הזמנים הם זמנים מוזרים, מי מאיתנו שעוד הולכים לעבודה נתקלים בנהלים חדשים, בהם חיטוי ידיים, עבודה עם כפפות ומסכות וכן – אפילו מדידת חום בכניסה למקום העבודה. שאלה שעולה בימים אלו היא האם המאבק לשמירה על בריאות העובדים אינו פוגע בזכותם לפרטיות – מה מותר למעסיק לשאול אותנו, באילו צעדים מותר לו לנקוט ואיפה עובר הגבול? כל התשובות

האם ניתן לבקש מהעובדים והמבקרים בבית עסק למסור מידע ביחס לנסיעות שביצעו לאחרונה למדינות בחו"ל ומידע רפואי כגון הופעת תסמינים, חום וכדומה?

לאור חובתו של המעסיק לדאוג לבריאותם של עובדיו במקום העבודה ולקיים תנאי בטיחות וגיהות במקום העבודה, רשאי המעסיק לשאול עובדים ומבקרים האם שבו מחו"ל ומאיזו מדינה, או האם הם מגלים תסמינים למחלה. אולם, יש להקפיד על תשאול של מידע מינימלי הנדרש לצורך ההגנה על שאר העובדים והמבקרים במקום, ולא לשאול בפירוט על התסמינים או מידע נוסף שאינו חיוני למטרה זו. כמו כן, אין הצדקה לדרוש ממבקרים ועובדים למלא שאלון רפואי מפורט לעניין זה, אלא אם קיים צורך מיוחד (כגון אוכלוסייה פגיעה במיוחד, לדוגמה בבית אבות) ואין לדרוש הצהרת בריאות חתומה כתנאי לכניסה למשרדים. יודגש כי השימוש במידע יתאפשר רק למטרה שעבורה נאסף, כגון מניעת התפשטות הנגיף, הגנה על שאר העובדים והמבקרים וכו', ולא ניתן יהיה לעשות שימוש במידע זה למטרה אחרת. עוד יובהר כי רשות הגנת הפרטיות הודיעה כי יש לבחון אפשרות מחיקת המידע במועד המוקדם ביותר שבו המידע אינו נדרש עוד למטרה שלשמה נאסף.

האם רשאי מעביד למדוד לעובד חום או לבדוק אותו?

זהו צעד פוגעני מבחינת פרטיות העובדים, ודומה כי ניתן להגיע לאותה תוצאה של הרחקת עובדים שקיים חשש כי הם חולים ממקום העבודה באמצעות חיוב העובד למדוד בעצמו את החום ולהודיע אם אינו חש בטוב. יצויין כי רשות הגנת הפרטיות בישראל לא נתנה דעתה במפורש לנושא זה במסגרת מסמך מפורט שפרסמה ביום 23.3.20 לגבי היבטי פרטיות בעקבות נגיף הקורונה. מאידך, רשות הפרטיות הצרפתית קבעה במפורש כי על המעסיקים להימנע מאיסוף שיטתי וכוללני של מידע רפואי, ובכלל זה חיוב מדידת חום מכל עובד ומבקר על בסיס יומי.
שאלה זו קיבלה בישראל מענה אחר החל מהשעה 17:00 ביום, 25.3.20, עת נכנסו לתוקף תקנות שעת חירום (נגיף הקורונה החדש - הגבלת פעילות) (תיקון), התש"ף-2020, הקובעות כעת במפורש כי כל מעסיק אחראי להציב בכניסה למקום העבודה עמדה למדידת חום באמצעי לא פולשני שתמדוד את חומו של מי שנכנס למקום (עובדים, מבקרים, עובד בחצרי לקוח וכו'). לא תותר כניסת אדם שחומו יותר מ-38 מעלות. עם זאת, בשלב זה לאור חוסר במדי חום הודיע השר לביטחון פנים כי הוראה זו לא תיאכף עד שיהיה בארץ מלאי מספיק של מדי חום. לאור הוראה זו, על המעסיקים להימנע ככל הניתן משמירת המידע בדבר חום גופם של העובדים, ולשמור רק מידע רלבנטי ביחס לעובד שחומו עלה על 38 מעלות ונשלח לביתו. יש להקפיד על מניעת הגישה למידע למי שאינו נדרש לכך וכאמור, מחיקת המידע בהקדם האפשרי.

