הרשות להגנת הפרטיות ממשיכה: פרסום בנושא איסוף ושימוש במידע ביומטרי במקום העבודה ואיסוף נתוני מיקום של עובדים ועובדות באמצעות אפליקציות ומערכות איכון ברכב

מרכז מדיה

הרשות להגנת הפרטיות ממשיכה: פרסום בנושא איסוף ושימוש במידע ביומטרי במקום העבודה ואיסוף נתוני מיקום של עובדים ועובדות באמצעות אפליקציות ומערכות איכון ברכב

3 אוגוסט 2023

לקוחות ועמיתים יקרים,

הרשות להגנת הפרטיות במשרד המשפטים ("הרשות") פרסמה לאחרונה שני מסמכים הנוגעים להיבטי פרטיות במקום העבודה. האחד בנושא איסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים ("מערכות ביומטריות") (פורסם בשלב זה כטיוטה להערות הציבור), והשני בנושא איסוף נתוני מיקום (Geolocation) באמצעות אפליקציות ייעודיות ומערכות איכון ברכב ("מערכות איכון").

הרשות היא הגוף הרגולטורי בישראל שאמון על תחום הפרטיות והגנת המידע האישי. כידוע, העולם הטכנולוגי בכלל ועולם המידע הדיגיטלי בפרט מתפתחים ומשתנים באופן תכוף ובקצב מסחרר. לאור זאת, נדרשת הרשות להתמודד עם השינויים האמורים ו"להתאים" אליהם את המסגרת המשפטית הקיימת.

משכך, מפרסמת הרשות קווים מנחים, המלצות וגילויי דעת בנושאים שונים ומגוונים מעולם הפרטיות, כשלאחרונה אנו רואים מגמה ברורה מצד הרשות להתרכז דווקא בהיבטי פרטיות בעולם יחסי העבודה. בהקשר זה, המתח שקיים בין הפררוגטיבה הניהולית של מעסיק לבין הזכות לפרטיות של עובדיו אינו חדש, והוא נידון זה מכבר על-ידי בתי הדין לעבודה בשורה של פסקי דין, כשמרכזי שבהם הוא פסק הדין של בית הדין הארצי לעבודה בעניין איסקוב[1], בו דן בית הדין הארצי במעקב וניטור אחר תכתובת דוא"ל של עובדים על-ידי המעסיק ("הלכת איסקוב").

נראה כי הרשות ערה למתח האמור, ופעמים רבות היא מאמצת במידה רבה את העקרונות שהותוו על-ידי בתי הדין לעבודה, ובפרט את אלו שהותוו על-ידי בית הדין הארצי בהלכת איסקוב. זאת ועוד, הרשות (בדומה לבתי הדין לעבודה בפסיקות שונות) אף מקישה ומחילה את העקרונות האמורים ביחס להיבטים רלוונטיים נוספים בעולם העבודה, כגון מידע רפואי ועבודה מרחוק.

איסוף ושימוש במידע ביומטרי לבקרת נוכחות עובדים במקום העבודה

זיהוי ביומטרי הוא זיהוי אדם באמצעות מאפיינים פיזיולוגיים (כגון טביעת אצבע, קול ותווי פנים) או באמצעות מאפיינים התנהגותיים (כגון צורת הליכה) ("מידע ביומטרי"). מאחר שמידע ביומטרי הוא מידע שאדם "נושא" עמו באופן תמידי, ואשר אינו משתנה באופן קיצוני לאורך מרבית שנות חייו, מהווה הוא "מפתח" אוניברסלי לזיהויו של האדם באופן חד-ערכי.

במסמך המדיניות בנושא איסוף ושימוש במידע ביומטרי לבקרת נוכחות במקום העבודה שפרסמה הרשות, מציינת הרשות כי בשנים האחרונות ארגונים משתמשים בטכנולוגיות לזיהוי ביומטרי לבקרת נוכחות עובדים ולפיקוח אחר שעות עבודתם, כאשר קיים כיום מגוון טכנולוגיות המאפשרות זיהוי ביומטרי, כגון סריקת טביעת אצבע, סריקת כף יד, סריקת קרנית או רשתות העין וסריקת תווי ומבנה הפנים.

