השימוש במידע ביומטרי כגון טביעות אצבע וסריקות פנים, הולך ונעשה נפוץ יותר ויותר בקרב מעסיקים. טכנולוגיות אלו מציעות יתרונות רבים כמו אבטחה משופרת ויעילות גבוהה יותר בניהול עובדים. עם זאת, השימוש במידע ביומטרי מעלה גם חששות משמעותיים בנוגע לפרטיות וזכויות העובדים. על רקע זה, הרשות להגנת הפרטיות פרסמה לאחרונה הנחיות מחייבות הנדרשות ממעסיקים בבואם לאמץ טכנולוגיות ביומטריות.

האם מותר להשתמש באמצעים ביומטריים במקום העבודה?

כן, אך יש לבחון את השאלה האם קיים צורך בשימוש במידע ביומטרי במקום העבודה, והאם יש חלופות לשימוש. ככל שהמידע שבו החברה עוסקת רגיש יותר, קיימת הצדקה לאיסוף מידע ביומטרי מהעובדים. כמו כן, על המעסיקים לבחון האם ניתן להשיג את אותה מטרה בלי להשתמש במידע ביומטרי. בין הכלים שיכולים לתת מענה לצורך של אימות זהות בכניסה, למשל, ניתן למנות שימוש בסיסמאות ייחודיות, בכרטיסי עובד, ועוד – במקום סורקי טביעת אצבע ואמצעים ביומטריים אחרים.

כתבות נוספות בכסף >>

אילו אמצעים על המעסיק לשקול במטרה לצמצם את הסיכון באיסוף מידע ביומטרי?

כלים המחייבים שמירת מאגר מרוכז בידי המעסיק, מגבירים את הסיכון לדליפת מידע וכן את הנטל הרגולטורי הנדרש מכוח תקנות אבטחת מידע. לעומת זאת, שמירה של אמצעי הזיהוי באופן פרטני, למשל על גבי כרטיסי עובד, מכשיר הטלפון הנייד ועוד, צפויה להפחית את הסיכון לפרטיות. דרך נוספת לצמצם את הסיכון היא בשמירה של מידע מגובב בלבד )כלומר מידע הנשמר באופן מעורבל), באופן שלא ניתן להסיק ממנו (גם אם המידע דולף) את פרטי הזיהוי של העובד.

האם מעסיק חייב לקבל את הסכמת העובדים?

כן. השימוש במערכות הביומטריות צריך להיעשות רק לאחר קבלת הסכמה מפורשת ומודעת מצד העובד. כדי לקבל הסכמה מדעת, על המעסיק ליידע את העובדים בפרטים הנוגעים לשימוש במערכות הביומטריות ובכלל זאת בדבר מטרת השימוש, סוגי המידע שנאסף, השימושים שייעשו במידע, אופן שמירת המידע ואבטחתו בידי המעסיק, הגורמים שלהם תהיה גישה למידע, וכן משך שמירת המידע.

לפי עמדת הרשות להגנת הפרטיות, אם עובדים אינם מסכימים לאיסוף מידע ביומטרי, יש לאפשר להם חלופה אחרת. במצב כזה, עובדים המסכימים למסור את המידע הביומטרי שלהם משיקולים של נוחות למשל, יוכלו לעשות כן, ומי שמבקש להימנע ממסירת מידע כאמור, יוכל להמשיך ולהזדהות בדרכים אחרות.

ד
ד"ר אבישי קליין|צילום: נמרוד גליקמן

האם חובה על המעסיק לחזק את אמצעי אבטחת המידע?

בשל הסיכונים המשמעותיים במקרה של דליפת מידע ביומטרי, קיימת חובה לאמץ אמצעי אבטחת מידע מחמירים. בין היתר, רצוי שמידע ביומטרי שנשמר בארגון יהיה מופרד מסוגי מידע אחרים, מוגן באמצעי קידוד והצפנה ושהגישה אליו תהיה מוגבלת לגורמים הכרחיים בלבד. בכל מקרה, חשוב להעדיף פתרונות שבהם גם אם מידע ידלוף, יהיה קשה מאוד להתבסס על המידע שדלף לשם הסקת הזהות של בעל המידע.

האם מעסיק יכול לשתף מידע ביומטרי עם גורמים נוספים?

בעת ההתקשרות עם נותן שירות ביחס למערכות האוספות מידע ביומטרי על עובדים, חשוב להבטיח כי הספק לא יקבל גישה למידע הביומטרי של העובדים. אם גישה של הספק למידע הכרחית, יש לוודא, מעבר להסכמת העובד, כי הספק מפעיל אמצעי אבטחה ובקרת גישה מחמירים, ולוודא כי הספק אחראי מבחינה חוזית לנזקים שעשויים להיגרם בשל אירוע אבטחת מידע מכל סוג שהוא. לשם כך, מומלץ לקיים סקר סיכונים במטרה לוודא שהספק שנבחר עומד בכלל דרישות הפרטיות ואבטחת המידע כנדרש בחוק.

לסיכום, ההתקדמות הטכנולוגית שמאפשרת זיהוי ודאי של אדם על סמך מאפייניו הביומטריים, יכולה לתרום רבות גם בעולם העבודה. עם זאת, חובת המעסיק לשמור על פרטיות העובדים, כמו גם על חובות המתקיימות מכוח חוקים הקשורים בפרטיות, מחייבות התייחסות שונה לאיסוף מידע ביומטרי במקום העבודה. שימוש במידע כזה, גם אם הוא מאובטח כראוי, אינו אפשרי ללא הסכמה מפורשת של העובדים, ואין לחייב עובדים לבחור בפתרון הדורש מסירת מידע ביומטרי.

תנאים אלה עשויים להקשות מאוד על מעסיקים המבקשים להטמיע מערכות המבוססות מידע ביומטרי בעסק שלהם, אולם קיימים לקשיים אלה פתרונות.

ד"ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד עו"ד ברנע ג'פה לנדה