מה רמת האבטחה שיש להחיל ביחס למידע על עובדים חולים או נגועים?

מידע לפיו אדם חזר מאזור מסוים או נמצא בבידוד, יהווה מידע אישי אך לא מידע רפואי. מידע אישי שמעסיק אוסף בקשר עם הדבקות בנגיף הוא מידע רפואי רגיש, אשר מסווג ברמת אבטחה בינונית, לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. אולם, כל עוד מאגר המידע של המעסיק עונה על הקריטריונים בסעיף 2 לתוספת הראשונה לתקנות, יסווג המאגר בכללותו ברמת אבטחה בסיסית, על כל המשתמע מכך. ככל שביחס לעובד האמור קיים אצל המעסיק גם מידע על צנעת חייו האישיים של העובד, בקשר עם הנגיף (כדוגמת מקומות בהם ביקר או שהה), עשוי סיווג המידע להיוותר ברמת אבטחה בינונית. יצויין כי רשות הגנת הפרטיות הבהירה כי הגם שמצב החירום מחייב את הגופים השונים לפעול במהירות, אין במצב החירום כדי להצדיק אי עמידה בהוראות הדין הרלבנטיות לעניין אבטחת מידע.

פרטיות במקום העבודה (צילום: By Dafna A.meron, shutterstock)
איך שומרים על פרטיות העובד ואבטחת מידע בעבודה מרחוק?|צילום: By Dafna A.meron, shutterstock

כיצד מאזנים במקום העבודה בין חובת הפרטיות כלפי עובד השוהה בידוד ביתי או החולה בנגיף לבין הצורך למנוע את התפשטות המחלה?

כאשר העובד מצוי בבידוד מבלי שאובחן כנשא או חולה, רשאי המעסיק לגלות לשאר העובדים מידע נדרש בלבד וככל הניתן לא ספציפי ומפורט. על פי העקרון האמור, מותר לגלות מידע על העובד, כגון: שב מחו"ל ולכן מחויב בידוד בית של 14 יום; נמצא בבידוד בית (ללא ציון הסיבה כאשר הבידוד נובע מטעם של המצאות במקום כלשהו בישראל שבו היה חולה מאובחן); נעדר עקב בידוד של בן משפחה; וכדומה.
כאשר קיים חשש כי עובד נדבק בנגיף, רשאי המעביד לגלות לשאר העובדים רק את המידע המינימלי הרלבנטי בנסיבות והנדרש כדי ליידע אותם בדבר היותו של העובד חולה או נשא, אך יש לשקול את רמת הפירוט, ובפרט, להימנע ככל הניתן מחשיפת שם העובד ומידע אישי ופרטי אודות העובד. בין היתר, יש לשקול אם ניתן להשיג אותה מטרה של מניעת התפשטות הנגיף בעזרת גילוי מצומצם יותר של מידע, כגון ציון שעובד בקומה כלשהי חלה ומבקשים מכל מי שעובד בקומה להיכנס לבידוד בית.
רשות הפרטיות מבהירה במסמך מיום 23.3.20 כי, ככל שחשיפת שם העובד נדרשת כדי להתריע בפני אנשים אשר באו עימו במגע, היא תותר בהתאם להגנות שבסעיף 18 לחוק הגנת הפרטיות, כל עוד תעשה בתום לב ורק לגורמים הרלבנטיים שהיו בקשר עם העובד ולא לכלל הציבור. ככל שפרסום נקודתי אינו אפשרי, מעסיקים יהיו רשאים לפרסם א המידע במעגלי דיווח רחבים יותר. באיחוד האירופי נקבע כי מקום בו קיים הכרח לפרסם את שם העובד שנדבק בנגיף למטרות מניעת הדבקה נוספת, יש להודיע על כך לעובד הנוגע בדבר מראש וחובה להגן על כבודו.