לגישת הרשות, השימוש במערכות ביומטריות עשוי להפחית את הסיכון למקרים של גישה לא מורשית או חדירה ללא הרשאה מחד גיסא, אולם מאידך גיסא, שימוש כאמור טומן בחובו סיכונים שונים לפרטיות, כגון הגברת תחושת המשטור והפגיעה בתחושת השליטה של העובד במידע שלו, גניבה, זליגה וחשיפה של מידע, שימוש במידע למטרות שונות מאלו שלשמן נאסף המידע, וכיו"ב.

השימוש של ארגונים במערכות ביומטריות לזיהוי עובדים מציב אתגר בנוגע להגנה ולכיבוד זכותם של העובדים לפרטיות אל מול הפררוגטיבה הניהולית של המעסיק ומילוי חובותיו על פי דין (למשל, רישום שעות העבודה בהתאם לחוק הגנת השכר וחוק שעות עבודה ומנוחה). לפיכך, הרשות מבקשת להציב זרקור על התופעה ועל הסיכונים לפרטיות הגלומים בה, ולהציג את הנחיותיה והמלצותיה לארגונים שמעוניינים לעשות שימוש במערכות ביומטריות לצרכי זיהוי במקום העבודה.[2]

יודגש, כי הרשות לא מבקשת לאסור את השימוש במערכות ביומטריות, אלא להבטיח שהוא ייעשה תוך מתן התייחסות הולמת לפרטיות העובדים, וזאת ברוח העקרונות הכלליים שהותוו בהלכת איסקוב והקווים המנחים הספציפיים שהותוו על-ידי בית הדין הארצי בקשר למידע ביומטרי בעניין עיריית קלנסווה.[3]

 

להלן עיקרי כללי האצבע וההמלצות ליישומם במסגרת מסמך המדיניות של הרשות –

  • מידתיות, הצדקה ובחינת חלופות. על המעסיק להבטיח כי השימוש במערכות הביומטריות נעשה באופן מידתי. בהקשר זה, על המעסיק להצדיק את הבחירה בשימוש במערכות ביומטריות על יסוד אינטרסים לגיטימיים שלו חרף הפגיעה בפרטיות העובדים. זאת (בין היתר) נוכח קיומן של חלופות הפוגעות במידה פחותה בפרטיות העובדים, כגון: שימוש בכרטיס עובד (שאינו כולל מידע ביומטרי); התקנת מצלמות באזור שעון הנוכחות (אשר צילומיהן ייבחנו במקרים מוגדרים של חשש להתנהגות בלתי הולמת); שמירת המידע הביומטרי על גבי כרטיסים חכמים בלבד; והעמדת המערכות הביומטריות רק לשימוש עובדים המסכימים לכך ותוך העמדת חלופה סבירה לעובדים המסרבים לעשות כן.

הרשות מבהירה שאיסוף מידע ביומטרי לצורכי זיהוי ובקרת נוכחות עשוי להיחשב צעד בלתי מידתי, אלא אם כל חלופה אחרת, שפגיעתה בפרטיות פחותה, אינה ישימה, או שקיימת לכך הצדקה מיוחדת, בנסיבות ספציפיות, שהמעסיק יוכל להצביע עליה.

 

  • יידוע העובדים. על המעסיק ליידע את העובדים בכל הנוגע לאופן איסוף המידע הביומטרי והשימוש בו באופן נרחב. בכלל זה, על המעסיקים לספק מידע (בין היתר) בדבר מטרות האיסוף הביומטרי; זהות הגורם האחראי על המאגר בו נשמר המידע הביומטרי ומורשי הגישה אליו; אופן אבטחת המידע הביומטרי; הסכנות האפשריות בקשר לאיסוף ושמירת המידע הביומטרי; זכויות העיון והתיקון של העובד; אופן השמירה והאפשרות להסרת המידע הביומטרי מהמאגר; האם קיימת מגבלת זמן לאחסון והשימוש בו, וכיו"ב.

 

  • הסכמת העובדים. בהיעדר הסמכה בחוק, למעסיק אסור לחייב את העובדים במסירת המידע הביומטרי לצורכי בקרת נוכחות ו/או פיקוח על שעות העבודה, ועל המעסיק לקבל מהעובדים הסכמה מדעת, מפורשת או מכללא, לאיסוף והשימוש במידע הביומטרי אודותיהם.

