לציבור הרחב, עמו נמנים מעסיקים ומועסקים, נגלה מידע חדש שבימים כתיקונם הוא מידע המסווג כאישי-סודי, אודות חולים ואנשים החייבים בבידוד. כך, למשל, מסלולי הנדבקים ופעולות שביצעו במרחב האישי שלהם – חשופות עתה לתחקיר אפידמיולוגי פומבי. בנוסף, ישנם מעסיקים הדורשים לדעת מידע רפואי או מידע רגיש אחר, על מנת למזער פגיעה בריאותית בעובדים, ואפילו על-ידי מדידת חום ובדיקת תסמינים אחרים של העוברים והשבים במקום העבודה, ובכללם גם המועסקים עצמם. ללא ספק, נגרמת פגיעה בפרטיותם של אנשים, ולעתים באופן משמעותי.
רשות הגנת הפרטיות הוציאה (סוף סוף) קובץ שאלות ותשובות בנוגע להתנהלות הציבור, מעסיקים פרטיים וגופים ציבוריים בנוגע להיבטי הגנת הפרטיות בעקבות התפשטות נגיף הקורונה, להלן עיקריו:
- הרשות מכירה בהצדקה לפגיעה בפרטיות נוכח המאבק בקורונה. עם זאת, עמדת הרשות היא כי גם במצבי חירום, כאשר קיימת הצדקה לכאורה לפגיעה כאמור, יש להקפיד על עקרונות ההגנה על פרטיות, ועל כך שהפגיעה הנגרמת כתוצאה מהפעילות לא חורגת מהנדרש בנסיבות העניין.
- על הגופים השונים האוספים מידע במסגרת האמורה, להשתמש בו אך ורק למטרה שלשמה הוא נאסף, כדוגמת מניעת התפשטות הנגיף, מחקר אפידמיולוגי, הבטחת שלומם של עובדים בסיכון וכיוצא בזה. שימוש במידע (כדוגמת עיבודו או העברתו לגופים אחרים) שלא למטרה שלשמה הוא נאסף מלכתחילה, וללא קבלת הסמכת נשוא המידע לשימוש זה, עשויה על-פניו להיחשב כפגיעה בפרטיות, ועל הגופים הרלוונטיים להימנע מכך.
- קיימת האפשרות להסתייע בהגנות מכוח סעיף 18 לחוק הגנת הפרטיות, לפיהן יינתן פטור מאחריות בגין פגיעה בפרטיות ככל שהפגיעה נעשית בנסיבות שבהן הייתה מוטלת על הפוגע חובה חוקית, מוסרית, חברתית או מקצועית לעשותה או כאשר הפגיעה נעשית לשם הגנה על עניין אישי כשר של הפוגע. אולם הגנות אלו מותנות בקיומו של מצב החירום ועם סיומו, לא ניתן יהיה להסתייע בהן ולפיכך יהיה צורך במחיקת המידע הרגיש שנאסף בתקופה זו אודות נדבקים כל עוד אין צורך בשמירתו.
- מעסיק רשאי לדווח לעובדים או למבקרים במקום העבודה על כך שאחד העובדים עמו הם היו בקשר חלה בנגיף או יש חשש שהוא נשא שלו. השאיפה היא, ככל האפשר, שלא לאזכר את שמו של החולה/נשא אלא עדיף קודם כל לעדכן על הימצאות באזור ובזמן מסוימים בהם שהה העובד.
- גופים ציבוריים מונחים גם בתקופה הזו להימנע מהעברות מידע ביניהם שלא לצורך, ובכל מקרה, יש לבחון את מידתיות וסבירות הבקשה להעברת המידע בהתייחס לרגישות המידע אותו מעוניינים להעביר. ככל שהמידע רגיש יותר יש צורך בהגנה רבה יותר על הפרטיות.
- גם במסגרת עבודה מרחוק יש לתת את הדעת להיבטי פרטיות ועל מניעת דלף מידע, כאשר ההנחייה היא לעמוד בהוראות תקנות אבטחת מידע והובהר כי על אף מצב החירום, לא תהיינה הקלות בכל הנוגע לעמידה בסטנדרטים של אבטחת מידע כנדרש בתקנות. בין היתר, הרשות ממליצה על הכלים הבאים:
- הימנעות מעבודה עם כלים חינמיים הפתוחים לכלל הציבור (ומציינת חשבון GMAIL כדוגמא).
- יש לוודא כי מערכות ההפעלה, אנטי וירוס ותוכנות ההגנה למיניהן בסביבה הפרטית –מעודכנות.
- שימוש בסיסמאות חזקות בעלת 8 תווים לפחות, בשילוב אותיות גדולות, קטנות, מספרים ותווים מיוחדים.
- עדיפות לאימות דו שלבי בכניסה למערכות מידע ושימוש באמצעי עבודה מרחוק.
- הימנעות מכניסה לאתרים לא מורשים בעת העבודה.
- גיבוי "קר" לתוצרי העבודה ביחדות אחסון שאינן מחוברות לרשת, דוגמת כונן נייד.
- יש לציין כי בתקופה זו נרשמה עלייה מסיבית בכמות מתקפות הסייבר של גופים שונים המחייבים בין היתר, משנה זהירות. להנחיות מערך הסייבר הלאומי ראו כאן וכאן . בלוג שעוקב אחרי מתקפות הסייבר כאן.
בנוסף, פירסמה רשות הגנת הפרטיות סט הנחיות למעסיק בהפעלת מדיניות עבודה מרחוק אל מול הרשת הארגונית.
בשל העובדה כי ארגונים רבים ממשיכים את הרציפות התפקודית שלהם באמצעות עבודה מרחוק של עובדיהם, נוצרו סיכונים רבים לאבטחת המידע של הארגון, המתווספים לסיכונים הקיימים בימי שגרה. בין היתר, בשל השימוש במחשבים ביתיים של עובדים ורשתות אינטרנט ביתיות, כלים טכנולוגיים חדשים, ועידה ניהול פעולות ושיחות מרחוק, שימוש במיילים פרטיים, נסיונות דיוג והונאה ועוד.
הרשות מנחה מנהלים לכלול את נושא הגישה מרחוק לניהול הסיכונים הארגוני, תוך גיבוש מדיניות אבטחה ארגונית לטובת השימוש בגישה מרחוק ובמכשירים אישיים.
בנספח א' להנחייה צורף סט כללים למשתמש בשפה ידידותית וברורה, אשר מומלץ לתקשרו גם לעובדי הארגון.
בכל שאלה נוספת, מחלקת הפרטיות של משרדנו לשירותכם.
האמור במסמך זה אינו מובא כתחליף לקבלת ייעוץ משפטי והוא מהווה מידע כללי בלבד.
תודה לעו"ד מתן סטמרי ממחלקת דיני עבודה שסייע בהכנת עדכון לקוחות זה.
|
|
|
