דיני פרטיות- נתונים ביומטריים ונתוני איכון

לקוחות יקרים,

נבקש להביא לידיעתכם מספר חידושים ועדכונים בדיני פרטיות במקום העבודה כמפורט להלן:

פרטיות במקום העבודה 

לאחרונה פרסמה הרשות להגנת הפרטיות ("הרשות") שני מסמכים הנוגעים להיבטי פרטיות במקום העבודה. האחד עוסק באיסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים במקום העבודה (פורסם כטיוטה להערות הציבור והוסר מאתר הרשות עם תום התקופה להגשת הערות הציבור), והשני עוסק באיסוף נתוני מיקום באמצעות אפליקציות ייעודיות ומערכות איכון ברכב.

פרסום המסמכים מחזק את מגמת הרשות בעניין הסדרת היבטי פרטיות בעולם יחסי העבודה. כידוע, בין הפררוגטיבה הניהולית של המעסיק לבין הזכות לפרטיות של עובדיו שורר מתח ברור, מתח אשר נידון תכופות על ידי בתי הדין לעבודה. פסק הדין המנחה והמרכזי בפסיקת בתי הדין הינו פסק הדין של בית הדין הארצי לעבודה בעניין איסקוב ((ע"ע) ארצי (90/08 טלי איסקוב ענבר – מדינת ישראל – הממונה על חוק עבודת נשים) בו נקבעו עקרונות לעניין מעקב וניטור אחר תכתובות דוא"ל של עובדים במקום העבודה. הרשות, המודעת למתח האמור, מאמצת תדירות בהנחיותיה את עקרונות בתי הדין לעבודה ואף מחילה אותם ביחס להיבטים נוספים בדיני עבודה כגון אלו הנוגעים לחשיפת מידע רפואי (היבטי פרטיות בוויתור על סודיות רפואית וחשיפת מידע רפואי בקבלה לעבודה).

איסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים במקום העבודה

זיהוי ביומטרי הוא זיהוי אדם באמצעות מאפיינים פיזיולוגיים (כגון טביעת אצבע, קול ותווי פנים) או באמצעות מאפיינים התנהגותיים (כגון צורת הליכה) באמצעות מגוון טכנולוגיות המאפשרות זיהוי ביומטרי (כגון סריקת טביעת אצבע, כף יד, קרנית או רשתית העין וסריקת תווי ומבנה הפנים). המידע הביומטרי מהווה מעין "מפתח" אוניברסלי לזיהויו של האדם באופן חד ערכי כיוון שמידע ביומטרי הוא מידע שאדם "נושא" עמו באופן תמידי ואשר אינו משתנה באופן משמעותי לאורך מרבית שנות חייו.

במסמך המדיניות בנושא איסוף ושימוש במידע ביומטרי לבקרת נוכחות במקום העבודה שפרסמה הרשות, מצוין כי בשנים האחרונות ארגונים משתמשים בטכנולוגיות לזיהוי ביומטרי לבקרת נוכחות עובדים ולפיקוח אחר שעות עבודתם. מסמך המדיניות מבקש להרחיב ולעדכן נייר עמדה קודם שהרשות פרסמה בנושא בשנת 2012, ולהבטיח כי השימוש בטכנולוגיות לזיהוי ביומטרי של עובדים לבקרת נוכחות ייעשה תוך מתן התייחסות הולמת לפרטיותם של אלו.

לגישת הרשות, השימוש במערכות ביומטריות עשוי להפחית את הסיכון למקרים של גישה לא מורשית או חדירה ללא הרשאה מחד גיסא, אולם מאידך גיסא, שימוש כאמור טומן בחובו סיכונים שונים לפרטיות, כגון הגברת תחושת המשטור והפגיעה בתחושת השליטה של העובד במידע שלו, גניבה, זליגה וחשיפה של מידע, שימוש במידע למטרות שונות מאלו שלשמן נאסף המידע, וכיו"ב.

השימוש שנעשה על ידי ארגונים במערכות ביומטריות לזיהוי עובדים מהווה אתגר בכל הנוגע להגנה ולכיבוד זכותם של העובדים לפרטיות אל מול הפררוגטיבה הניהולית של המעסיק ומילוי חובותיו על פי דין. במסמך המדיניות ביקשה הרשות להתייחס לתופעה ולסיכונים לפרטיות הגלומים בה, וכן להציג את הנחיותיה והמלצותיה לארגונים שמעוניינים לעשות שימוש במערכות ביומטריות לצרכי זיהוי במקום העבודה. יצוין כי ההנחיות וההמלצות הינן ברוח העקרונות הכלליים שהותוו בהלכה שנקבעה בעניין איסקוב והקווים המנחים הספציפיים שהותוו על-ידי בית הדין הארצי בקשר למידע ביומטרי בעניין עיריית קלנסווה (עס"ק (ארצי) 7541-04-14 הסתדרות העובדים הכללית החדשה מרחב המשולש הדרומי20 -  עיריית קלנסווה).

