מדיניות פרטיות עובדים

Q: מותר לקרוא את המייל של עובד אם יש חשד שהוא מדליף מידע?

תלוי. אם קיים נוהל ניטור כתוב, שעובדים יודעים עליו, וקיים חשד מבוסס — לא חשד גורף — אז ניתן בתנאים. הנוהל חייב להגדיר: מי מאשר את הגישה (לרוב CEO + יועץ משפטי + DPO), איך מתעדים את הסיבה, ומה היקף הגישה. אסור — קריאה גורפת של כל מייל, או גישה למיילים אישיים מובהקים (פנייה לבן זוג, רופא, או עורך דין). פעמים רבות מומלץ לעבוד עם תגובת אירוע שתלווה את התהליך — כי טעות שם עלולה לפסול את הראיות לחלוטין.

Q: עובד מבקש לראות איזה מידע יש עליו — חייבים לתת?

כן. תיקון 13 מעניק לעובד זכות עיון מלאה — בדיוק כמו לכל נושא מידע. הארגון חייב לספק תוך 30 יום: רשימת הקטגוריות של מידע שיש על העובד, מקורות המידע, מטרות העיבוד, ועם מי הוא שותף. ניתן לסרב רק במקרים ספציפיים — למשל מידע שעלול לפגוע בעובד אחר, או חוות דעת פסיכולוגיות לתפקיד רגיש. הסירוב חייב להיות מנומק בכתב. אנחנו מטפלים בבקשות עיון מעובדים כחלק מ- DPO as a Service .

מדיניות פרטיות לעובדים היא תחום מורכב במיוחד: מצד אחד אינטרס לגיטימי של המעביד לנהל ולאבטח, מצד שני זכות הפרטיות של העובד שמעוגנת בחוק ובפסיקה. ניטור פעילות, מצלמות במקום העבודה, BYOD, מעקב מיילים, שעון ביומטרי — כל נושא עם כללים נוקשים. עמידה בתיקון 13 לחוק הגנת הפרטיות ובפסיקת בית הדין לעבודה — עם המלצות מעשיות לבניית נוהל שעומד בביקורות ובטענות עובדים.

למה צריך מדיניות פרטיות נפרדת לעובדים

יחסי עובד-מעביד הם מהמורכבים ביותר בהיבטי פרטיות. מצד אחד, יש למעביד אינטרס לגיטימי לנהל את הארגון — לוודא שעובדים עובדים, לאבטח מידע, להגן על נכסים. מצד שני, לעובד יש זכות לפרטיות גם בתוך מקום העבודה — זכות שמעוגנת בחוק יסוד כבוד האדם וחירותו, בחוק הגנת הפרטיות, ובפסיקת בית הדין לעבודה לאורך עשרות שנים. מדיניות פרטיות "כללית" של הארגון לא מטפלת בעובדים — היא ממוקדת בלקוחות ובמבקרי האתר. ארגון בלי מדיניות פרטיות ייעודית לעובדים נמצא בחשיפה כפולה: גם רגולטורית (תיקון 13 דורש שקיפות), וגם בפני תביעות עובדים. ב-DPO as a Service אנחנו בונים את שתי המדיניות במקביל — לקוחות ועובדים — כי הן משלימות.

מידע על מועמדים (לפני קבלה) — מה מותר ומה אסור

שלב המועמדות הוא הראשון — וכבר שם יש כללים. מותר: לבקש קורות חיים, פרטי השכלה והניסיון, ממליצים שהמועמד ציין; לבדוק רישום מקצועי (לעו"ד, רו"ח, רופאים); לבצע מבחני אישיות שאינם פולשניים אם רלוונטיים לתפקיד. אסור: לדרוש מידע רפואי שלא רלוונטי לתפקיד; לחקור בפייסבוק או רשתות חברתיות באופן שיטתי בלי הסכמה; לבדוק רישום פלילי אלא אם החוק מאפשר לתפקיד ספציפי; לשאול שאלות על דת, מצב משפחתי, תכנון משפחה. כל מידע שמגיע — נשמר רק על מועמדים שמועסקו; של אלו שלא — נמחק תוך 6-12 חודשים מקסימום. עיבוד מידע מועמדים הוא מאגר מידע בפני עצמו ודורש מסמך הגדרות מאגר.

תיק עובד פעיל — שדות חובה, שדות אסורים

תיק עובד תקני כולל שדות חובה: שם מלא, ת.ז., כתובת, פרטי קשר, פרטי חשבון בנק לתשלום משכורת, פרטי תעסוקה (תפקיד, מחלקה, תאריך תחילה), נתוני שכר ומסים, נתוני נוכחות. שדות מותרים בהסכמה ובמטרה לגיטימית: פרטי איש קשר לחירום, פרטי בריאות נדרשים (אלרגיות במקום עבודה רגיש), פרטי רכב לתפעול חניה. שדות אסורים בעיקרון: דעות פוליטיות, השתייכות דתית או מפלגתית, עמדות על איגוד מקצועי, נטייה מינית, מצב בריאותי גורף ללא צורך מקצועי. כל שדה — מחייב הסבר במדיניות פרטיות העובדים: למה אספנו, איך משתמשים, כמה זמן שומרים.

ניטור פעילות במחשב, מייל, אינטרנט

ניטור פעילות עובד הוא הנושא הרגיש ביותר. הפסיקה בישראל קבעה: ניטור מותר רק אם מתקיימים ארבעה תנאים מצטברים: (1) נוהל ניטור כתוב, ברור, חתום; (2) הודעה מראש לעובדים — לפני תחילת ניטור, לא רק במדיניות סמויה; (3) מטרה לגיטימית — אבטחת מידע, ציות לחוק, בקרה מקצועית — לא סקרנות; (4) מידתיות — לא לקרוא כל מייל, אלא רק במקרים ספציפיים. תוכנות "מעקב כל לחיצה" — בעייתיות מאוד גם אם יש הודעה. פסיקת איסקוב היא ה-North Star — חובת קריאה לכל מעסיק. ה-DPO חייב להיות מעורב בכל החלטת ניטור, ולהשתתף בעיצוב הנוהל. במקרה של חשד לאירוע — תגובת אירוע חייבת לכבד את הכללים גם אז.

מצלמות במקום העבודה — דרישות פסיקת בית הדין

מצלמות מותרות בתנאים נוקשים. תנאים מצטברים: (1) שילוט נראה שמודיע על קיום מצלמות בכניסה לכל אזור מצולם; (2) מיקום מידתי — אזורי כניסה, מחסנים, חניונים, כן; אזורי עבודה אישית — רק במקרים חריגים ובהצדקה; אסור — מקלחות, שירותים, חדרי הלבשה, חדרי מנוחה ייעודיים, ולעיתים גם פינות אוכל; (3) שמירה לתקופה מוגבלת — לרוב 30-90 יום; שמירה ארוכה יותר דורשת הצדקה ספציפית; (4) גישה מבוקרת לחומרים — לא כל מנהל יכול לצפות, רק בעלי הרשאה מוגדרת; (5) אין צילום קולי כברירת מחדל — דורש הצדקה נפרדת ומיוחדת. בית הדין מוכן לפסול ראיות שהושגו ממצלמות שהותקנו בלי לעמוד בתנאים.

BYOD — מכשיר אישי לעבודה

מודל BYOD (Bring Your Own Device) פופולרי בסטארטאפים וב-SaaS, אבל יוצר מורכבות אדירה בפרטיות. כשמכשיר אישי — טלפון, מחשב — משמש גם לעבודה: אסור לארגון לקרוא את כל המידע במכשיר; מותר רק לנהל את ה-corporate data דרך MDM (Mobile Device Management) ייעודי. הסיכון: עובד שמתפטר ומבקש "החזרה" של המכשיר, או שהארגון מבקש למחוק את המידע — המחיקה חייבת להיות סלקטיבית. נדרש הסכם BYOD מפורט שכל עובד חותם, שמגדיר: מה הארגון רואה, מה לא, איך נפרדים, מה קורה במקרה של אובדן או גניבת המכשיר. סטארטאפים ו-SaaS נופלים על זה הכי הרבה.

