top image

תפקיד משאבי אנוש באבטחת מידע והגנת הפרטיות

משאבי אנוש בתחום אבטחת מידע והגנת הפרטיות

תפקיד משאבי האנוש באבטחת מידע והגנת הפרטיות 

עו"ד רועי וולר, מומחה לדיני הגנת פרטיות ו-DPO מוסמך, מסביר מדוע הגורם האנושי הוא החוליה המרכזית באבטחת מידע ברשויות מקומיות, ומה תיקון 13 מחייב ממנהלי משאבי האנוש.

הגורם האנושי הוא גורם הסיכון המשמעותי ביותר באבטחת מידע והגנת הפרטיות: טעות אנוש, חוסר מודעות או ניצול של עובדים. תיקון 13 לחוק הגנת הפרטיות מטיל על מנהלי משאבי האנוש חובות חדשות: איסוף מידע מינימלי בהליכי קבלה לעבודה, הדרכות חובה, נהלי סיום העסקה מאובטחים ועמידה בעקרון "בדיקת הנאותות". כשל בניהול הגורם האנושי עשוי להיחשב רשלנות של נושאי משרה. משרד וולר ושות', מדורג BDI ו-Dun's 100 לשנת 2026, פועל מאז 1965, מלווה גופים ציבוריים ופרטיים בעמידה בדרישות הדין.

משאבי אנוש אבטחת מידע | תיקון 13 HR | הגורם האנושי סייבר | הגנת פרטיות עובדים | DPO | 04-8661537 | WhatsApp

 

מהי אבטחת מידע?

ראשית, אבטחת מידע היא דיסציפלינה המשלבת בין כלים טכנולוגיים, תהליכים מובנים והיבטים משפטיים, שנועדה להבטיח שהמידע הארגוני יישאר בטוח, מדויק ונגיש. שלושת העקרונות המנחים באבטחת מידע, המכונים מודל ה-CIA, הם:

  • Confidentiality (סודיות המידע). מטרתה להגן על מידע מפני חשיפה בלתי מורשית. אמצעים מרכזיים כוללים שימוש בסיסמאות חזקות, בקרת גישה מתקדמת, וניהול הרשאות מוקפד. לדוגמה, בארגון שבו מנהלי משאבי האנוש מעבדים מידע רגיש על עובדים (כגון שכר, מחלות, או פרטים אישיים), הגבלת הגישה למידע זה רק לבעלי תפקידים מורשים היא קריטית.
  • Integrity (שלמות המידע). הבטחת דיוקו ושלמותו של המידע, כך שהוא יישאר במצב שבו הוזן למערכת, ללא שינויים זדוניים או טעויות. דוגמה: עיבוד שגוי של נתוני שכר עשוי לגרום לעובדים לאבד אמון בארגון ואף לחשוף אותו לתביעות משפטיות.
  • Availability (זמינות המידע). שמירה על זמינות המידע והמערכות למשתמשים המורשים בכל עת. אמצעים לכך כוללים מערכות גיבוי, שרידות ושרתי יתירות. לדוגמה, ארגון המסתמך על מערכת מידע מרכזית לצורך תשלומי שכר חייב לוודא שהמערכת תהיה זמינה גם במצבי חירום.

 

גורמי סיכון באבטחת מידע

אבטחת מידע איננה תלויה אך ורק בטכנולוגיה. היא מושפעת ממספר גורמים:

  • גורמים טכנולוגיים. מערכות טכנולוגיות מתקדמות כוללות תשתיות חומרה ותוכנה, אך הן חשופות לפגיעות כמו פרצות אבטחה או תקיפות סייבר. לדוגמה, מערכות לא מעודכנות עשויות לאפשר לתוקפים לנצל חולשות ידועות לצורך גישה למידע רגיש.
  • הגורם האנושי. האדם מהווה את נקודת התורפה העיקרית. טעויות אנוש, חוסר מודעות, או פעולות זדוניות של עובדים או קבלנים חיצוניים הם גורמי סיכון עיקריים. למשל, עובד שאינו נוקט אמצעי זהירות בהעברת קבצים רגישים, כגון שימוש בדוא"ל פרטי, עלול לחשוף את הארגון להפרת פרטיות.
  • תהליכים ארגוניים. תהליכים ארגוניים בלתי מסודרים מגבירים את הסיכון לטעויות אנוש. לדוגמה, כאשר אין מדיניות או נהלים ברורים לניהול הרשאות גישה או למחיקת נתונים, עשויות להתרחש הפרות של אבטחת מידע.