ככל שהשימוש במערכות הביומטריות נעשה באופן מידתי, כאמור לעיל, רשאי המעסיק לדרוש מהעובד שייתן את הסכמתו לאיסוף המידע, כשסירוב העובד עלול להיות בעל השלכות מבחינת יחסי העבודה (אולם הרשות מבהירה שמסמך המדיניות לא עוסק בשאלת סבירות הסירוב לבקשה מידתית ולגיטימית של המעסיק לשימוש במערכות הביומטריות, או משמעותו של סירוב לבקשה זו במישור יחסי העבודה). ככלל, לגישת הרשות, ראוי שהמעסיק יעמיד את האפשרות לעשות שימוש במערכות ביומטריות לבחירת העובדים. עם זאת, מובהר כי הסכמת העובד היא הכרחית אך אינה מספיקה, ואין בהסכמה בכדי להכשיר איסוף מידע ביומטרי כאשר האיסוף לא עומד בתנאי המידתיות, כמפורט לעיל).

 

  • עיקרון צמידות המטרה. על המעסיק להקפיד להשתמש במידע הביומטרי הנאסף אך ורק למטרות שלשמן הוא נאסף (שימוש במידע אישי, לרבות מידע ביומטרי, למטרות אחרות מאלו שלשמן נאסף עלול לעלות כדי פגיעה בפרטיות לפי החוק). לאור האמור, אין לאסוף על עובדים מידע ביומטרי שאינו נדרש, כשעל המעסיקים לוודא כי הכמות והאיכות של המידע הביומטרי הנאסף הן בהתאם לרמת הזיהוי הנדרשת ולא מעבר לכך.

 

  • אבטחת מידע. ככלל, אחזקת מידע ביומטרי במאגר מרכזי המוחזק אצל המעסיק מעלה את סיכוני אבטחת המידע שלו במידה משמעותית. על המעסיק לנקוט באמצעים מתקדמים לאבטחת המידע הביומטרי, כגון שימוש במנגנוני הצפנה וקידוד ייחודיים, הפרדת המידע הביומטרי במאגר ממידע אישי אחר וצמצום הרשאות הגישה שיינתנו למידע הביומטרי. נוכח אופיו הרגיש של מאגר המכיל מידע ביומטרי, הרשות מציינת כי רצוי שהמעסיק יקבע הסדרי אבטחת מידע מחמירים למאגר זה ביחס למאגרים אחרים שלו. כמו כן, הרשות מדגישה את החשיבות שבעריכת תסקיר השפעה על פרטיות בטרם תחילת איסוף המידע הביומטרי, כמו גם את התועלת הרבה שבמינוי ממונה הגנת פרטיות.

 

  • צמצום ומחיקת מידע. על המעסיק לבחון את נחיצות שמירתו של המידע הביומטרי המוחזק על-ידו, ובמקרים בהם נמצא כי המידע אינו נחוץ עוד – לפעול לצמצומו, לרבות באמצעות מחיקתו, וזאת לבטח לאחר סיום ההעסקה.

 

ניתן להעביר את הערות הציבור למסמך המדיניות עד ל-18.08.2023.

למסמך המדיניות המלא >> לחצו כאן

 

איסוף נתוני מיקום של עובדים ועובדות באמצעות אפליקציות ומערכות איכון ברכב

גילוי הדעת שפרסמה הרשות בנושא איסוף נתוני מיקום של עובדים באמצעות אפליקציות ומערכות איכון פורסם בנוסחו הסופי, ובו מציינת הרשות כי סוגיית השימוש של מעסיקים בכלים טכנולוגיים שנועדו לפקח על עובדיהם תפסה תאוצה בשנים האחרונות, לרבות באמצעות מערכות איכון המאפשרות מעקב אחר מיקומם הפיזי של העובדים (ולרבות בקשר למערכות יחסים שטרם הוכרע לגביהן האם מתקיימים בהן יחסי עובד-מעביד).

לגישת הרשות, הגם שלמעסיק קיים אינטרס לגיטימי לפקח אחר שעות העבודה בפועל של העובדים, לרבות רישום ודיווח שעות העבודה לשם חישוב השכר ופיקוח על ביצוע העבודה, כפי שנפסק על-ידי בתי המשפט זה מכבר (לרבות על-ידי בית המשפט העליון), איסוף ועיבוד נתוני מיקום של אדם פוגעים באופן משמעותי בפרטיותו, שכן מנתוני מיקום (כשלעצמם, או בשילוב עם נתונים ממקורות נוספים), ניתן להסיק מידע רגיש ביותר על אישיותו של אדם, קשריו החברתיים, מצבו הכלכלי, וכיו"ב.

