מדריך למעסיקים: שמירת הפרטיות והמידע בעבודה מהבית
עבודה מהבית מחייבת התייחסות מיוחדת לשמירה על דיני הפרטיות ואבטחת המידע, זאת, בין היתר, בהסתמך על עמדתה של הרשות להגנת הפרטיות בדבר "דגשים למנהלים ועובדים בהפעלת מדיניות עבודה מרחוק אל מול הרשת הארגונית".
הקפדה על אבטחת המידע
המעבר לעבודה מהבית בהיקף משמעותי מחייב את הארגון לזהירות ממשית ביחס לאבטחה של מערכות המחשוב והמידע. כדי להקטין את הסיכון לדליפות מידע, או להפרעות בתפקוד העסק, חשוב לבצע את הצעדים הבאים:
- החליטו על הכלים הטכנולוגיים, התוכנות והאמצעים שברצונכם להעמיד לרשות העובדים לצורך עבודה מרחוק. וודאו כי אמצעים אלה מאפשרים את הרמה הנדרשת של אבטחת המידע לפעילות העסק.
- העמידו לשימוש העובדים מערכות ארגוניות מאובטחות המאפשרות שיחות וידאו ואודיו והשתדלו להימנע משימוש בחשבונות פרטיים לביצוע השיחות.
- הפעילו אמצעים לווידוא זהותו של המשתמש, בין היתר באמצעות אימות דו-שלבי.
- הגבילו את האפשרות לשמירת נתונים על המחשב האישי של המשתמשים, במיוחד ככל שמדובר במידע אישי רגיש.
- עדכנו את העובדים באופן יזום בדבר הסיכונים שבעבודה מרחוק, ובדבר נהלי העבודה הקיימים בחברה. הדגישו את הסיכונים שבשימוש בכתובות דוא"ל פרטיות, תוכנות חיצוניות ואמצעים נוספים שלא עברו אישור מוקדם ביחס לרמת האבטחה שלהם בידי המעסיק.
- בקשו מהעובדים לוודא כי הם עובדים בסביבה סטרילית ככל הניתן תוך צמצום אפשרי של צילום והקלטה של בני משפחה הנמצאים בסיבת מקום.
- בסיום העבודה, חשוב להנחות את העובדים לסגור את המחשב ולצאת באופן אקטיבי מכל תוכנה וחשבון המחוברים למערכות ארגוניות.
ביצוע התקשרויות עם ספקים באופן שקול
המעבר לעבודה מרחוק עשוי להביא לצורך להתקשר באופן מהיר עם ספקים שונים. חלק מאותן התקשרויות עשויות לכלול העברה ועיבוד של מידע אישי. התקשרות כזו צריכה להתבצע בהתאם לקבוע בתקנות הגנת הפרטיות (אבטחת מידע). במסגרת זו:
- בדקו את הסיכונים הכרוכים בהתקשרות עם הספק מבחינת אופי השירות, המידע המעובד על ידו ואמצעים אבטחת מידע שמופעלים על ידו.
- ערכו הסכם כתוב עם הספק הכולל התייחסות להתחייבויותיו מבחינת עיבוד המידע, וכן ביחס לאמצעי האבטחה הנדרשים.
- העדיפו להתקשר עם ספקים שיש להם מוניטין מספק מבחינת שמירת אבטחת מידע ארגוני.
הרשות להגנת הפרטיות פרסמה לאחרונה מדריך פעולה בעת התקשרות עם גורם חיצוני. מדריך זה יוכל לסייע בעת בחינת התקשרות עם ספק המערבת עיבוד מידע אישי.
הקפידו על שמירת פרטיות העובדים בזמן העבודה מהבית
אם ברצונכם להתקין מערכות טכנולוגיות המאפשרות מעקב אחר עבודתם של העובדים, הכרחי לבחון אותן באופן מעמיק, בהתאם לעמדתה של הרשות להגנת הפרטיות, אשר פרסמה לאחרונה הנחיות בדבר "היבטי פרטיות במעקב אחר עובדים בעבודה מרחוק" . במסגרת זו, נמליץ על הצעדים הבאים:
- טרם בחירת אמצעי המעקב, חשוב להגדיר את המטרה לשמה הוא מתבצע. זו צריכה להיות מטרה לגיטימית של העסק, באופן שיצדיק את הפגיעה האפשרית בפרטיות העובדים.
- האמצעי שייבחר צריך להיות כזה שמאפשר, ככל הניתן, את הפגיעה המצומצמת ביותר בזכויות העובדים בראי המטרה של המעקב. אם לרשות המעסיק עומדים פתרונות שמאפשרים מעקב ללא איסוף מידע אישי (דוגמת התממה או אגרגציה של נתונים), יש להעדיף פתרונות אלו.
- יש לשקול גם פגיעה אפשרית בפרטיות בני הבית של העובד. כך, מעקב וידאו או אודיו ביחס לעובד שנמצא בביתו, עלולים לפגוע פגיעה משמעותית גם בפרטיותם של בני ביתו. יש להימנע מאמצעי מעקב מסוג זה אלא במקרים קיצוניים בהם קיים צורך חיוני לכך.
- חשוב מאוד ליידע העובדים בדבר פעולות המעקב המיושמות. בנוסף, במקומות בהם לעובד ישנה ציפייה לפרטיות אין להתקין אמצעי מעקב ללא הסכמה.
- אם עובד מתנגד לאיסוף מידע אישי ביחס באמצעות אמצעי מעקב, על המעסיק לבחון פתרון חלופי שיענה על מטרות איסוף הנתונים.
- חשוב להגן על הנתונים שנאספים במסגרת המעקב – לקבוע כללים של הגבלת גישה לנתונים אליהם, תקופות השמירה שלהם, איסור שימוש לצרכים נוספים ועוד.
***
מחלקת הפרטיות והסייבר בברנע ג'פה לנדה תשמח להעניק לכם ליווי וסיוע במעבר לעבודה מרחוק.
דר' אבישי קליין הוא שותף וראש מחלקת פרטיות וסייבר בברנע ג'פה לנדה.
מאשה יודשקין היא עו"ד במחלקה.