 

הגורם האנושי באבטחת המידע והגנת הפרטיות

הגורם האנושי נחשב כיום לחוליה המשמעותית ביותר בשרשרת אבטחת המידע והגנת הפרטיות. בכל ארגון. בעוד שחברות משקיעות הון עתק בפתרונות טכנולוגיים מתקדמים, "חומות אש" ותוכנות ניטור, הסטטיסטיקה העולמית מוכיחה פעם אחר פעם כי רוב מוחלט של אירועי הסייבר והדליפות מתחיל בטעות אנוש, חוסר מודעות או ניצול מניפולטיבי של עובדים. נקודת התורפה אינה נמצאת בהכרח בשרתים, אלא בממשק שבין העובד לבין המערכת.

הבנת "הגורם האנושי" דורשת שינוי תפיסתי: העובדים אינם רק סיכון שיש לנהל, אלא הם יכולים להפוך לקו ההגנה הראשון והאפקטיבי ביותר של המשרד. כאשר עובד מזהה ניסיון התחזות או מקפיד על נהלי עבודה מאובטחים, הוא מונע נזקים שגם הטכנולוגיה המתוחכמת ביותר עלולה להחמיץ. לכן, ניהול הסיכון מחייב שילוב בין היבטים פסיכולוגיים, ארגוניים ומשפטיים. חובה על הארגון לייצר תרבות של "ערנות פרטיות", שבה כל איש צוות מבין את ההשלכות המשפטיות והכלכליות של פעולותיו.

מבחינה משפטית, רגולציות עדכניות כמו תיקון 13 לחוק הגנת הפרטיות כבר אינן מסתפקות בקיומן של מערכות אבטחה. הרשויות בוחנות האם הארגון ביצע "בדיקת נאותה" (Due Diligence) שכוללת הדרכות, נהלים ברורים ואכיפה פנימית. כשל בניהול הגורם האנושי אינו מהווה רק פרצה טכנית, אלא עשוי להיחשב כרשלנות של נושאי המשרה. במציאות של 2026, הגנה משפטית אולטימטיבית נבנית דרך הון אנושי מיומן, מודע ומחויב, שהופך מחוליה חלשה למגן אקטיבי על נכסי המידע של הארגון.

⚖️ ייעוץ מקצועי

יש לכם שאלות על תיקון 13? התייעצו עם עו"ד רועי וולר

עו"ד רועי וולר הוא מומחה הגנת פרטיות ו-DPO מוסמך, המלווה גופים ציבוריים ופרטיים ביישום תיקון 13: הדרכות עובדים, נהלי עבודה ומדיניות, סקר סיכונים וליווי שוטף. משרד וולר ושות', פועל מחיפה מאז 1965, מדורג BDI ו-Dun's 100 לשנת 2026.

 

תפקיד מנהל משאבי האנוש באבטחת מידע ובהגנת הפרטיות

במישור הארגוני, תפקידו של מנהל משאבי האנוש הוא קריטי בהגנה על מידע רגיש. תפקיד זה כולל אחריות נרחבת המשלבת בין ניהול תהליכים, הסברה והדרכת עובדים, ופיקוח על עמידה בתקנות. מנהל משאבי האנוש נדרש להבין את החשיבות המשפטית והארגונית של אבטחת מידע והגנת הפרטיות, ולהוות חלק מרכזי בארגון. נבהיר מספר סוגיות נפוצות.

הליכי קבלת עובדים לעבודה

תיקון 13 לחוק הגנת הפרטיות משנה את הליכי קבלת עובדים, במיוחד לגבי איסוף, שימוש ועיבוד מידע אישי של עובדים. דהיינו, כבר בתהליכי הקבלה והמיון למקום העבודה, על משאבי האנוש לבחון את המידע הדרוש (קורות חיים, אישורי השכלה, צילומי תעודת זהות, רישום פלילי, וכיוצ"ב), ולצמצם את המידע העודף.