האם מותר לשתף מידע על אנשים שנדבקו בנגיף עם אחרים?

ככלל, מלבד חובות דיווח לרשויות הבריאות, מידע בדבר היותו של אדם בבידוד, חולה או נשא של הנגיף הוא מידע אישי רגיש, המוגן לפי דיני הפרטיות, שאין לחשוף אותו לאחרים. ככל הנראה, בנסיבות החריגות של נגיף הקורונה, שהוכרז על ידי ארגון הבריאות העולמי כמגיפה עולמית, ניתן יהיה להתבסס על ההגנה שבסעיף 18(2)(ב) לחוק הגנת הפרטיות, כדי להכשיר מסירת מידע בעניין הדבקות בנגיף בנסיבות ספציפיות בהן המידע חיוני להצלת חיים - "הפגיעה נעשתה בנסיבות שבהן הייתה מוטלת על הפוגע חובה חוקית, מוסרית, חברתית או מקצועית לעשותה". יובהר כי במסמך הרשות מיום 23.3 מדגישה הרשות כי הגנה זו ניתן להפעיל בדיעבד ולא מלכתחילה, ורק כל עוד שוררת שעת החירום. עוד מבהירה הרשות כי משמעות הדבר היא שבנסיבות מסויימות, כגון מצב החירום הנוכחי, פגיעה בפרטיות עשויה להיחשב מוצדקת וככזו היא תהיה מוגנת מבחינת הוראות הדין.
סביר להניח ששיתופי מידע יבחנו על ידי הרשויות ובתי המשפט, בהתאם למצב החירום והאינטרס הציבורי במניעת התפשטות המחלה. רשות הפרטיות בישראל הודיעה כי בנסיבות החירום הנוכחיות העברת מידע בגין גופים ציבוריים נדרשת באופן מהיר לצורך הגנה על אינטרסים ציבוריים ראויים ותבחן בראיה מקלה. ממשלת איטליה פרסמה צו המקים מסגרת משפטית מיוחדת לאיסוף ולשיתוף מידע אישי רפואי בקשר עם נגיף הקורונה בין גופי בריאות ציבוריים וחברות פרטיות שהן חלק ממערכות הבריאות, למשך תקופת צו החירום. לולא צו זה, שיתוף המידע על פי דיני הפרטיות לא היה מתאפשר. רשות הפרטיות הבריטית הודיעה כי תפעל באופן מקל בפעולות האכיפה שלה בעת הזו בשים לב לנסיבות שנוצרו.

מהן זכויות האנשים שמידע עליהם נאסף בתקופת החירום?

ככלל, על פי חוק הגנת הפרטיות לאנשים עליהם נאסף מידע יש זכות לעיין במידע שנאגר עליהם בתוך פרק זמן קצוב, ולבקש את מחיקתו או תיקונו אם מתברר כי המידע אינו שלם, מדוייק או מעודכן. רשות הגנת הפרטיות הודיעה כי על הגופים האוספים מידע כחלק מפעילות למניעת התפשטות נגיף הקורונה להיערך על מנת לקיים את הוראות החוק ביחס לזכויות נשואי המידע. עם זאת, הרשות מבהירה כי ככל שקיים קושי לעמוד במועדים למתן זכות העיון לאור מצב החירום, הרשות תתחשב בכך.

האם יש הנחיות פרטניות שחלות על חברות ישראליות הפועלות גם באירופה או יש להן סניפים באירופה וחל עליהם ה-GDPR?