להלן עיקרי ההנחיות וההמלצות ליישומן במסגרת מסמך המדיניות של הרשות:

• מידתיות, הצדקה ובחינת חלופות. על המעסיק להבטיח כי השימוש במערכות הביומטריות נעשה באופן מידתי. המעסיק נדרש להצדיק את הבחירה בשימוש במערכות ביומטריות על יסוד אינטרסים לגיטימיים שלו חרף הפגיעה האינהרנטית בפרטיות העובדים ונוכח קיומן של חלופות הפוגעות במידה פחותה בפרטיות העובדים, כגון: שימוש בכרטיס עובד (ללא מידע ביומטרי); התקנת מצלמות באזור שעון הנוכחות (ובחינת הצילומים במקרים מוגדרים של חשש להתנהגות בלתי הולמת); שמירת המידע הביומטרי על גבי כרטיסים חכמים (אשר יאפשרו את שמירת המידע הביומטרי אך ורק על גבי הכרטיס ולא במאגר מידע מרכזי) והעמדת המערכות הביומטריות רק לשימוש עובדים המסכימים לכך ותוך העמדת חלופה סבירה לעובדים המסרבים לעשות כן. נציין כי הרשות מבהירה כי איסוף מידע ביומטרי לצורכי זיהוי ובקרת נוכחות עשוי להיחשב כבלתי מידתי, אלא אם כל חלופה אחרת, שפגיעתה בפרטיות פחותה, אינה ישימה, או שקיימת לכך הצדקה מיוחדת, בנסיבות ספציפיות, שהמעסיק יוכל להצביע עליה.

• חובת יידוע עובדים מורחבת. על המעסיק ליידע את העובדים בכל הנוגע לאופן איסוף המידע הביומטרי והשימוש בו באופן נרחב, מעבר לדרישות בסעיף 11 לחוק הגנת הפרטיות, התשמ"א – 1981 ("החוק"). בכלל זה, על המעסיקים לספק מידע (בין היתר) בדבר מטרות האיסוף הביומטרי; זהות הגורם האחראי על המאגר בו נשמר המידע הביומטרי ומורשי הגישה אליו; אופן אבטחת המידע הביומטרי; הסכנות האפשריות בקשר לאיסוף ושמירת המידע הביומטרי; זכויות העיון והתיקון של העובד; אופן השמירה והאפשרות להסרת המידע הביומטרי מהמאגר; האם קיימת מגבלת זמן לאחסון והשימוש בו וכו'.

• הסכמת העובדים. בהיעדר הסמכה בחוק, למעסיק אסור לחייב את העובדים במסירת המידע הביומטרי לצורכי בקרת נוכחות ו/או פיקוח על שעות העבודה והסכמת העובד היא הבסיס לצורך איסוף ושימוש המעסיק במידע הביומטרי של העובד. מכאן כי על המעסיק לקבל מהעובדים הסכמה מדעת, מפורשת או מכללא (משתמעת מהתנהגות העובד), לאיסוף והשימוש במידע הביומטרי אודותיהם. לעמדת הרשות, ראוי שמעסיקים יאפשרו לעובדיהם לבחור בין שימוש במערכות בקרת נוכחות ביומטריות לשימוש במערכות מסורתיות, וככל שעובד יבחר להשתמש במערכת ביומטרית, תוך מתן הסכמה מפורשת לכך, תהיה זו אינדיקציה טובה לכך שהסכמת העובד אכן ניתנה מרצונו החופשי. עם זאת, מובהר כי הסכמת העובד היא הכרחית אך אינה מספיקה, ואין בהסכמה בכדי להכשיר איסוף מידע ביומטרי ושימוש בו כאשר אלו אינם עומדים בעקרון המידתיות שאוזכר לעיל.

• עיקרון צמידות המטרה. על המעסיק להקפיד להשתמש במידע הביומטרי הנאסף אך ורק למטרות שלשמן הוא נאסף (שימוש במידע אישי, לרבות מידע ביומטרי, למטרות אחרות מאלו שלשמן נאסף עלול לעלות כדי פגיעה בפרטיות לפי החוק). בנוסף, על המעסיק לוודא כי לא נאסף מידע ביומטרי שאינו נדרש וכי הכמות והאיכות של המידע הביומטרי הנאסף הן בהתאם לרמת הזיהוי הנדרשת ולא מעבר לכך.