בתוך כך, חלה חובת גילוי מלא: יש להבהיר לעובדים ולמועמדים לעבודה, אם חלה עליהם חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונם ובהסכמתם; המטרה אשר לשמה מבוקש המידע; ולמי יימסר המידע ומטרות המסירה. בנוסף, יש להבהיר בדבר תוצאת הסירוב למסירת המידע.

מיון עובדים באמצעות מכון מיון

כתנאי לקבלה לעבודה, דורשים מעבידים רבים שהמועמדים למשרה יעברו מבחני מיון והתאמה. מכוני המיון, אוספים מידע אישי רב על מועמדים פוטנציאלים, לרבות ניסיון תעסוקתי קודם, השכלה , מצב בריאותי, סטאטוס משפחתי, ועוד. בפני המועמדים המבקשים להתקבל למקום העבודה, אין ברירה אמיתית אלא להסכים לביצוע המבדקים אצל הגורם אליו הפנה אותם המעביד. כתוצאה הכרחית של הליך המיון, נאסף על המועמד מידע אישי שחוק הגנת הפרטיות חל עליו. עמדת רשם מאגרי מידע (מס' 2012/2) לעניין תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקראת קבלה לעבודה ועל פעילות מכוני מיון, קובעת בתמצית את העקרונות הבאים:

  • שימוש מוגבל ומוגדר. למכון המיון אין כל זכות עצמאית להשתמש במידע שנמסר לו על מועמד מעבר להגדרות ולצרכים של המעסיק המפנה. המידע שייך למאגר של המעסיק בלבד, וכל שימוש בו כפוף לחוק הגנת הפרטיות ולהסכמת המועמד. המשמעות: מכון המיון אינו רשאי "למחזר" או לנצל את הנתונים לטובתו או לצרכיו הפנימיים.
  • הפרדת מאגרים ומינוי ממונה. כאשר מכון מיון מספק שירותים למספר מעסיקים שונים, עליו להבטיח הפרדה מלאה בין מאגרי המידע של כל מעסיק, כך שלא תתאפשר גישה לנתוני מועמד שאינם רלוונטיים לאותו מעסיק. במקרה בו המכון מחזיק מידע בעבור חמישה מעסיקים או יותר – קמה חובה למנות ממונה על אבטחת המידע (CISO), שתפקידו לוודא קיום ההפרדה, פיקוח על נהלים ועמידה בדרישות החוק.
  • מטרות מוגבלות ושימוש בהסכמה נפרדת. המידע על מועמד נועד אך ורק לצורך הערכת התאמתו למשרה שאליה הופנה. כל שימוש אחר, כגון העברת הנתונים למעסיק פוטנציאלי אחר, או שימוש בנתונים לצרכים מחקריים – מחייב הסכמה מודעת, נפרדת ומפורטת של המועמד, לאחר שנמסרה לו הודעה ברורה בהתאם לסעיף 11 לחוק. ללא הסכמה כזו, השימוש נחשב לחריגה אסורה.
  • הסכמה מדעת – תנאי הכרחי אך לא מספיק. הסכמת המועמד לעיבוד המידע אינה מקנה למכון "רישיון פתוח". השימוש במידע צריך לעמוד גם בדרישות עקרוניות של תכלית ראויה, סבירות ומידתיות. כלומר, גם אם המועמד הסכים, השימוש ייחשב חוקי רק אם הוא נחוץ למטרה לגיטימית ובאופן שאינו חורג מהנדרש.
  • זכות העיון של המועמד. המועמד זכאי לקבל לידיו, מהמעביד וכל מכון מיון הפועל מטעמו, את חוות הדעת בדיוק כפי שנמסרה למעביד שהזמין את המבדקים. ניתן לדרוש קבלת תוצאות של המבחנים ככל שנכללו בחוות הדעת, חוות הדעת המילולית וכן את תוצאות מבדקי ההתאמה, ככל שהן כלולות בה.
  • מחיקה או אנונימיזציה של המידע. עם סיום המטרה שלשמה נאסף המידע, חייב המכון למחוק את המידע או להפוך אותו לאנונימי באופן מלא. המשמעות היא שהמידע לא יאפשר עוד לזהות את המועמד, ולא יוכל לשמש בהמשך באופן אישי כלפיו. אולם, אם המידע במאגר עובר הליך של אנונימיזציה מוחלטת שאינה מאפשרת לייחס אותו לאדם אפילו בעקיפין – אזי אין עוד צורך למוחקו. קראו כאן הרחבה על מחיקת מידע.

