מדריך למעסיקים: מידע רפואי של עובדים והגנת הפרטיות (חלק 3)
זה הוא חלקו השלישי והאחרון של המאמר העוסק בהתנהלות מעסיקים אל מול מידע רפואי רגיש של עובדים שמגיע לידיהם. את חלקו הראשון ניתן למצוא כאן ואת חלקו השני של המדריך ניתן למצוא כאן:
כמה זמן יש/ניתן לשמור את המידע?
הכלל פשוט: המינימום ההכרחי בהתחשב בהגשמת המטרות לשמן נאסף.
מבחינה משפטית, הסטנדרט של "אני לא מוחק מידע" – עבר מן העולם. חובה עליכם למחוק את המידע ברגע שכל המטרות והבסיסים הלגיטימיים לאיסוף ולעיבוד שלו הסתיימו.
חובה עליכם גם לערוך ולתעד את נהלי שמירת המידע שלכם ומחיקתו, כמו גם לבחון אותם מפעם לפעם.
שימו לב שמחיקה אינה הפתרון היחיד. כך למשל גם אנונימיזציה (מלאה ככל האפשר) של המידע תקל מעט על החובות המוטלות עליכם, אם כי לא תחליף לגמרי מחיקה.
לדוגמה, נניח שאתם זקוקים למידע רפואי לסייע לעובדיכם בעלי המוגבלויות. כשההעסקה הסתיימה, אינכם זקוקים עוד למידע וחובה עליכם למחוק אותו (במידה רבה גם לפי הדין הישראלי).
איך לשמור על המידע עדכני?
עדכנותו של המידע היא חובה שקבועה בדין האירופי (בישראל בתחילת 2023 עדיין לא). לכן אזכיר נקודה זו אך לא ארחיב בה.
עם זאת, כמובן שזה אינטרס עסקי שלכם, שהמידע שמוחזק בידיכם יהיה נכון ועדכני, אז לשיקולכם.
איך ישמר המידע מאובטח?
זו היא שאלה טכנולוגית שארשה לעצמי לא להרחיב בה. כך או אחרת – חובתכם להקפיד עליה. בישראל למשל משמעות הדבר היא להפעיל מערכת התואמת לדרישות תקנות הגנת הפרטיות (אבטחת מידע), להצפין את המידע, להגביל גישה אליו, להדריך את העובדים, להתאים את ההתקשרויות שלכם עם הספקים לחובותיכם שלכם וכדומה.
איך ראוי לטפל בתיעוד פציעות ומחלות של עובדים?
יש מספר רישומים בתיק העובד שיכול ויכללו מידע רפואי רגיש. למשל: תיעוד ימי מחלה, תיעוד העדרויות העובד, תיעוד פציעות וכדומה.
ככלל, אין איסור על איסוף ותיעוד של נתונים כאלו על העובדים. הרי זה הוא חלק ממכלול יחסי ההעסקה והם הכרחיים לצורך מטרה זו, כמו גם לצורך הגנה על בריאות העובד. אלו הן מטרות לגיטימיות.
אלא שיש לוודא שהנתונים הנאספים משמשים אך ורק לצורך המטרות הלגיטימיות ולא למטרה זרה אחרת (במיוחד כזו שהעובד לא יצפה לה, אינה מפורשת דיה ולא התקבלה ביחס אליה הסכמה ברורה).
הבסיס החוקי לאיסוף מידע זה בדרך כלל הוא הסכמה (וזה הוא בסיס תקין, הן בארץ והן בחו"ל). אלא שחשוב לשים שהסכמה של העובד כשהיא לבדה, לא בהכרח תחשב כמספקת וראו הפרק המתאים למעלה.
בנוסף, יש לבחון היטב גם את טווח ההרשאות לאותם נתונים. מי רשאי לגשת אליהם, לאילו מטרות ובאילו סיבות, האם (טכנולוגית) הגישה אל המידע מוגבלת רק למי שזקוק לו ורק למידע לו הוא זקוק, וכדומה – הגבלות שמטרתן הגנה על מידע רגיש שכזה.