• אבטחת מידע. ככלל, אחזקת מידע ביומטרי במאגר מרכזי המוחזק אצל המעסיק מעלה את סיכוני אבטחת המידע שלו במידה משמעותית. לנוכח אופיו הרגיש של מאגר מידע שמכיל מידע ביומטרי, על המעסיק לנקוט באמצעים מתקדמים לאבטחת המידע הביומטרי, כגון שימוש במנגנוני הצפנה וקידוד ייחודיים, הפרדת המידע הביומטרי במאגר ממידע אישי אחר וצמצום הרשאות הגישה שיינתנו למידע הביומטרי. נוכח אופיו הרגיש של מאגר המכיל מידע ביומטרי, הרשות מציינת כי רצוי שהמעסיק יקבע הסדרי אבטחת מידע מחמירים למאגר זה ביחס למאגרים אחרים שלו. כמו כן, הרשות מדגישה את החשיבות שבעריכת תסקיר השפעה על פרטיות בטרם תחילת איסוף המידע הביומטרי והשימוש בו, כמו גם את התועלת הרבה שבמינוי ממונה הגנת פרטיות.

• צמצום ומחיקת מידע. על המעסיק לבחון את נחיצות שמירתו של המידע הביומטרי המוחזק על ידו בשים לב לרגישות המידע הביומטרי וחובות תום הלב החלות על מעסיקים ביחסי עבודה, ובמקרים בהם נמצא כי המידע אינו נחוץ עוד – לפעול לצמצומו, לרבות באמצעות מחיקתו (למשל, לעניין עובדים אשר העסקתם בחברה הסתיימה).

• רישום מאגר מידע. מידע ביומטרי מהווה "מידע רגיש" כהגדרתו בחוק, ועל כן ארגונים האוספים מידע ביומטרי נדרשים לרשום את המאגר אצל רשם מאגרי המידע בהתאם להוראות החוק.

לאור הרגישות הרבה באיסוף ושימוש במידע ביומטרי של עובדים לבקרת נוכחותם בעבודה ולאור החשיבות שמקנה הרשות להתנהלות מושכלת ומידתית מצד המעסיקים באיסוף ושימוש במידע כאמור מוצע כי תוודאו את עמידתכם בחובות המוטלות עליכם כמעסיקים בעת איסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים.

איסוף נתוני מיקום של עובדים באמצעות אפליקציות ומערכות איכון ברכב

במסגרת נייר העמדה בנושא, הרשות מכירה באינטרס הלגיטימי של המעסיק לפקח אחר שעות העבודה בפועל של העובדים, לרבות במסגרת רישום ודיווח שעות העבודה לשם חישוב השכר ופיקוח על ביצוע העבודה. עם זאת, מצביעה הרשות על המתח בין האינטרס של המעסיק לבין פסיקת בתי המשפט (לרבות פסיקת בית המשפט העליון) לפיה איסוף ועיבוד נתוני מיקום של אדם פוגעים באופן משמעותי בפרטיותו. זאת בשל היתכנות הסקת מידע רגיש ביותר הנוגע לאישיותו של אדם, קשריו החברתיים, מצבו הכלכלי ועוד מנתוני מיקום (כשלעצמם, או בשילוב עם נתונים ממקורות נוספים).

לאור האמור, הרשות מפרטת בגילוי הדעת את השיקולים שעל המעסיק המבקש לעשות שימוש במערכות איכון לקחת בחשבון, וכן מפרטת את החובות שבהן על המעסיק לעמוד. גם בסוגיה זו מאמצת הרשות את העקרונות שנקבעו על ידי בית הדין הארצי לעבודה בהלכת איסקוב, ומקישה מהם גם למגבלות המעסיק ביחס להפעלת מערכות לניטור המיקום הפיזי של עובדים.

להלן עיקרי גילוי הדעת של הרשות:

• מידתיות. מעסיק המבקש לעשות שימוש במערכות איכון נדרש לעמוד בדרישת המידתיות, כך שהשימוש במערכות האיכון ייעשה רק בהיעדר חלופה אחרת, ולאחר בחינה מעמיקה של היחס הראוי בין התועלת שתצמח ממערכת האיכון לבין הנזק והפגיעה בזכות העובד לפרטיות.

• תכלית לגיטימית ומוצדקת. מעסיק רשאי לעשות שימוש במערכות איכון רק כאשר יש לו תכלית לגיטימית, מוצדקת, וחיונית לעשות כן. קביעת מטרה כוללנית וחסרת זיקה לאינטרסים הלגיטימיים של מקום העבודה, לא תוכר כתכלית ראויה למעקב אחר עובד. על המעסיק לבחון תחילה האם סוג העבודה וטיב תפקידו של העובד אכן מצדיקים מעקב אחרי נתוני מיקומו (למשל, שליחים, נהגים וסוכני מכירות), כאשר ככלל יהיה קשה להצביע על אינטרס של המעסיק המסוגל להצדיק איסוף רציף של נתוני מיקום ככל שמדובר בעובד שעיקר עבודתו בפעילות משרדית רגילה.