שמירת המידע והגנה על פרטיות העובדים

מנהלי משאבי אנוש עוסקים במידע אישי של כל עובד ברשות, מרגע קליטתו ועד לעזיבתו (ואף לאחר מכן). עליהם לוודא כי הכלים בהם הם אוגרים, שומרים ומעבדים מידע (לרבות הממשק בין שכר למשא"ן), יספקו מענה הולם לניהול מחזור החיים של העובד.

כאמור, יש לתת הודעות בנוגע לפרטיות עובדים בהתאם לדרישות החוק (המתוקן), ולקבל את הסכמת העובדים לאיסוף ועיבוד המידע האישי עליהם. ככל שהמעסיק מעביר את נתוני עובדיו לצורך הכנת משכורות, למיקור חוץ (חברות המעניקות שירותי חשבות שכר), הרי שיש לידע ולקבל את הסכמת העובד גם לכך. בנוסף, על משאבי האנוש לפרט את נהלי אבטחת המידע ושמירת פרטיות העובדים, דוגמת מידע ביומטרי, שעוני נוכחות, מצלמות אבטחה, נתוני מיקום וכיוצ"ב, ולעדכן את העובדים בכל שינוי.

עקרון המידור

בהרבה ארגונים, אנשי משאבי אנוש מחזיקים גישה גורפת לכל המידע. אלא שזהו סיכון מובהק. לשם הדוגמה, האם מנהל גיוס צריך לראות נתונים רפואיים? האם חשב השכר צריך להיחשף לתיק המשמעת של העובד? כאן עולה חובת מנהל משאבי האנוש להגדיר נהלים ברורים לגבי מי נחשף למה.

שמירת המידע והגנה על פרטיות עובדים לשעבר

גם עובדים לשעבר נחשבים כ"נושא מידע". המידע האישי שהצטבר לגביהם במהלך העסקתם, ובכלל זאת נתונים כספיים, נתוני שכר, נתונים רפואיים, ארגוניים (שימועים, פיטורין, נוכחות, משמעת), הליכים משפטיים, וכו', מוגדרים כ"מידע בעל רגישות מיוחדת".

נכון להיום, אין הוראה חוקית המתייחסת לתקופה בה יש לשמור מידע על עובדים לשעבר. מחד, קיימים שיקולים משפטיים לשמירת הנתונים במשך 7 שנים (תקופת ההתיישנות). מאידך, עקרון צמצום המידע (Data Minimization) קובע שאין לשמור מידע מעבר לנדרש.

ניהול הרשאות וגישה למידע

מנהל משאבי האנוש אחראי להגדיר למי מותרת הגישה למידע, כיצד היא ניתנת, ובאילו נסיבות יש צורך להסירה. לשם הדוגמה, בעת עזיבת עובד, יש לוודא הסרת הרשאות באופן מיידי. מנגד, בעת מעבר של עובד בין אגפים, יש לוודא את ההרשאות המתאימות החדשות, ולהסיר את גישת העובד משימוש בתוכנות או ממאגרים ששימשו אותו בתפקידו הקודם.

הסכמי עבודה

בעת קליטת עובדים, יש לוודא כי בהסכמי העבודה קיימים הבהרות על מדיניות הרשות, סעיפים ברורים בנושא אבטחת מידע והגנת הפרטיות, והתחייבות העובד לעמוד בהם.

נהלי שימוש במחשבים, בחומרה ובתוכנה, IT, דוא"ל וניטור שימוש עובדים

ככל שהרשות מנטרת (או עשויה לנטר) שימוש של עובדים במערכותיה, יש צורך בנוהל ברור בנושא: תום-לב, גילוי ושקיפות, לגיטימיות, מידתיות ולצמידות למטרה. במסגרת פרשת איסקוב, נקבע כי המעסיק יכול לקבוע כללים ולהטיל מדיניות לגבי השימוש בטכנולוגיות המיועדות לעובדים לצרכי עבודה, לרבות שימוש בתיבות הדואר האלקטרוני. בכלל זאת, רשאי המעסיק לאסור על כניסה לאתרים מסוימים, להגדיר מגבלות זמן לגלישה, לקבוע מדיניות בעניין הכנסת ציוד חיצוני לרשת, לקבוע אמצעי מעקב אחר פעולות העובדים במקום העבודה, ועוד – ובכפוף לקיום נוהל בנושא. וראה סקירה בנושא "הלכת איסקוב".

אבטחת מידע במיקור חוץ

בהתאם להנחיית רשם מאגרי מידע 2011/2 ("שימוש בשירותי חוץ לעיבוד מידע אישי"), על ארגון המבקש להוציא פעילות למיקור חוץ, לבחון האם הוא רשאי להוציא את המידע שהוא מבקש לעבד במיקור חוץ אל מחוץ לשליטתו בתהליך של מיקור חוץ – קיימות מגבלות חוקיות, ואפשר שגם אתיות. היינו, האם ראוי, לאור אופי המידע האישי שהשירות יתבקש לגביו ורגישותו, להעביר את המידע או את עיבודו למיקור חוץ. כל זאת, נוכח העובדה שקבלנים וספקים חיצוניים מהווים סיכון משמעותי לאבטחת מידע.

על מחלקת משאבי האנוש להגדיר, באופן מפורט וברור, מהו סוג הישרות המבוקש, מהו היקף המידע האישי הנדרש לצורך אספקת השירות על-ידי נותן שירות מיקור החוץ. ככל שקיימת התקשרות, על מנהלי משאבי האנוש לבדוק את חוזי ההתקשרות, לוודא עמידה בדרישות הרגולציה, ולהגביל גישה רק למידע הדרוש לביצוע המשימה.

אחריות על הדרכת עובדים

מנהלי משאבי האנוש ממלאים תפקידי מפתח בחינוך ובהסברה, בכל הנוגע לאבטחת מידע ולהגנת הפרטיות. במסגרת תפקידם, עליהם לוודא קיום הדרכות עיתיות; יצירת מודעות לאבטחת מידע; והטמעת תרבות ארגונית.

דיווח על אירועים או הפרות

על מנהל משאבי האנוש מוטלת חובה לדווח על אירועי אבטחת מידע או הפרות פרטיות. מנהל משאבי האנוש, בהיותו הגורם המרכזי המטפל במידע אישי ורגיש של עובדים, עובדים לשעבר ומועמדים לעבודה, אחראי ישירות לשיתוף פעולה עם הממונה על הגנת הפרטיות (DPO), ובפרט כאשר מתרחש אירוע בעל פוטנציאל לפגיעה בזכות לפרטיות.

נדגיש כי אין זה מתפקידו של מנהל משאבי אנוש להכריע אם האירוע מחייב דיווח חיצוני, אלא למסור מידע מלא ומדויק ל-DPO לצורך הערכת סיכון וקבלת החלטות.

שקיפות וזכות לעובדים

חוק הגנת הפרטיות מחייב את הארגון להבהיר לעובדים, ואף את המועמדים לעבודה, מה המידע האישי שנאסף עליהם – באופן ישיר או עקיף, מטרת עיבודו, האפשרות להעברתו לצד ג', וזמן השמירה עליו.

לאחר סיום העבודה בארגון, על משאבי האנוש להבהיר באשר למידע שנשמר בארגון על העובד. לדוגמה: תיק אישי (לרבות שימועים, הפרות משמעת, תלונות וכו'); תלושי שכר; מידע אישי או קבצים שעדיין קיימים בתיבות הדוא"ל ששימשו את העובדים בתקופת העבודה; האפשרות להתלות, להעביר, למחוק את המידע; ועוד. למותר לציין כי נהלים אלו (וכן הסכמתו מדעת של העובד) צריכים להיות מגובים במסמכי מדיניות, טפסי הסכמה, ובהסכמי ההעסקה עם העובד/ת.

 

 

הקשר בין משאבי האנוש לבין ממונה הגנת הפרטיות (DPO)

תיקון מס' 13 לחוק הגנת הפרטיות (אותו סקרנו כאן וכאן) כולל מספר שינויים חשובים ברשויות המקומיות. אחת מחובות הרשויות המקומיות היא חובת מינוי ממונה על הגנת הפרטיות (DPO).

תפקידיו של ממונה הגנת הפרטיות, באופן כללי, הנם להבטיח קיום ההוראות לפי חוק הגנת הפרטיות על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע. כמו כן, עליו לשמש סמכות מקצועית ומוקד ידע, ולהעניק ייעוץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, לרבות הכנת תוכנית הדרכה ופיקוח על ביצועה. עליו לסייע בהכנת תוכנית לבקרה שוטפת על העמידה בהוראות לפי החוק, ולוודא את ביצועה. בנוסף, על ממונה הגנת הפרטיות לוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר. ממונה הגנת הפרטיות משמש כתובת לרשויות המוסמכות בתחום הגנת הפרטיות, וכן עליו לוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה.

הקשר בין HR (משאבי אנוש) לבין DPO (Data Protection Officer)

הקשר בין משאבי האנוש ברשות המקומית, לבין ה-DPO, נובע מהצורך בניהול נכון של מידע אישי של עובדים תוך עמידה בהוראות הדין. שיתוף הפעולה בין שני הגורמים הנו קריטי לצורך הבטחת עמידת הארגון בהוראות הדין, ולצורך אבטחת המידע. שיתוף הפעולה והממשק, באים לידי ביטוי בין היתר בתחומים הבאים:

  • ניהול נתוני עובדים. משאבי האנוש מטפלים במידע אישי רגיש על עובדים, כולל פרטים אישיים, נתוני שכר, הערכות ביצועים, ומידע רפואי. יש לוודא שהנתונים הללו מעובדים בהתאם לחוקי הגנת פרטיות, כולל הגבלת גישה, אחסון בטוח, ומחיקת מידע כאשר אינו נחוץ יותר.
  • תהליכי גיוס והסכמה. במהלך גיוס עובדים, משאבי האנוש אוספים ושומרים נתונים על מועמדים, כמו קורות חיים, תעודות, תעודות זהות, היתרים, אישורים, ומידע נוסף. במקרים מסויימים, נאסף אף מידע רפואי, שאפשר שהוא רלוונטי לתפקיד. ה-DPO עוזר לוודא שהליך זה מתבצע בהתאם לדרישות החוק.
  • זכויות עובדים. בהתאם לתיקון 13, עובדי הרשות (כמו גם עובדים לשעבר) זכאים לדעת אילו נתונים אישיים נשמרים אודותם, וכיצד נעשה בהם שימוש. לעובדים אלו קיימת גם הזכות לעיין במידע, ולתקן את המידע. מימוש הזכות החוקית מתבצע על ידי משאבי האנוש, ובסיוע ה-DPO.
  • מדיניות הגנת הפרטיות. ה-DPO אחראי על פיתוח מדיניות הגנת הפרטיות של הארגון, שמבטיחה שמידע העובדים מוגן. תפקיד משאבי האנוש הוא לתווך ולקדם מדיניות זו, באמצעות הכשרות, הדרכות והסברים לעובדים ולוועד העובדים.
  • טיפול באירועי דליפת מידע. במקרה של דליפת מידע אישי, מחלקת משאבי האנוש חייבת לשתף פעולה עם ה-DPO על מנת להעריך את הנזק, ליידע את העובדים שנפגעו, ולעמוד בדרישות הדיווח לרגולטורים.