מספר רשויות פרטיות אירופאיות פרסמו הנחיות בנושא במדינות שלהן, לא כולן אחידות אך הבסיס שלהן זהה - איזון בין הטיפול במצב החירום ובלימת ההתפשטות של הנגיף לבין הגנת הפרטיות. רוב ההנחיות כוללות הוראות פרטניות ביחס לאיסוף מידע אישי ורפואי על ידי מעביד במקום העבודה.
בימים אלה, פרסמה מועצת הגנת המידע האירופאי (EDBP) מסמך הנחיות לפיו, דיני הגנת המידע, כגון ה- GDPR, אינם מונעים נקיטת אמצעים מודרניים למלחמה במגיפה, אולם גם בזמנים חריגים אלה, יש להבטיח את הגנת המידע האישי, ובכלל זה עיבוד המידע רק למטרות מוגדרות וספציפיות, שקיפות ביחס לפעולות עיבוד המידע האישי ואבטחת המידע. מצב חירום מתיר באופן לגיטימי פגיעה בחירות ובלבד שהפגיעה היא מידתית ומוגבלת לתקופת החירום.
עוד קובע המסמך כי שימוש בנתוני מיקום של חולים או נשאים למטרת מניעת התפשטות הנגיף עשוי להתאפשר במדינות האיחוד, בחקיקה ספציפית, ובלבד שעיבוד נתוני המעקב יהיה כפוף לאמצעי הגנה ובקרה מוגברים, ובכלל זה החלת כללי מידתיות בהקשר למשך והיקף עיבוד המידע, שמירת המידע לזמן מוגבל ביותר והגבלת השימושים.

עו
עו"ד דלית בן ישראל|צילום: עמי ארליך

היבטי אבטחת מידע והמשכיות עסקית בעבודה מרחוק

לאור כמות העובדים הנמצאים בבידוד בית, ונוכח המדיניות הצפויה לפיה עובדים רבים יעבדו מהבית, על בתי העסק והחברות לשים לב ביתר שאת לרמת אבטחת המידע בארגון ולגלות ערנות לאירועי סייבר, אשר הסיכונים להתרחשותם יגדלו באופן טבעי ככל שיגדל היקף העבודה מרחוק. מומלץ לארגונים לקיים תרגילי המשכיות עסקית וחיבור מרחוק של כמות עובדים המדמה עבודה מלאה מרחוק, כדי לבחון ולתקן במידת הצורך, מבעוד מועד, את השרידות ואת יכולת ההמשכיות העסקית של הארגון. כמו כן, מוצע לתרגל טיפול באירועי אבטחת מידע ולוודא שצוות התגובה מוכן לפעולה, במידת הצורך.
מערך הסייבר הלאומי הפיץ מסמך המלצות לארגונים ולציבור הכולל הנחיות מורחבות להגנה על ממשקי העבודה מרחוק, על מנת לצמצם את סיכוני הסייבר. במסמך נקבע כי בעת מתן אישור עבודה מרחוק חשוב לבצע הדרכת מודעות קצרה לעובדים, לרבות נעילת המכשיר, הגדרת נעילה אוטומטית וניתוק בסיום השימוש. גם רשות הגנת הפרטיות הפיצה לאחרונה מסמך עם מידע ודגשים בהתנהלות הטכנולוגית לאור הצורך בעבודה מרחוק ומדגישה כי על גופים, כגון מקומות עבודה ומוסדות חינוך, אשר עברו למודל של למידה או עבודה מרחוק, להקפיד על ביצוע הפעולות הנדרשות לשם אבטחת המידע של המשתמשים במערכות הממוחשבות שלהם. בהתאם, על הגופים השונים לוודא שהם עומדים בהוראות תקנות הגנת הפרטיות (אבטחת המידע), התשע"ז-2017. כמו כן, מזכירה הרשות כי יש סיכון רב בהעברת מידע ארגוני, בוודאי מידע חסוי או רגיש, ברשתות חברתיות, במערכות למסרים מידיים או במייל פרטי, ובדרך כלל העברה כזו של מידע אישי על תשתית פומבית אסורה.
הכותבת היא עו"ד דלית בן-ישראל, שותפה, ראש תחום IT ופרטיות במשרד נשיץ ברנדס אמיר ושות'