• צמצום הפגיעה בפרטיות. השימוש במערכות האיכון ייעשה רק בהעדר חלופות אחרות (שאינן אוספות נתוני מיקום) ושבכוחן להגשים את תכלית איסוף נתוני המיקום. לדוגמא, יש לבחון האם ניתן לתכנן את מערכת האיכון באופן שתבחן רק את הימצאות העובד בנקודות ציון גיאוגרפיות ספציפיות או שימוש באפליקציה בה מדווח העובד על הגעתו (ובמקרים המתאימים גם על סיום העבודה), כשעל המעסיק להימנע מאיסוף נתוני מיקום של עובד מחוץ לשעות העבודה בפועל. בנוסף, יש לבחון האם ניתן לעצב את מערכת האיכון כך ששמירת הנתונים תתבצע באופן מוצפן או לא מזוהה (כשפתיחת ההצפנה או הזיהוי יעשו רק במקרים חריגים שנקבעו והובאו לידיעת העובדים מראש). כמו כן, על המעסיק להידרש הן לשאלת טווח השעות בהן נאספים נתוני המיקום, הן לשאלת השימוש במידע ומורשי הגישה אליו, ולנמק את החלטתו תוך התייחסות לאפשרות השימוש בחלופות פוגעניות פחות.

• צמידות המטרה. חל איסור על המעסיק לעשות שימוש בנתוני המיקום שאסף באופן שחורג מהמטרה המוגדרת שלשמה נתוני המיקום נאספו (לדוגמא, למטרות שאינן בקרה ופיקוח על עובדים). על המעסיק לקבוע מראש מהן מטרות השימוש בנתוני המידע, ולאחר מכן עליו לגבש מדיניות ברורה שתוצג בפני העובדים. 

• שקיפות. על המעסיק לנהוג בשקיפות מלאה כלפי העובדים ולהביא לידיעתם בפירוט, בבירור ובבהירות, טרם תחילת האיסוף והשימוש של נתוני המיקום, את כללי המדיניות הנוהגת בנוגע להיקף השימוש בנתוני המיקום, לרבות מטרות השימוש, טווח השעות בהן מופעלת מערכת האיכון, משך שמירת המידע, אילו בעלי תפקידים יהיו מורשים לצפות בו וכו'.

• הסכמה. בשל העובדה שמדובר באמצעי מעקב המלווה את העובד לאורך כל שעות עבודתו, גם מחוץ לחצרי המעסיק, עמדת הרשות היא כי על המעסיק לקבל הסכמה ספציפית של העובד לאיסוף נתוני המיקום. בנוסף, על הסכמה כאמור להיות מותאמת ומוגבלת אך ורק למטרה שלשמה התבקשה (למשל, הסכמה להתקנת מכשיר איתור ברכב למניעת גניבות, לא כוללת במשתמע הסכמה לאיסוף נתוני המיקום של המשתמשים ברכב על-ידי המעסיק).

***

הפרסומים האחרונים של הרשות מהווים חלק ממהלך נרחב של הרשות שעיקרו אסדרת מרחב העבודה באופן העולה בקנה אחד עם זכות העובד לפרטיות במקום העבודה. במסמכי המדיניות וניירות העמדה של הרשות נעשה שימוש לעיתים תכופות במסגרת פסיקת בתי הדין לעבודה. לאור התמקדות הרשות בהיבטי פרטיות עובדים במקום העבודה אנו ממליצים לכם לבחון את אופן איסוף, עיבוד ושמירת המידע על העובדים בארגון ואת תאימותו להוראות הרשות. במידה והנכם עושים שימוש במערכות טכנולוגיות לזיהוי ביומטרי ו/או איכון, או בוחנים את האפשרות לעשות שימוש כאמור עליכם לוודא כי פעילותכם נעשית בהתאם להוראות הדין ולהסדיר (במידת הצורך) את אופן פעולותיכם וזאת על מנת להימנע מטענות עובדים לעניין פגיעה בפרטיות וכדי שניתן יהיה לעשות שימוש עתידי, במידת הצורך, בחומרים שהושגו באמצעות אותן מערכות טכנולוגיות.

אנו עומדים לרשותכם כתמיד לכל שאלה והנכם מוזמנים לפנות אלינו לפרטים נוספים ולקבלת ייעוץ פרטני בנושאים המפורטים בסקירה לעיל, לרבות לצורך ביצוע בחינה מקיפה של היבטי הפרטיות הרלוונטיים בארגון בדגש על היבטי פרטיות עובדים במקום העבודה. 

דיוור לקוחות זה הינו בבחינת תמצית אינפורמטיבית, אינו מחליף את הצורך בחוות דעת משפטית פרטנית ואינו מהווה ייעוץ משפטי אשר ניתן להסתמך עליו.

***

בברכה לימים שקטים יותר במהרה,

מישר עורכי דין