvutit, kuid seda saab teha ainult kokkuleppel. Ühepoolselt seda nõuda ega vaikimisi eeldada ei saa. Kui isiklikku seadet kasutatakse töö tegemiseks, tuleb enne selgelt läbi rääkida kulude katmine, vastutuse jaotus ning turvanõuded. Kui kokkulepet ei ole, ei saa kogu riski automaatselt töötaja kanda jätta, sest töövahend on osa töö korraldusest ja see peab põhinema selgetel tingimustel, mitte eeldustel.
Võtame ühe elulise situatsiooni, kus müügispetsialistil oli tööandjaga suuline kokkulepe, et “praegu sobib, kui kasutad oma telefoni”. Telefonis olid aktiivselt kasutuses töö e-post, kliendikontaktid, ja tööäpp, kus näeb selgelt tellimusi ja hindasid. Ühel õhtul aga telefon varastati. Koos telefoniga kaob ligipääs tööandja andmetele ning tekib risk, et kolmas isik saab andmetele ligi.
Siin on kerkib üles korraga kolm küsimust:
1. Vara ja kulud: kas tööandja hüvitab seadme (või osa), kui isikliku vahendi kasutamine oli tööandja huvides ja kokkuleppel?
2. Vastutus ja hoolsus: kas töötaja järgis turvanõudeid (PIN/biomeetria, ekraanilukk, „Find My…“, jms)?
3. Andmekaitse/küberturbe korraldus: kas tööandjal olid reeglid ja tehnilised meetmed (nt eraldi tööprofiil, ligipääsude piiramine, kauglukustus/kustutus)?
On selge, et isikliku seadme kasutamine eeldab riskide teadlikku juhtimist. Praktikas on just sellised juhtumid (vara + andmed + turve) need, mis hiljem “plahvatavad”.
Kui organisatsioon lubab või soosib isiklike seadmete kasutamist, siis lihtsast suusõnalisest kokkuleppest ei piisa. Soovitav on rääkida selgeks vähemalt milliseid seadmeid võib kasutada (telefon, arvuti, tahvel); mis tööülesannetes (kõned, e-post, tööäpp, failid); ja millised rakendused on lubatud/keelatud.
Lisaks on tähtis selgeks teha, kas tööandja maksab selle eest töötajale igakuist hüvitist (amortisatsioon, sidekulud); hüvitab vajadusel remondi; ja kas seadmel on kindlustus ja kes selle eest maksab.
Töövahenditele tuleb kindlasti seadistada ka kasvõi minimaalne turvatase (PIN/biomeetria, automaatlukustus, krüpteerimine, jms).
RIA ettevõtetele suunatud materjalid rõhutavad, et küberturvalisus vajab selget vastutust ja juhitud protsessi, mitte “loodame parimat” suhtumist.