 

תחום ליבה אחריות מנהל משאבי אנוש אחריות ממונה הגנת הפרטיות
ניהול מחזור חיי עובד איסוף נתוני שכר, רווחה ומשמעת; ניהול תיק עובד פיזי ודיגיטלי. קביעת מדיניות צמצום מידע (Data Minimization) ווידוא שהאיסוף חוקי.
הסכמי העסקה החתמת עובדים על נספחי סודיות, הצהרות IT ומדיניות פרטיות. תיקוף משפטי של נוסח הסעיפים מול הוראות הדין.
בקרת הרשאות עדכון על עזיבת עובדים או שינוי תפקיד לצורך הסרת גישה למערכות. פיקוח על עקרון המידור ובדיקת מבדקי חדירות לגישה.
טיפול באירועי סייבר ניהול "הגורם האנושי" באירוע, בירור משמעתי וניהול תקשורת מול העובד. הערכת חומרת הדליפה, קבלת החלטה על דיווח לרשויות וניהול תיעוד האירוע.
הדרכות ומודעות תיעוד השתתפות עובדים בהדרכות כהגנה משפטית כנגד רשלנות. ביצוע ההדרכות, בניית תוכן מקצועי המותאם לסיכוני הארגון ועדכוני רגולציה שוטפים.

 

סיכום

מחלקות משאבי האנוש מהוות כיום גורם מכריע בשמירה על פרטיות העובדים ובאבטחת מידע רגיש, נוכח ההחמרה ברגולציה מכוח תיקון 13 לחוק הגנת הפרטיות. המידע הנאסף והמטופל כולל לעיתים נתונים ביומטריים, רפואיים, פיננסיים, ארגוניים ומשפטיים. בהתאם לעקרונות הגנת הפרטיות – שקיפות, הסכמה, צמצום מידע ומידתיות – על משאבי האנוש לנהל את המידע הארגוני באופן שיטתי, אחראי ומבוקר. הדבר כולל ניסוח מדיניות פרטיות ייעודית, הגדרת נהלים ברורים, בקרת הרשאות, תיעוד הסכמות, והטמעת הדרכות ייעודיות לעובדים ולמנהלים.

תפקידו של מנהל משאבי האנוש מחייב שיתוף פעולה הדוק עם ממונה הגנת הפרטיות (DPO), לצורך בחינת עמידת הארגון בהוראות הדין, גיבוש תהליכי עבודה תואמים, וטיפול באירועים חריגים כגון דליפת מידע או פגיעה בזכויות עובדים. ניהול פרטיות בעידן המודרני אינו עניין תפעולי בלבד, אלא נדבך מהותי במערך הציות והמשילות הפנים-ארגונית. התרשלות בהגנה על מידע עובדים עלולה לחשוף את הארגון לסנקציות רגולטוריות, עיצומים כספיים, פגיעה במוניטין ואובדן אמון ציבורי.

משרד עורכי הדין וולר ושות' מתמחה בליווי משפטי ורגולטורי בתחום הגנת הפרטיות, אבטחת מידע ודיני עבודה, תוך שילוב ראייה אסטרטגית ויישומית לצרכים ארגוניים מורכבים. המשרד מעניק ייעוץ שוטף למגוון גופים ציבוריים, עסקיים ומוניציפליים, ומוביל הטמעת רגולציה בהתאם לתיקון 13 לחוק הגנת הפרטיות.

 

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים, תאגידי מים וביוב, חברות ממשלתיות ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, מכהן כ-DPO (ממונה הגנת הפרטיות) ומסייע בהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם: 09/12/2024. עודכן לאחרונה: 24/03/2026.

תפקיד משאבי אנוש באבטחת מידע והגנת הפרטיות: כל השאלות והתשובות

מהן חובות מנהל משאבי האנוש לפי תיקון 13 לחוק הגנת הפרטיות?

תיקון 13 מחייב את יחידת משאבי האנוש לנהל הרשאות גישה לפי עיקרון "הצורך לדעת", למסור הודעות פרטיות לעובדים, לוודא שמידע נאסף במינימום הנדרש, ולהטמיע נהלי סיום העסקה מאובטחים הכוללים שלילת הרשאות ומחיקת מידע. כשל בניהול חובות אלו עשוי להיחשב רשלנות של נושאי משרה.

מה ההבדל בין מידע לבין מידע בעל רגישות מיוחדת לפי תיקון 13?

מידע בעל רגישות מיוחדת כולל נתונים על דעות פוליטיות, מצב רפואי, נתונים גנטיים, חיי מין וצריכת נכסים. הטיפול בו דורש רמת אבטחה גבוהה בהרבה.

