הרשות להגנת הפרטיות פרסמה ביום 28 בפברואר 2024 מסמך מדיניות המיועד לארגונים פרטיים וציבוריים ששוקלים להשתמש או משתמשים בטכנולוגיות לזיהוי ביומטרי של עובדיהם. המסמך כולל סקירה משפטית, וכן הנחיות והמלצות לארגונים ולמעסיקים.
המסמך מתייחס לשימוש ההולך וגובר של מעסיקים במידע ביומטרי, כמו טביעות אצבע ותווי פנים, כדי לעקוב ולנהל את נוכחות עובדיהם. המסמך מעדכן את עמדת הרשות בנושא זה, שהתפרסמה בשנת 2012.
השימוש במידע ביומטרי למעקב אחר נוכחות עובדים מעורר חששות שונים בנוגע לפרטיות העובדים, כגון: שימוש לא מורשה בנתונים שנאספו, גניבה או חשיפה של המידע, בעיות הנוגעות להסכמה ועוד. איזון בין היתרונות של טכנולוגיה ביומטרית להגנה על פרטיות הפרט מצריך שיקול דעת ועמידה בסטנדרטים אתיים ומשפטיים.
על פי המסמך, העקרונות המרכזיים שעל מעסיקים לשקול בעת שימוש במערכות ביומטריות לבקרה ולפיקוח נוכחות בעבודה הם:
1. מידתיות - הבחירה בשימוש במערכות ביומטריות לבקרת נוכחות עובדים צריכה להיות מוצדקת ומתחשבת, בין היתר, בקיומן של חלופות אפשריות הפוגעות פחות בפרטיות העובדים, כגון: שימוש בכרטיס עובד ללא שימוש במידע ביומטרי; התקנת מצלמות לשימוש במקרי חשד בלבד; שמירת המידע הביומטרי על גבי כרטיסים חכמים בלבד; העמדת המערכות הביומטריות רק לשימושם של עובדים שיסכימו לכך, תוך העמדת חלופה סבירה למי שלא יסכימו.
2. יידוע העובדים - על מעסיקים ליידע את עובדיהם, בשפה ברורה ופשוטה, על איסוף המידע הביומטרי והשימוש בו. במסגרת היידוע חשוב להתייחס להיבטים הבאים: מטרות איסוף המידע הביומטרי, זהות הגורם האחראי על המאגר בו נשמר המידע ומורשי הגישה אליו, אופן אבטחת המידע, הסכנות האפשריות של איסוף ושמירת המידע וזכויות העובד בדבר עיון ותיקון המידע.
3. הסכמת העובד - ככל שאין הסמכה חוקית, אסור לחייב עובדים למסור מידע ביומטרי לצרכי בקרת נוכחות או פיקוח על שעות עבודתם. איסוף ושימוש במידע ביומטרי חייב להיעשות אך ורק בהסכמת העובד. בנסיבות בהן השימוש במערכות ביומטריות לבקרת נוכחות נעשה באופן מידתי, רשאי מעסיק לדרוש מעובד כי יסכים לאיסוף המידע הביומטרי, וסירובו עלול להיות בעל השלכות על יחסי העבודה בין הצדדים. ואולם, אם לא ניתנה הסכמת העובד, על מעסיקו להימנע מלאסוף עליו מידע אישי באמצעות מערכות אלו.
4. עיקרון צמידות המטרה - על מעסיקים להימנע מלאסוף מידע ביומטרי של עובדים מעבר לנדרש לצורך המטרה שלשמה הסכים העובד.
5. צמצום ומחיקת מידע - נוכח רגישותו של המידע הביומטרי, על מעסיקים לבחון את נחיצות שמירתו של מידע ביומטרי המוחזק על ידיהם. כאשר המידע אינו נחוץ עוד למעסיק, עליו לפעול לצמצום המידע, לרבות מחיקתו.
הרשות הבהירה שהמסמך אינו מבקש לאסור את השימוש בטכנולוגיות לזיהוי ביומטרי של עובדים למטרות של רישום נוכחות ומעקב אחר שעות עבודה, אלא להבטיח כי הוא ייעשה תוך מתן התייחסות הולמת לפרטיותם של העובדים. תוקף המסמך מיום פרסומו.
לעיון במסמך המדיניות - לחצו כאן
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר