הרשות להגנת הפרטיות מנסה להסדיר את השימוש במידע ביומטרי במקום העבודה במסגרת טיוטת מסמך מדיניות בנושא שפורסם לאחרונה (17.07.2023). הרשות מנסה להנחיל בו מגמת צימצום ביחס לשימוש במידע כזה, תוך הכבדת הליכי רישום מאגרי מידע הכוללים מידע ביומטרי.
כידוע, חברות פרטיות וציבוריות רבות עושות שימוש במידע ביומטרי אודות עובדיהם. זאת לאור יתרונות רבים הנובעים מכך, כמו אבטחת המידע, הפחתת סיכון לכל הנוגע לגישה לא מורשית או חדירה למערכות החברה ועוד.
יחד עם זאת, היות ומידע ביומטרי הוא מידע קבוע שאינו ניתן לשינוי, איסופו מביא לסיכונים רבים אשר מעסיקים לא פעם את הרגולטורים. סיכונים אלו כוללים, בין היתר, חשש לפגיעה בתחושת השליטה על המידע האישי, זליגת המידע האישי או שימוש בו בניגוד למטרה שלשמה הוא נאסף.
במטרה להתמודד עם הסיכונים הנובעים מאיסוף מידע ביומטרי, הרשות להגנת הפרטיות פרסמה, כאמור, את טיוטת מסמך מדיניות בנושא איסוף ושימוש במידע ביומטרי במקום העבודה להערות הציבור.
הרקע לפרסום הרשות הינו הצורך לעדכן ולהרחיב את עמדתה למסמך "שימוש בבקרת נוכחות ביומטרית במקום העבודה", אשר פורסם על ידי הרשות בשנת 2012 ועסק בנושא זה. המסמך נועד להציב זרקור על התופעה ועל הסיכונים לפרטיות הגלומים בה, לסקור את הרקע המשפטי הרלוונטי, ולהציג לארגונים הנחיות והמלצות בעניין זה.
במסגרת זו, הרשות מבהירה כי כתוצאה מפוטנציאל הפגיעה בפרטיות, על איסוף מידע ביומטרי להיעשות בהסכמה חופשית ומדעת של העובדים ובאופן מידתי וסביר, וכן כי השימוש בו ייעשה בצמוד למטרה שלשמה הוא נאסף. עוד מדגישה הרשות, כי בהתאם לעיקרון האמצעי שפגיעתו פחותה, על המעסיקים לבחון אפשרויות חלופיות אשר עשויות לפגוע פחות בפרטיות העובדים, בטרם יבחרו להשתמש במידע ביומטרי.
מסמך הרשות מתייחס באופן נרחב אף לנושא אבטחת המידע. במטרה להפריד המידע הביומטרי משאר סוגי המידע האישי אשר נאסף אודות העובדים, הרשות ממליצה למעסיקים המבצעים שימוש במידע ביומטרי להשתמש במנגנוני הצפנה מיוחדים, לרבות קידוד.
עוד מדגישה הרשות, כי בכל הנוגע למידע הביומטרי, על המעסיקים לנהל את המידע העודף באופן קפדני. בהקשר זה, על המעסיקים לבחון באופן שוטף את הצורך בשמירת המידע וזאת לצורך צמצום המידע ככל האפשר ומחיקתו במידה ואפשר.
יתר על כן, המסמך מעיד על כוונת הרשות להחמיר בכל הנוגע לאישור רישום מאגרי מידע מסוג מידע ביומטרי, ובפרט להחמיר את שאלותיה בטרם הרישום, שכן על המבקש לרשום מאגר מידע לענות על השאלות שלהלן:
- אילו חלופות לאיסוף מידע ביומטרי נשקלו?
- איזו מערכת מופעלת לבקרת הכניסה?
- איזה מידע ביומטרי נאסף?
- האם המידע נאסף לכרטיס או למאגר, ולמה בחרתם בשיטה זו?
- במידה ומדובר במאגר, מי מחזיק במאגר ואיפה?
- האם ניתנה לעובדים חלופה מראש שאינה כוללת ביומטריה?
- האם העובדים מודעים לכך, שכאשר יש צו, המידע הביומטרי עשוי להגיע לגורמים אחרים מלבד בעל המאגר?
לסיכום, המסמך שפורסם מחדד את דרישות הרשות בכל הנוגע למידע ביומטרי. יובהר כי ניתן להגיש התייחסויות והערות למסמך עד לתאריך 18.8.2023.