לאור האמור, הרשות מפרטת בגילוי הדעת את השיקולים שעל המעסיק המבקש לעשות שימוש במערכות איכון לקחת בחשבון, ולפרט את החובות שבהן על המעסיק לעמוד. גם בסוגיה זו מאמצת הרשות את העקרונות שנקבעו על ידי בית הדין הארצי לעבודה בהלכת איסקוב, ומקישה מהם גם למגבלות המעסיק ביחס להפעלת מערכות לניטור המיקום הפיזי של עובדים.[5]

 

להלן עיקרי גילוי הדעת של הרשות –

  • מידתיות. על מעסיק המבקש לעשות שימוש במערכות איכון לעמוד בדרישת המידתיות, כך שהשימוש במערכות האיכון ייעשה רק בהעדר חלופה אחרת, ולאחר בחינה מעמיקה של היחס הראוי בין התועלת שתצמח ממערכת האיכון לבין הנזק והפגיעה בזכות העובד לפרטיות במקום העבודה.

 

  • תכלית לגיטימית ומוצדקת. מעסיק יהיה רשאי לעשות שימוש במערכות איכון רק כאשר יש לו תכלית לגיטימית, מוצדקת, וחיונית לעשות כן. קביעת מטרה כוללנית וחסרת זיקה לאינטרסים הלגיטימיים של מקום העבודה, לא תוכר כתכלית ראויה למעקב אחר עובד. על המעסיק לבחון תחילה האם סוג העבודה וטיב תפקידו של העובד הם כאלו המצדיקים מעקב אחרי נתוני מיקומו (למשל, נהגים, שליחים וסוכני מכירות), כאשר ככלל יהיה קשה להצביע על אינטרס של המעסיק שבכוחו להצדיק איסוף רציף של נתוני מיקום, ככל שמדובר בעובד שעיקר עבודתו בפעילות משרדית רגילה.

 

  • צמצום הפגיעה בפרטיות. השימוש במערכות האיכון ייעשה רק בהעדר חלופות אחרות (שאינן אוספות נתוני מיקום) ושבכוחן להגשים את תכלית איסוף נתוני המיקום. לדוגמה, יש לבחון האם ניתן לתכנן את מערכת האיכון באופן שתבחן רק את הימצאות העובד בנקודות ציון גיאוגרפיות ספציפיות או שימוש באפליקציה בה מדווח העובד על הגעתו (ובמקרים המתאימים גם על סיום העבודה), כשעל המעסיק להימנע מאיסוף נתוני מיקום של עובד מחוץ לשעות העבודה בפועל. בנוסף, יש לבחון האם ניתן לעצב את מערכת האיכון כך ששמירת הנתונים תתבצע באופן מוצפן או לא מזוהה (כשפתיחת ההצפנה או הזיהוי יעשו רק במקרים חריגים שנקבעו והובאו לידיעת העובדים מראש). כמו כן, על המעסיק להידרש הן לשאלת טווח השעות בהן נאספים נתוני המיקום, הן לשאלת השימוש במידע ומורשי הגישה אליו, ולנמק את החלטתו תוך התייחסות לאפשרות השימוש בחלופות פוגעניות פחות.

 

  • צמידות המטרה. חל איסור על המעסיק לעשות שימוש בנתוני המיקום שאסף באופן שחורג מהמטרה הראשונית שלשמה נתוני המיקום נאספו. על המעסיק לקבוע מראש מהן מטרות השימוש בנתוני המידע, ולאחר מכן עליו לגבש מדיניות ברורה שתוצג בפני העובדים.

 

  • שקיפות. על המעסיק לנהוג בשקיפות מלאה כלפי העובדים ולהביא לידיעתם בפירוט, בבירור ובבהירות, טרם תחילת האיסוף והשימוש של נתוני המיקום, את כללי המדיניות הנוהגת בנוגע להיקף השימוש בנתוני המיקום, לרבות מטרות השימוש, טווח השעות בהן מופעלת מערכת האיכון, משך שמירת המידע, אילו בעלי תפקידים יהיו מורשים לצפות בו, וכיו"ב.

