מעסיק ופרטיות העובד

6 המלצות לעניין פרטיות ומידע רפואי בידי מעסיק

יורם ליכטנשטיין עורך דין 11.12.2022 עודכן ב-10.09.2023

טופס ויתור סודיות רפואית הוא מסמך המוכר כמעט לכל מחפש עבודה ובוודאי לכל מעסיק. אלא שמרבית המעסיקים והעובדים אינם שוקלים בדעתם את מידת הפגיעה שיש בטופס כזה ביחס לזכות לפרטיות של מועסק פוטנציאלי (ולמעשה גם לא של מועסק בפועל).

רשות הגנת הפרטיות פרסמה בנובמבר 2022 חוות דעת המתריעה בדבר הפגיעה בפרטיותם של מועמדים פוטנציאליים בעקבות שימוש בטפסי ויתור סודיות רפואית (וס"ר) ובהתאם הינחתה מעסיקים כיצד עליהם להתייחס למסמך כזה ולמידע האישי שנאסף ושנאגר בעקבותיו.

מאמר זה הינו תקציר ואינו מחליף את קריאת עמדת הרשות במלואה. הוא אינו מחליף יעוץ משפטי ויתכן שהאמור בו לא יתאים לנושא ספציפי, יהיה חסר או אם לא יהיה נכון. אנא גשו והתייעצו עם עורך דין מומחה בכל עניין רלוונטי שנוצר אצלכם. נשמח לסייע אם כך תרצו.

הרשות להגנת הפרטיות תיארה וציינה מספר עקרונות עיקריים, דרכי היישום שלהם ואף המלצות. עם זאת, האמור מטה אינו ממצה או מחייב וההמלצות מטה אינן ממצות את הדרישות שבחוק.

 

1. יש להתייחס למטרת איסוף המידע האישי

בעת הכנת טופס הויתור על סודיות רפואית מומלץ שהמעסיק יאתר וידייק את המטרה הספציפית לשמה נאסף המידע.

בלשוננו אנו: יש למפות את כל המידע האישי המתבקש ונאסף בעקבות טופס הויתור, ולכלול אותו בטבלה מסודרת של מידע אישי המנוהלת בידי המעסיק.

את המטרה הרלוונטית חשוב להציג בפני המועסק הפוטנציאלי בצורה ברורה, טרם לאיסוף המידע.

המלצה: יש לאתר את המטרה, להציגה בפני המועסק הפוטנציאלי ולקבל את הסכמתו לכך.

 

2. אין לאסוף מידע אישי שאין לאיסופו הצדקה אמיתית

ככל שבמהלך איתור ומיפוי המידע שנאסף מתברר שנאסף גם מידע שאין הכרח לאסוף אותו לצרכי המטרה המוזכרת מעלה, ההמלצה החד משמעית היא פשוט – לא לאסוף אותו.

ובעברית-משפטית מדוברת: אין לאסוף מידע שאין לו הצדקה או תכלית ראויה.

כמובן שהצדקה ותכלית יש כמעט לכל איסוף. השאלה העיקרית היא מידת היותם מוצדקים וזאת יש לברר ביחס לכל סוג רכיבי מידע באופן סציפי.

המסקנה עם כן היא שאין להשתמש במידע אלא למטרה לשמה נאסף, ובלבד שהיא תקינה כדין.

המלצה: לבקש ויתור על סודיות רק ככל שהוא מתייחס למידע אישי שיש בבסיסו מטרה שנמצאה כלגיטימית ומספיקה, ולא מעבר לכך.

 

3. אין לעשות שימוש במידע אישי אלא לצרכי המטרה לשמה נאסף

פעמים רבות, מעסיקים אוספים כדין מידע אישי, למטרות לגיטימיות. למשל: העברתו לרופא תעסוקה לשם קבלת חוות דעתו בדבר כשירותו של המועמד למלא את המשרה אליה הגיש את מועמדותו, ולא מעבר לכך.

אלא שיש מעסיקים שלעיתים עושים שימוש במידע האישי הזה לצרכים עתידיים הקשורים בעובד. כמובן ששימוש כזה עשוי להחשב כבעייתי, נאמר בזהירות.

לכן, אנא דאגו שתהיו מודעים למטרות לשמן נאסף המידע ולכך שמטרות אלו הובאו לאישור העובד. בהמשך, השתמשו במידע רק לצורך אותן מטרות. שימוש במידע למטרות אחרות – אסור הוא (וראו סעיפים 2(9) ו-8(א) לחוק הגנת הפרטיות).

