מדריך למעסיקים: מידע רפואי של עובדים והגנת הפרטיות
אני מבקש להציג בפניכם את הנחיות אחת מרשויות הגנת הפרטיות החזקות והפעילות ביותר באירופה, ה-ICO הבריטית (אוקטובר 2022) שעוסקות בהתנהלות מעסיקים ביחס למידע רפואי (רגיש) של עובדיהם וכיצד מתנהלים ביחס אליו.
בפועל, המלצות אלו מתאימות וישימות (במידה משתנה) גם לדין הישראלי ולכן חשבתי שחשוב שאכיר לכם אותן, במיוחד אם אתם מעסיקים עובדים.
שימו לב שזה מדריך בשלושה חלקים בשל אורכו. את יתר חלקיו ניתן למצוא כאן את החלק השני של מדריך המעסיקים לפרטיות וכאן את חלקו השלישי של המדריך (יועלו בקרוב).
מתי וכיצד לעבד מידע (רגיש) על בריאות העובדים?
מידע רפואי הוא מידע מאוד רגיש. זו נקודת המוצא ולכן יש להקפיד על עקרון הגנת הפרטיות ביחס אליו. ה"עובדים" אליהם אתייחס במסמך זה כוללים גם קבלנים ומתנדבים.
עיבוד של מידע רגיש נדרש ומתבצע במספר לא מבוטל של מקרים. למשל: שאלון לאיתור בעיות בריאות, דיווח וטפסי חופשת מחלה, מידע רלוונטי על מוגבלות לשם בחינת ההתאמה לדרישות המשרה או התאמה של מקום העבודה למצבו של העובד, בדיקות ומניעת חשיפה לחומרים מסוכנים, סמים או אלכוהול (כנדרש), בדיקת כושר גופני המשרה וכדומה.
מידע העוסק בבריאות הוא מידע אישי שנמצא בקטגוריה רגישה במיוחד. כלומר – אין איסור על איסוף ועיבוד שלו אולם צריך לעשות זאת בזהירות והקפדה יתרה. כך למשל:
- צריך להיות ברור וגלוי על עצם האיסוף.
- על האיסוף להתבצע רק למטרות מתאימות ולגיטימיות.
- את המטרות הללו יש לפרט במסמכים הרלוונטיים ולהציגן בפני העובד נשוא המידע, על מנת שיסכים להן.
- אין להשתמש במידע למטרות אחרות אלא אם מתקבלת הסכמה ספציפית או שהמטרה החדשה תואמת לישנה.
- צריך לכבד מראש את הפרטיות ולהזהר מאוד בפעולות. כך למשל, אם אפשר לבצע פעולה פוגענית פחות שתצמצם את הירידה למידע רפואי רגיש – עדיף.
- צריך שעיבוד המידע יבוצע רק בדרכים הוגנות וצפויות, תוך דגש על מסירתו בצורה ברורה וקלה להבנה והקפדה על השקיפות.
- יש לתעד את כל תהליך האיסוף והשימוש ולהיות יכולים להוכיח שביצעתם את כל מה שנדרש מכם.
הערכת סיכוני הגנת הפרטיות במידע ובעיבוד שלו
אמנם בדין הישראלי (בניגוד לבריטי) עדיין (2022) אין חובה גורפת לבצע הערכה שכזו (DPIA), אבל זו היא פרקטיקה מומלצת (גם על ידי רשות הגנת הפרטיות הישראלית וגם על ידי. פשוט כי הדבר יסייע לכם בהמשך לעמוד בדרישות החוק). יש לזכור שזו היא משימה טכנולוגית ששלובה
האחריות למידע
עקרון האחריות הארגונית הוא חלק בלתי נפרד מפרשנות הגנת הפרטיות המודרנית. משמעות הכלל היא פשוטה. על הארגון ועל מנהליו לוודא שהפרטיות מוגנת. כך למשל:
- יש למנות אחראי פרטיות (גם אם מינויו אינו מחוייב בדין, הדבר ישפר את מעמדו של הארגון בשוטף ובמקרי תקלה).
- אותו אחראי צריך להיות מעורב לכל אורך שדרת הארגון ומוצריו, ולהביע את עמדתו ללא חשש או סנקציה גם אם יביע דיעה שמפריעה ליתר ראשי המחלקות.
- יש לשקול בכל שלב גם את שיקולי הגנת הפרטיות הרלוונטיים (PRIVACY BY DESIGN) ולצמצם את הסכנה לכך באמצעות צמצום המידע והקטנת החשיפה והסיכון.
- יש לבצע מיפוי מלא של מערכות הארגון (לפי תקנות האבטחה הישראליות) ושל המידע האישי המוחזק בארגון (לפי הרגולציה האירופית והנחיות רשות הגנת הפרטיות הישראלית).
- יש לבצע גם תיעוד מלא של כל החלטה, השיקולים שנשקלו בה והתוצאה שהתקבלה. בהעדר תיעוד מלא, כל תקלה תפורש לרעת הארגון. וחבל. על התעוד להיות ברור ומקיף מספיק כדי להוכיח התאמת הארגון לדישות החוק.
- אי אפשר להסיר מעל כתפי הארגון את האחריות בהעברת העבודה לספק. האחריות על כל מעשי הספק – מוטלת על הארגון, ועל הארגון לדאוג שהמערך החוזי שלו מול הספקים יבטא חובה זו או שבמקרי תקלה, האחריות המלאה תיפול על כתפיו למרות שלא הוא ביצע את התקלה.
איך מעבדים מידע פרטי רגיש כדין
ראשית יש לזהות בסיס חוקי מתאים (בארץ הבסיס העיקרי הוא הסכמה, אך לא רק). במיוחד כשמדובר במידע רגיש וכן עמידה בתנאים המיוחדים שנקבעו לצורך מידע כזה ב-GDPR.
בהתאם, אין לבצע דבר מה שאינו חוקי במידע.
על מנת להקל עליכם, אסיים גם כאן במסקנות המאמר: אין ספק שמעסיקים באים לכדי שימוש במידע אישי של עובדים, חלקו עשוי להיות רגיש.
אנא:
- וודאו שאתם מבינים את כל פרטי המידע השונים אליהם אתם נחשפים ושאתם מבינים את רגישותם.
- וודאו שקיבלתם החלטה מיודעת ומכוונת, בליווי ייעוץ מקצועי, כיצד עליכם לעבד ולהתייחס לכל פרט מידע כזה.
- וודאו שאתם פועלים בהתאם לייעוץ שקיבלתם.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.