 

  • הסכמה. בשל העובדה שמדובר באמצעי מעקב המלווה את העובד לאורך כל שעות עבודתו, גם מחוץ לחצרי המעסיק, עמדת הרשות היא כי על המעסיק לקבל הסכמה ספציפית של העובד לאיסוף נתוני המיקום. בנוסף, על הסכמה כאמור להיות מותאמת ומוגבלת אך ורק למטרה שלשמה התבקשה (למשל, הסכמה להתקנת מכשיר איתור ברכב למניעת גניבות, לא כוללת במשתמע הסכמה לאיסוף נתוני המיקום של המשתמשים ברכב על-ידי המעסיק).

 

לגילוי הדעת המלא של הרשות >> לחצו כאן

 

כל עמדה של הרשות להגנת הפרטיות מהווה קו מנחה לפעולתם של המעסיקים ומאומצת, כאמור לעיל, במקרים רבים בפסיקת בתי הדין לעבודה. משכך, על מעסיקים העושים שימוש במערכות טכנולוגיות לזיהוי ביומטרי ו/או איכון, או שמבקשים לבחון את האפשרות לעשות שימוש כאמור, לוודא שהם פועלים בהתאם להוראות הדין ולהסדיר (במידת הצורך) את אופן פעולתם.

 

זאת, בין היתר, על-מנת להימנע מטענות פוטנציאליות של עובדים ועובדות לשעבר (לרבות בגין פגיעה בפרטיות אשר, במקרים מסוימים, עשויה לאפשר לבית המשפט לפסוק סעד כספי בסכום גבוה וללא הוכחת נזק לתובע), כמו גם על-מנת שניתן יהיה לעשות שימוש בעתיד בחומרים שהושגו באמצעות אותן מערכות טכנולוגיות (שכן ככלל לא ניתן יהיה להשתמש כראיה בבית המשפט בחומר שהושג תוך פגיעה בפרטיות).

 

לאור האמור, אנו מזמינים אתכם לפנות אלינו לקבלת ייעוץ פרטני, עריכת בדיקה מקיפה של היבטי הפרטיות הרלוונטיים בארגון והסדרה של הדרוש הסדרה.

 

 

המחלקה המסחרית ומחלקת דיני עבודה

הרצוג פוקס ונאמן

 

 

[1] ע"א (ארצי) 90/08 טלי איסקוב ענבר נ' מדינת ישראל – הממונה על חוק עבודת נשים (פורסם בנבו, 08.02.2011).

[2] הרשות מבהירה כי האמור במסמך המדיניות בקשר למערכות הביומטריות רלוונטי גם במסגרת העסקה באופן מקוון והעסקה מרחוק (בשינויים המחויבים), אך אינו עוסק בשימוש במערכות ביומטריות לזיהוי כלל הנכנסים בכניסה לבית העסק של המעסיק.

[3] עס"ק (ארצי) 7541-04-14 הסתדרות העובדים הכללית החדשה מרחב המשולש הדרומי נ' עיריית קלנסווה (פורסם בנבו, 15.03.2017).

[4] ויודגש כי מאגר מידע המכיל מידע ביומטרי (מכל סוג) מהווה מאגר שחלה עליו, לכל הפחות, רמת האבטחה הבינונית, לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017.

[5] יודגש, כי גישת בתי הדין לעבודה בעבר הייתה מקלה יותר ביחס לעובדים שמקום עבודתם הקבוע אינו בחצרי המעסיק או עובדים שיש קושי לעקוב אחר שעות עבודתם ומיקומם בשל טיב תפקידם, כגון נהגים ושליחים (כך, למשל בפסיקת בית הדין האזורי לעבודה בבאר שבע בס"ק 1026/06 הסתדרות העובדים הכללית החדשה נ' תש"ן תשתיות נפט ואנרגיה בע"מ (פורסם בנבו, 18.9.2006), נקבע כי בנסיבות מסוימות הפעלת מערכת איכון ברכב הזמן העבודה לא תיחשב כפגיעה בפרטיות העובד). עם זאת, לאור ההתפתחויות הטכנולוגיות והדגש שמייחסים כיום (בישראל ובעולם) לפרטיות, כמו גם בשים לב להלכת איסקוב ולפסיקות בית המשפט העליון בעניין רגישותם של נתוני מיקום (למשל, רע"א 2404/21 פלונית נ' פלוני (פורסם בנבו, 22.07.2021)), הרשות נוקטת בעמדה ופרשנות שמתאימים ומותאמים לעידן הטכנולוגי של זמנינו.

חפשו לפי +