מדריך למעסיקים: מידע רפואי של עובדים והגנת הפרטיות (חלק 2)

זה הוא חלקו השני של המאמר העוסק בהתנהלות מעסיקים אל מול מידע רפואי רגיש של עובדים שמגיע לידיהם. את חלקו הראשון ניתן למצוא כאן ואת חלקו השלישי ניתן למצוא כאן (כשיעלה). נמשיך היכן שהפסקנו:

איזה בסיס חוקי יתאים לעיבוד מידע כזה?

• ביצועו של חוזה: יתכן שהמידע נדרש לשם ביצוע חוזה העסקה.
• קיומה של חובה חוקית: אולי מכוח פקודת הבטיחות בעבודה או דיני עבודה אחרים.
• קיומו של אינטרס לגיטימי (של העובד או של צד שלישי): למשל היכרות עם מגבלות העובדת על מנת להפוך את סביבת העבודה לנגישה יותר עבורה.
• הסכמה: מיד אסביר.

בארץ כיום (תחילת 2023) קיימים שני בסיסים עיקריים: הסכמה או חובה חוקית מפורשת. לאור הצעות חוק שעל הפרק ונושאים הנדונים אצל הרגולטור, יתכן שאלו יורחבו.

הסכמת העובד.ת

הסכמה היא אחד מהבסיסים החוקיים לעיבוד (למשמעותה המקיפה בדין האירופי ראו למשל כאן – https://gdpr-info.eu/issues/consent/ ותוכלו לקרוא גם כאן, במאמר שלי אודות "מה זאת הסכמה"?).

כלומר, הסטנדרט להסכמה גבוה. על אוסף המידע להציג מידע מספק, מקיף וברור שיאפשר גיבוש הסכמה מיודעת וחופשית מלחץ. לאחר מכן יש לאפשר לנשוא המידע לבטא אותה באופן שאינו משתמע לשתי פנים בתהליך שנקרא OPT-IN.

בגלל עמדת הכוח של המעסיק, הסכמת העובדים עלולה להחשב ככזו שניתנה תחת לחץ ולכן אינה חופשית. בכך נשלל הבסיס חוקי הנדרש. נקודת המוצא היא שהסכמה לא תהיה תמיד פסולה גם במקרה של עובד ומעסיק. עם זאת, הנטל על המעסיק להוכיח הסכמה חופשית, למשל – כזו שלא יהיו לה תוצאות שליליות אם יסרב העובד.

גם רשות הגנת הפרטיות הישראלית בנייר עמדה שלה התייחסה בזהירות לשאלת חופשיות ההסכמה של העובדים למעסיקם, אם כי לא פסלה אותה אלא רק הבהירה שיש לנקוט במשנה זהירות.

דוגמה: חברה מחייבת את עובדי המחסן ללבוש מכשיר המנטר את תנועותיהם במסגרת מקום וזמן העבודה. המטרה: ניהול זמן ומלאי נכונים. המעסיק שקל אלטרנטיבות פחות פוגעות אך קבע שהן אינן מספקות. אלא שמסתבר שהמכשיר גם מודד דופק והמעסיק מבקש את הסכמת עובדיה למדידה זו לשם מדידת כושרם הגופני.

איזו הודעה יש לתת לעובדים

על ההודעה להיות הוגנת ושקופה. עליה לפרט ולהסביר איזה מידע נאסף (ולפרט את פרטיו ו/או סוגיהם), מדוע הוא נאסף  (מה הן מטרות האיסוף), כיצד יעשה בו שימוש ולאילו פעולות, מי יעשה בו שימוש, מי יחשף אליו ובאילו נסיבות, כיצד יכול נשוא המידע לשנותו או למחוק אותו וכדומה.

את ההודעה הזו אפשר למסור לעובדים בהודעת הפרטיות שתמסר לכל אחד מהם או תצורף (תקרא ותחתם יחד עם) הסכם ההעסקה, במדיניות כללית שתפורסם בספר הנהלים, בהודעת דוא"ל שקבלתה וקריאתה אושרה בידי העובד וכדומה.

תנאי עיבוד מידע רגיש במיוחד

ביחס למידע רגיש (כמו מידע רפואי או גנטי) הרגולציה האירופית מחילה דרישות נוספות ("קטגוריות רלוונטיות"). עליכם כמובן לוודא שגם הם מתקיימים. ברץ קטגוריות אלו עדיין אינן חלות בעת כתיבת מאמר זה, אולם גם כך מומלץ להעזר בהם לשם הזהירות והוודאות.

לשם כך ראו את סעיף 9 ל-GDPR.

הגבלת ומזעור המידע הנאסף

כמובן שיש לאסוף רק את פריטי המידע הנדרשים והכרחיים לצורך ביצוע המטרה. צמצום המידע הוא הכרח ויש לאסוף כמה שפחות מידע ככל הניתן. היקף המידע הנדרש והלגיטימי, ישתנה לפי העובדות והנסיבות.

לדוגמה אם העובד עונה על שאלון, חשוב שאותו שאלון ינוסח על ידי איש מקצוע שיודע בדיוק מה רלוונטי ומה לא (וגם יבדק על ידי איש מקצוע שיבין אותו נכון ובצורה עניינית). כך גם אישור מחלה צריך שיהיה בהיקף הנדרש בלבד. לכן למשל רופאים רבים פשוט מציינים את חוסר היכולת לעבוד ואת התקופה הרלוונטית תוך הפניה לתיק הרפואי מבלי למסור פרטים נוספים.

הגבלת המידע יכולה להיות רלוונטית למשל במצב בו נדרש מידע רפואי ספציפי. במצב כזה אין לדרוש מהעובד לחתום על טופס "וס"ר" (ויתור סודיות רפואית) כללי אלא להגבילו במידע הרלוונטי.

כך גם אין לאסוף מידע רפואי רק במטרה שאולי בעתיד תהיה לו משמעות. למשל, אם אוספים מידע על סוגי הדם של העובדים לשימוש במקרי תקלות ותאונות, אין לאסוף מידע על עובדים שלא חשופים לתקלות וסכנות כאלו רק כדי שאולי בעתיד יהיה בו צורך.

על מנת להקל עליכם, אסיים גם כאן במסקנות המאמר: אין ספק שמעסיקים באים לכדי שימוש במידע אישי של עובדים, חלקו עשוי להיות רגיש.

אנא:

1. וודאו שאתם מבינים את כל פרטי המידע השונים אליהם אתם נחשפים ושאתם מבינים את רגישותם.
2. וודאו שקיבלתם החלטה מיודעת ומכוונת, בליווי ייעוץ מקצועי, כיצד עליכם לעבד ולהתייחס לכל פרט מידע כזה.
3. וודאו שאתם פועלים בהתאם לייעוץ שקיבלתם. (אל תסמכו על הכתוב באינטרנט, גם לא באתר שלי. גשו לייעוץ ספציפי).