מתי ואיך מותר למעסיק לעקוב אחר עובדים העובדים מרחוק?
עמדת הרשות להגנת הפרטיות שפורסמה באחרונה, בנוגע למעקב אחר עובדים העובדים מרחוק, מציגה הנחיות והמלצות חדשות הנדרשות ממעסיקים בעת בניית מערך לניהול מעקב מעין זה.
כיוון שעבודה מרחוק, לפחות זו ה"חדשה", שהיקפה גדל בעקבות מגפת הקורונה, מתרחשת במרחב הפרטי של העובד, הרי שהמעסיק נדרש ליתר זהירות, על מנת לא לפגוע באופן מהותי בפרטיות העובד וכן בפרטיות דיירים אחרים בבית, לרבות קטינים.
ככלל, ההמלצות החדשות מאפשרות שימוש באמצעים טכנולוגיים לפיקוח ומעקב אחר עובדים העובדים מרחוק ומכירות בזכות המעסיק לנהל את עסקיו. יחד עם זאת, הן מתוות כללים על מנת להבטיח שהמעקב יתבצע במידתיות, אך ורק לצרכים לגיטימיים הקשורים באינטרס העסקי של מקום העבודה, תוך יידוע של העובדים וקבלת הסכמתם – למעט במקרים חריגים.
ההנחיות מפרידות בין שני סוגים של אמצעי מעקב. אמצעי מעקב רגילים לעומת אמצעי מעקב שפגיעתם (לכאורה) גבוהה. ביחס לסוג השני, נדרשים מעסיקים ליישם מדיניות מחמירה יותר, כפי שנפרט להלן.
על מנת לעמוד בהנחיות ובהמלצות, על מעסיקים לשקול את השיקולים הבאים טרם שימוש באמצעי מעקב:
אמצעי מעקב רגילים
- סבירות ומידתיות – מעקב מותר רק במסגרת שעות העבודה. יש להימנע מלאסוף ולשמור מידע/ צילומים של בני משפחה.
- יש לבצע מעקב רק למטרות העסקיות שהוגדרו (צמידות מטרה).
- יש למחוק את המידע ברגע שאין בו צורך יותר.
- יש ליידע את העובד על המעקב ולקבל את הסכמתו לכך. בהקשר זה, חשוב לשים לב לשלוש נקודות:
-
-
- ההסכמה חייבת להיות מראש, אבל יכולה להיות מוסקת מכללא ולא בהכרח בהסכמה מפורשת.
- אם השימוש באמצעי מעקב מרחוק נעשה בהתאם לדרישות המידתיות והלגיטימיות, המעסיק רשאי לדרוש מהעובד כי ייתן הסכמתו לאיסוף המידע. סירוב העובד לבקשה זו עלול להיות בעל השלכות מבחינת יחסי העבודה בין הצדדים.
- הסכמת העובד לא מתירה למעסיק לחרוג מכללי הסבירות והמידתיות.
-
הרשות מנחה את המעסיק לידע את העובדים על מדיניות המעקב שלה – אפילו במסגרת הצהרה על מדיניות פרטית ארגונית כללית. יחד עם זאת, המלצת הרשות היא לקבוע ולתקשר מדיניות מפורטת תוך ציון כללי האסור והמותר בשימוש במחשב וביישומיו בעת העבודה מרחוק ולשקול לעגן זאת במפורש בחוזה העבודה ובתקנון הנוהג במקום העבודה.
בנוסף, הרשות אוסרת באופן כמעט גורף על העברת מידע שנאסף על עובד מרחוק לגורמי צד-שלישי (למעט לגורמים המאחסנים ושומרים את המידע).
אמצעים שפגיעתם גבוהה
כאשר מדובר באמצעים שפגיעתם בפרטיות העובדים גבוהה במיוחד, ברירת המחדל משתנה ומלכתחילה עדיף לא להשתמש בהם, אלא רק במקרים חריגים ואם יש תכלית ספציפית. רשימת האמצעים (הלא סגורה) כוללת את הכלים הבאים:
- כלי סריקה ופיקוח על אתרי האינטרנט בהם גולש עובד ותיבת המייל שלו (ככל שמדובר על תיבה שאינה לשימוש מקצועי בלבד).
- אמצעים לשליטה על מצלמות הרשת ועל המיקרופון למטרות צילום העובד ולהאזנה לו ולסביבתו.
- אמצעים לניטור תנועת העכבר ואופן השימוש של העובד במקלדת המחשב Keyloggers .
- אמצעים לצילום מסך המחשב של העובד (Screenshots).
- אמצעים למעקב אחר תנועת עיניים בעת שימוש העובד במחשב, לבחינת התכנים בהם הוא צופה בזמן היותו מול המחשב.
- איסוף נתוני מיקום ברכב של העובד.
ביחס לאמצעים אלה, הרשות קבעה שורת המלצות נוספות (המתווספות להמלצות הבסיסיות ביחס לאמצעים הרגילים למעקב):
- כל שימוש יצריך "בחינה מעמיקה" (לרבות באופן של ביצוע תסקירי פרטיות) בדבר הנחיצות מחד והפגיעה האפשרית בעובדים ובפרטיותם, מאידך.
- לא ניתן להסתפק ביידוע כללי, וצריך להתייחס לכך בכתב ובשקיפות מלאה ולפרט על אופן ביצוע המעקב והשימוש במידע (לרבות, אופן השימוש באמצעי המעקב, סוג המידע שייאסף, תדירות ומועדי המעקב, השימוש שייעשה במידע שייאסף, היכן הוא יישמר ולכמה זמן).
- אין חובה בהנחיות לבקש את הסכמת העובד המפורשת לאמצעים אלה, אולם ניסוח העמדה מרמז על כך שבית המשפט, לו יידרש לעניין בהסתמך על תקדימי עבר (לרבות פס"ד בעניין איסקוב), לא יראה בעין יפה שימוש שכזה ללא הסכמה מפורשת.
- הרשות מפנה לתקנות אבטחת מידע בהקשר של שמירת ומחיקת המידע, לפיהן נדרש לבחון, אחת לשנה, אם המידע שנשמר במאגר לא חורג מן הנדרש ביחס למטרותיו. הרשות סבורה שביחס לשימושים הללו, יש לבצע את הניטור הזה באופן תדיר יותר.
נוכח ההמלצות החדשות, רצוי שמעסיקים ירעננו את מדיניות הפרטיות הארגונית שלהם, ויבהירו אותה לעובדות ולעובדים באופן מפורש, רצוי במועד תחילת ההעסקה. בנוסף, חשוב לנסח וליישם מדיניות ניטור הבוחנת פעם בשנה לכל הפחות את המידע שנאסף ונשמר ואת נחיצותו ואף לקיים תסקירי פרטיות הבוחנים את הסיכונים הכרוכים בשימוש בטכנולוגיות מעקב.
עוד חשוב לסקור את כלל החוזים של מקום העבודה עם ספקים וגורמי צד שלישי אחרים (ספקי טכנולוגיות מעקב, מנהלי מאגרי מידע וכו'), כדי לוודא שאלה עומדים בכלל ההוראות הקשורות בפרטיות ובאבטחת מאגרי מידע ולהגביל את החשיפה למידע אישי.
***
מחלקת הפרטיות והסייבר בברנע ג'פה לנדה זמינה לכל שאלה או הבהרה בנושא ותשמח לסייע בפיתוח והטמעת מדיניות פרטיות.
דר' אבישי קליין הוא ראש מחלקת הפרטיות והסייבר בברנע ג'פה לנדה.