לגבי תיעוד מחלה, פתרון מומלץ (מבחינת הגנת הפרטיות) יהיה להמנע מתיעוד הנתונים הרפואיים ככל הניתן והתמקדות בעצם ההעדרות.
דוגמה שהרשות האנגלית מציגה כדוגמה לשימוש שאינו עולה עם הדין היא יצירת "טבלה" שתשקף מי הם העובדים שנעדרו מספר הימים הרב יותר לעומת אלו שמעולם אינם חולים. קל וחומר שפרסום פומבי של כזו טבלה יהיה בעייתי. זה הוא שימוש (קובעת ה-ICO) שהעובד אינו מצפה לו ואינו ראוי.
מנגד, פרסום סך כל ימי ההעדרות של העובדים בכל מחלקה הוא שימוש סביר וראוי (בעיקר בגלל השימוש בו למטרה ראויה וטשטוש המידע האישי תוך הפיכתו לסטטיסטי. עם זאת שימו לב, פרסום פרטי מחלקה בה יש עובד אחד או שניים – אינו מטשטש מספיק).
כמובן שגם הטיפול הטכני בנתונים חשוב. למשל שמירתם של הנתונים הרגישים (המצב הרפואי) במקום נפרד ושונה מיתר הנתונים ותחת אמצעי אבטחה ובידוד משמעותיים יותר. ההכבדה על שילובם האחד עם השני הוא צעד חשוב במסגרת ההגנה על הפרטיות. צרו 2 רשימות, האחת עוסקת בהעדרויות בלבד, והשניה כוללת את המצב הרפואי. וודאו שהרשומות נפרדות כך שמי שנדרש לעסוק בהעדרויות העובד, אינו נחשף בהכרח למצבו הרפואי.
כך גם הגבלת הגישה למידע המלא או הרגיש היא צעד חשוב. למשל הקניית הרשאות מתאימות למנהלים לראות רק מידע שחשוב להם ורק ביחס לעובדיהם שלהם בלבד.
כמובן שאל תחלקו את המידע הרגיש עם ספקים וצדדים שלישיים, אלא כאשר אתם מחוייבים בחוק לעשות זאת או שאתם מחוייבים בחוזה והעובד נתן הסכמתו לכך.
עיבדו מול אנשי הטכנולוגיה ועורכי הדין שלכם, צרו נהלים שיגנו על פרטיות העובדים, בקשו מעורכי דינכם להעלות אותם על הכתב כמדיניות פרטיות ולאחר מכן צרפו את אותה מדיניות להסכם ההעסקה של כל עובד חדש, תנו לו לקרוא אותה וודאו שהוא מאשר כי הוא קרא ומבין אותה.
לכן יצירת מדיניות (כמו גם הדרכה שוטפת) המסבירים למנהלים וליתר העובדים את החשיבות בשמירת הפרטיות ומוודאת את העמידה בנהלי המעסיק היא צעד חשוב.
כמובן שיש עוד רכיבים רבים שצריך להתייחס אליהם אולם הם משתצנים ממקום העסקה אחד למשנהו, ולכן במאמר זה לא אתייחס אליהם. מומלץ שככל שתתקלו בעניינים רלוונטיים, וודאו שאתם יודעים מה מותר לכם לעשות וכיצד רצוי שתמנעו מהפרת הפרטיות.
לסיכום: אין ספק שמעסיקים באים לכדי שימוש במידע אישי של עובדים, חלקו עשוי להיות רגיש.
אנא:
- וודאו שאתם מבינים את כל פרטי המידע השונים אליהם אתם נחשפים ושאתם מבינים את רגישותם.
- וודאו שקיבלתם החלטה מיודעת ומכוונת, בליווי ייעוץ מקצועי, כיצד עליכם לעבד ולהתייחס לכל פרט מידע כזה.
- וודאו שאתם פועלים בהתאם לייעוץ שקיבלתם.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.