שעון נוכחות ביומטרי — תנאים נוקשים

שעון נוכחות ביומטרי — טביעת אצבע, זיהוי פנים, סורק כף יד — נחשב עיבוד מידע ביומטרי, ולכן ברמת רגישות גבוהה במיוחד. הדרישות: (1) הסכמה מפורשת בכתב מכל עובד; (2) חלופה לא ביומטרית — עובד שמסרב יוכל להחתים נוכחות בכרטיס מגנטי או באפליקציה; (3) נוהל מאובטח — נתוני הביומטריה נשמרים כ-hash, לא כתמונה; (4) מחיקה מיידית בסיום העסקה; (5) סקר השפעה — DPIA חובה לפני התקנת המערכת. עובד שלא הסכים — חוקית אסור לפטר אותו או להפלות בגלל זה. הרבה ארגונים שמתקינים מערכת ביומטרית "כי זה נוח" — מגלים שהם בהפרה תוך חודשים.

סיום העסקה — שמירה ומחיקת מידע

סיום העסקה לא מסיים את חובת הארגון לפרטיות העובד. מה שומרים ועד מתי: נתוני שכר ומסים — 7 שנים לפי חוק רשות המסים; תיק רפואי תעסוקתי — 30 שנה לפי תקנות בריאות ובטיחות; ניירת משפטית הקשורה לסיום העסקה — 7 שנים; דוחות הערכה — בדרך כלל 5 שנים. מה מוחקים מיד: גישה לחשבונות, פרטי כניסה, נתונים שלא נדרשים לשמירה לפי חוק. מה חוזר לעובד: לפי בקשה — קבצים אישיים שהיו שמורים על מחשב הארגון, אם אין סיבה לגיטימית לשמור. מדיניות פרטיות העובדים חייבת לפרט את כל זה — בשפה ברורה — כדי שהעובד יודע מה צפוי בסיום העסקה.

איך אנחנו עוזרים ולמי זה רלוונטי במיוחד

במסגרת DPO as a Service אנחנו בונים מדיניות פרטיות עובדים ייעודית לכל לקוח, מותאמת לסוג הארגון, מספר העובדים, וטכנולוגיות הניטור הקיימות. השירות כולל: כתיבת המדיניות, התאמת הסכם הסודיות, נוהל ניטור, נוהל BYOD אם רלוונטי, וייעוץ ספציפי בעת אירועים — חשד לעובד שמדליף מידע, סיום העסקה רגיש, או בקשת זכות עיון מצד עובד. הסקטורים שזה רלוונטי להם במיוחד: סטארטאפים ו-SaaS בגלל BYOD ועבודה מהבית, מערכת הבריאות בגלל גישה למידע רגיש, ופיננסים בגלל בדיקות מהימנות.

שאלות נפוצות על מדיניות פרטיות עובדים

האם עובד חייב לחתום על מדיניות פרטיות העובדים?

כן. הפרקטיקה הסטנדרטית: כל עובד חדש חותם על המדיניות בכניסה לעבודה, יחד עם הסכם ההעסקה. עובדים קיימים — כאשר המדיניות מעודכנת לראשונה או באופן מהותי. החתימה לא הופכת כל סעיף ל"הסכמה תקפה" — יש סעיפים שלא ניתנים להסכמה (לדוגמא: לא ניתן להסכים מראש לוויתור על זכות חוקית) — אבל היא מוכיחה שקיפות והתראה, וזה קריטי בהגנה משפטית. עובד שטוען "לא ידעתי" — חתימה מבטלת את הטענה הזו.

מותר לקרוא את המייל של עובד אם יש חשד שהוא מדליף מידע?

תלוי. אם קיים נוהל ניטור כתוב, שעובדים יודעים עליו, וקיים חשד מבוסס — לא חשד גורף — אז ניתן בתנאים. הנוהל חייב להגדיר: מי מאשר את הגישה (לרוב CEO + יועץ משפטי + DPO), איך מתעדים את הסיבה, ומה היקף הגישה. אסור — קריאה גורפת של כל מייל, או גישה למיילים אישיים מובהקים (פנייה לבן זוג, רופא, או עורך דין). פעמים רבות מומלץ לעבוד עם תגובת אירוע שתלווה את התהליך — כי טעות שם עלולה לפסול את הראיות לחלוטין.

