מעסיקים אוספים מידע על העובדים שלהם. זה מתחיל בנתוני השכר של העובדים, קורות החיים שלהם ושעות העבודה. זה ממשיך בטביעות אצבע, צילומים ממצלמות אבטחה, ארוחות עובדים ומידע רפואי ובהודעות אישיות בטלפון חברה ונתוני המיקום של רכב החברה בנסיעות פרטיות וזה ממשיך וממשיך וממשיך. העובדים מברכים על כך כשזה נועד להטיב עימם, אם זה לתגמל אותם בתגמולים, הטבות, או לארגן אירועים ושלל פינוקים אחרים, אבל כשזה משמש כדי לקבל עליהם החלטות שיכולות לפגוע בהם או כדי לקזז סכומים מהמשכורת שלהם, כבר פחות נוח עם זה. מעבר לכך, נוכח אירועי הסייבר אשר צצים כמו פטריות אחרי הגשם, האפשרות שהמידע שנאגר במערכות של המעסיק ייפול לידיים זדוניות צריכה להטריד אותם לא פחות מכך.
פרטיות ועובדים
על אף העלייה במודעות לצורך של שמירה על מידע בארגונים, רובם עדיין נוטים להזניח את הפרטיות של העובדים שלהם. זה בעיקר נובע מפערי הכוחות בין העובד למעביד, אשר המעסיקים מודעים להם היטב. סיבה נוספת לחוסר תשומת הלב לפרטיות עובדים, היא העובדה כי עד לא מזמן, איסוף המידע על העובדים התמקד בליבה של העסקת העובדים, כגון תשלום שכר וניהול משאבי אנוש.
לאור ההתפתחויות הטכנולוגיות והטרנדים האחרונים בתחום העסקת עובדים, איסוף המידע הפך להיות מגוון יותר. הוא פולש גם לתחומים המרוחקים יותר מהקשר הבסיסי של עובד ומעביד. תהליכים שהיו מנוהלים באמצעים ידניים, כגון מבחני אישיות וקבלה לעבודה, הערכת עובדים ותכניות הכשרה והעשרה לעובדים הפכו להיות מבוססים על פתרונות ממוחשבים. משאיסוף המידע על עובדים הופך להיות נרחב יותר, גוברת המחויבות של המעסיקים לשמירה על הפרטיות שלהם. מעבר לכך, קנס בגובה 35 מיליון אירו שספגה רשת H&M בחודש אוקטובר השנה מאותת גם הוא למעסיקים לגלות ערנות לנושא הפרטיות. זהו הקנס השני בגובהו עד כה שהוטל מכוח ה-GDPR, תקנות הגנת המידע האירופאיות אשר מובילות את המגמה העולמית של הגברת האכיפה של זכויות לפרטיות, והוא הוטל דווקא בגין הפרה של זכויות עובדים לפרטיות.
הקנסות אשר ניתן להטיל מכוח דיני הגנת הפרטיות הישראליים הינם נמוכים מאוד נכון לעכשיו. אולם, לפי התחזיות זה לא יימשך זמן רב. ולכן, טוב יעשו ארגונים אם יתחילו להקפיד על שמירה על הפרטיות של העובדים שלהם.
מעסיקים ופרטיות עובדים: עשה ואל תעשה
עשה: היה שקוף כלפי העובדים שלך ביחס למידע שאתה אוסף עליהם והשימושים שאתה מתכוון לעשות בו. חובת השקיפות הינה הבסיסית ביותר מבין החובות שחלות על ארגונים שאוספים מידע על אנשים בכלל, ועל מעסיקים בפרט.
אל תעשה: אין לאסוף מידע על עובדים שאינו באמת דרוש. במיוחד כשמדובר במידע רגיש, כגון מידע על נטיות מיניות, דעות פוליטיות ומידע על גזע או מוצא של אדם.
עשה: הגדרת ״קוד אתי״. הקוד יגדיר גבולות ברורים לעניין השימושים המותרים במידע. כך תוכל לוודא שהחובות שחלות עליך יחלחלו למטה לבעלי התפקידים אשר מיישמים את המדיניות שלך.
אל תעשה: אל תחשוף מידע על העובדים שלך ללא אבחנה. יש לתת הרשאות גישה למידע על עובדי הארגון רק לבעלי תפקידים להם צורך במידע למילוי תפקידם. כמו כן, ככל שאתה עושה שימוש בשירותים של גורם חיצוני שיקבל גישה למידע על העובדים, עליך לחייב אותו לשמור על הפרטיות של העובדים שלך.
עשה: הפעל אמצעי אבטחת מידע נאותים על מנת להגן על המידע על העובדים שלך.
אל תעשה: אין לשמור מידע לנצח. כבר ברור שתקיפות סייבר הן בלתי נמנעות. לכן, לצד המשאבים שצריך להשקיע בניסיון להימנע מתקיפות כאלו, ארגונים מחויבים לפעול מראש כדי למזער את הנזק הפוטנציאלי שלהן. ולכן, כצעד אסטרטגי, לגבי כל סוג של מידע שאתה מחזיק עליך להחליט למשך איזו תקופה אתה זקוק לו. בעוד שביחס למרבית הנתונים תוכל לשמור אותם לתקופות ארוכות, כגון תקופת ההתיישנות, ביחס לנתונים רגישים יותר, תידרש למחוק אותם לאחר פרק זמן קצר יותר.
עשה: בצע מול העובדים שלך תיאום ציפיות ביחס לשימוש באמצעי תקשורת אלקטרוניים בעבודה. במסגרת העבודה ניתנים לעובדים כלי תקשורת אלקטרוניים שמטרתם לייעל את התקשורת בין העמיתים ולשמר את הידע העסקי. כלים אלו כוללים את תיבת הדוא"ל הארגונית, ולפעמים גם צ'אטים ופורטלים ארגוניים ורשתות חברתיות. חשוב להבהיר לעובדים את הגבולות בין המרחב הפרטי והמקצועי במסגרת השימוש בכלים הללו בעבודה.
***
עו"ד קרין קשי מרכזת את תחום הפרטיות במשרד ברנע.
פורסם לראשונה בכלכליסט