המלצה: למחוק מידע אישי מיד עם סיום המטרה לשמה נאסף (אלא אם קיימת מטרה לגיטימית נוספת שהובאה גם היא לאישור העובד טרם איסוף המידע. למשל, פעמים רבות יש לשמור מידע אישי מסויים המתייחס לעובד לא רק לצרכי העסקתו אלא גם למטרת דיווח ותשלום מס כדין, וגם זו מטרה לגיטימית ומקובלת אולם המידע שנדרש לצרכיה שונה מהמידע הנדרש לצורך שכירת שירותי העובד).

 

4. צמצום מידע אישי עודף

אחת מהמטלות הקשות שמוטלות על מחזיקים במידע אישי היא הצמצום, המחיקה וההסרה שלו. לצערנו, רבים מהפונים אלינו אינם עומדים במטלה זו, וחבל.

אם כבר וידאנו מה המטרות לשמן נאסף מידע אישי, ואם כבר קיבלנו הסכמה להן ופעלנו בהתאם להן, משנסתיימו המטרות – אין פשוט מלמחוק את המידע.

למשל, במקרים רבים מעסיקים מחזיקים קלסר קורות חיים או מעדכנים את פרטי המועמדים במערכת כח האדם הממוחשבת, אולי אפילו כדי לחזור אליהם בעתיד אם יהיה צורך בעובדים נוספים.

האם פעולה זו תקינה? רשות הגנת הפרטיות סוברת שיתכן מאוד שלא (בתלוי בנסיבות כל מקרה ספציפי, למשל האם הובאה לידיעת העובד וקיבלה את הסכמתו?).

בנוסף הרשות להגנת הפרטיות מציינת שעצם שמירת המידע לאורך זמן יש בה כדי להגדיל את הסיכון לפגיעה בפרטיות העובד, ויש לשקול האם סיכון זה כדאי לעומת מטרת שמירת המידע.

המלצה: אנא דאגו ליצור נהלי מחיקת מידע באופן שיענה לדרישות אלו. בנוסף, בתקנה 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 מצוייה חובה לבחון עניין זה מדי שנה. אנא עשו זאת.

 

5. מתן אפשרות לתיקון המידע וצמצומו

חוק הגנת הפרטיות מקנה לאדם את הזכות לתקן מידע אודותיו שאינו עדכני או אינו נכון (וראו סעיף 13 לחוק הגנת הפרטיות). לכן, גם מעסיק שאסף מידע אישי המתייחס לעובדיו, חייב לאפשר להם את אותה זכות בדיוק.

מחובה זו נגזרות שתיים:

אחת – החובה למסור לאדם את כל המידע האישי אודותיו שנמצא בידינו;

השניה – החובה לתקן מידע שגוי, חסר או לא רלוונטי לבקש נשוא המידע, העובד.

המלצה: אנא אפשרו מסירת מידע אישי לנשוא המידע (לאחר שוידאתם היטב את זהות המבקש) וכן את תיקונו בהתאם לעדכניותו.

 

6. שימוש באמצעי איסוף מידע חלופיים

ככל שיש בידי המעסיק דרך לקבל את המידע לו הוא זקוק מבלי להכנס בעצמו לתיק הרפואי של עובד פוטנציאלי, מוטב יהיה לנקוט בדרך זו.

המלצה: אחת מהמלצות הרשות היא לא לדרוש מראש מכל המועמדים טופס ויתור על סודיות הרפואית.

הרשות מציעה לבדוק תחילה האם המועמד כשיר למשרה בכל יתר הפרמטרים. אם לא – אין סיבה לאסוף עליו מידע אישי רפואי.

רק לאחר החלטה שהמועמד כשיר על בסיס יתר מאפייניו, ממציעה הרשות לבקש טופס וס"ר מתאים שיוגבל לנתונים הנדרשים למעסיק לצורך שקילת כשרותו של המועמד למשרה, ולהם בלבד.

המלצה: בנוסף, רשות הגנת הפרטיות גם ממליצה להסתפק ב"מסמך סיכום מידע רפואי" יחד עם טופס בדיקה והצהרה רלוונטית על מצבו הרפואי של המועמד (בהתייחס למשרה אליה הוא מועמד), במקום חשיפה לתיק הרפואי המלא שלו.

 

ככל שדבר מהדברים מעלה אינו ברור לכם, אתם מוזמנים להתייעץ עם משרדנו שזו מומחיותו.

 

חשוב: שימו לב!
טקסט זה נכתב בדצמבר 2022 ונבדק לאחרונה בספטמבר 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.