עובד מבקש לראות איזה מידע יש עליו — חייבים לתת?

כן. תיקון 13 מעניק לעובד זכות עיון מלאה — בדיוק כמו לכל נושא מידע. הארגון חייב לספק תוך 30 יום: רשימת הקטגוריות של מידע שיש על העובד, מקורות המידע, מטרות העיבוד, ועם מי הוא שותף. ניתן לסרב רק במקרים ספציפיים — למשל מידע שעלול לפגוע בעובד אחר, או חוות דעת פסיכולוגיות לתפקיד רגיש. הסירוב חייב להיות מנומק בכתב. אנחנו מטפלים בבקשות עיון מעובדים כחלק מ-DPO as a Service.

מה לגבי עבודה מהבית — האם המעביד יכול לעקוב אחרי העובד?

עבודה מהבית לא מבטלת את זכות הפרטיות — להפך, היא מחדדת אותה. המעביד יכול לדרוש דיווח על שעות עבודה ומסירת תוצרים, אבל לא יכול: לעקוב אחרי תנועות אקראיות במחשב; להפעיל מצלמה במחשב של העובד; לעקוב אחרי מיקום העובד ב-GPS אלא אם זה רלוונטי לתפקיד (לדוגמא טכנאי בשטח); לדרוש "screenshots" אקראיים כראיה לעבודה. תוכנות "אחי גדול" שמצלמות מסך כל 5 דקות — בעייתיות מאוד. אם הארגון מפעיל כלים כאלה, חובה לכתוב את זה במדיניות פרטיות העובדים מראש.

האם צריך מדיניות פרטיות עובדים נפרדת לכל סוג עובד?

תלוי במורכבות. ארגון קטן-בינוני — מדיניות אחת לכל העובדים, עם נספחים לתפקידים ייחודיים (לדוגמא: נספח לעובדי שטח עם רכב מעקב, נספח לעובדי IT עם הרשאות מערכת מורחבות). ארגון גדול עם מבנה מורכב — לעיתים שתי מדיניות: עובדים רגילים מול הנהלה בכירה (שמטופלים אחרת בהיבטים מסוימים). הכלל: המדיניות חייבת לשקף את המציאות בארגון, לא לעטוף את הכל בערפל.

מה ההבדל בין מדיניות פרטיות עובדים לבין הסכם סודיות (NDA)?

הסכם סודיות (NDA) מטיל חובות על העובד — לא לחשוף מידע סודי של הארגון. מדיניות פרטיות עובדים מטילה חובות על הארגון — להסביר לעובד איזה מידע נאסף עליו, איך מטפלים, ומה זכויותיו. השניים משלימים: ה-NDA מגן על הארגון, המדיניות מגנה על העובד. שניהם נחתמים בכניסה לעבודה, אבל הם מסמכים שונים לחלוטין. ארגון שמשלב את שניהם במסמך אחד יוצר בלבול ופוגע בשני הצדדים. ב-DPO as a Service אנחנו בונים את שני המסמכים בנפרד אך בעקביות.

מה קורה אם עובד מעלה תלונה ב-Privacy Authority?

הרשות בודקת לעומק, וכמעט תמיד פונה לארגון לשמיעת עמדתו ולקבלת מסמכים — מדיניות פרטיות העובדים, נוהל הניטור, תיעוד הסכמה. אם המדיניות והנהלים מסודרים — לרוב התלונה נדחית או נסגרת. אם חסר תיעוד או יש פערים — קנסות, צווי מתקנים, ולעיתים פרסום בציבור. הזמן בו צריך להיכנס ל-DPO זה ברגע הפנייה הראשונה מהרשות — לא חודש לאחר מכן. בלקוחות שמנויים על DPO as a Service אנחנו מנהלים את התקשורת ישירות מול הרשות.

צריך מדיניות פרטיות לעובדים שעומדת בביקורת?

שיחה של 30 דקות, סקירה חינם של המסמכים הקיימים, מדיניות מותאמת תוך 3-4 שבועות.

פרטים על DPO as a Service