האם מנהל משאבי אנוש יכול לדרוש מסמכים רפואיים מעובד חדש?

מידע רפואי מסווג כ"מידע בעל רגישות מיוחדת" לפי תיקון 13. ניתן לאסוף מידע רפואי רק כשיש צורך עסקי מוצדק, בהסכמה מפורשת של העובד ובמינימום הנדרש. איסוף מידע רפואי שאינו נחוץ ישירות לתפקיד – אסור.

 

האם מותר לדרוש ממועמד גיליון רישום פלילי?

ככלל לא. למעט תפקידים ספציפיים המוגדרים בחוק (כמו עבודה עם קטינים), וגורמים מוסמכים מסויימים, דרישה כזו מהווה פגיעה בפרטיות.

האם מותר לחפש מידע על מועמד ברשתות חברתיות? 

חיפוש במידע ציבורי מותר, אך חדירה לחשבונות פרטיים או שימוש במידע אישי אינטימי שאינו רלוונטי לעבודה אסורים ועלולים לגרור תביעות.

מה על יחידת משאבי האנוש לעשות כשעובד מסיים את עבודתו?

ביום סיום ההעסקה, או לכל המאוחר תוך 24 שעות, יש לשלול את כלל הרשאות הגישה של העובד למערכות, לחסום חשבון הדוא"ל הארגוני, להחזיר ציוד וכרטיסי גישה, ולתעד את כל הפעולות. עובד לשעבר שממשיך להחזיק גישה למאגרי מידע מהווה חשיפה משפטית ממשית לרשות.

האם נדרשת הסכמת עובד לניטור פעילותו במחשב הארגוני?

כן – עם הסתייגות. מותר לנטר פעילות בכלים ארגוניים כאשר העובד קיבל הודעה מפורשת מראש על אופי הניטור ומטרותיו. יש לכלול את מדיניות הניטור בחוזה העבודה ובנהלי הארגון.

האם למעסיק מותר לעיין במיילים של העובד?

לפי פסק הדין בעניין איסקוב, המעסיק יכול לעיין בתיבת המייל המקצועית בתנאים מסוימים, אך חל איסור כמעט מוחלט על גישה לתיבה פרטית או לתכתובות אישיות ללא צו שיפוטי.

האם מותר לסרוק הודעות וואטסאפ של עובדים במכשיר שהארגון סיפק? 

לא. וואטסאפ נחשבת לאפליקציה עם ציפייה גבוהה לפרטיות, גם במכשיר עבודה.

מה הדין לגבי הקלטת ישיבות ZOOM?

חובה להודיע לכל המשתתפים מראש על ההקלטה, ולקבל את הסכמתם. יש לציין היכן היא תישמר ולמי תהיה גישה אליה.

מהן המגבלות על ניטור עובדים בעבודה מהבית?

הניטור חייב להיות מידתי. איסוף מידע חודרני מדי ללא הסכמה מדעת וחופשית של העובד נחשב להפרה.

האם מותר להזין נתוני עובדים לכלי AI חיצוניים (כמו ChatGPT)?

לא. חל איסור להזין מידע אישי מזהה לכלים ציבוריים, שכן זה נחשב להוצאת מידע מחוץ למאגר המאובטח של הארגון ועלול להוות עבירה על החוק.

האם חובה לקבל הסכמה לשימוש בטביעת אצבע (ביומטרי)? 

כן. לא ניתן לכפות על עובד שימוש במערכת ביומטרית ללא הסכמתו המפורשת, ויש להציע חלופה (כמו כרטיס מגנטי).

האם מותר לפרסם ימי הולדת של עובדים בלוח שנה ארגוני? 

יש לקבל הסכמה מראש (אופט-אין). יש עובדים שרואים בתאריך הלידה מידע פרטי שהם אינם מעוניינים לחשוף.

האם מידע על שכר הוא מידע רגיש? 

כן. פרטי שכר ונתונים כלכליים נחשבים למידע אישי המוגן תחת חובת הסודיות והגנת הפרטיות.

כמה זמן מותר לשמור קורות חיים של מועמדים שלא התקבלו?

לפי עיקרון הגבלת השמירה, ניתן לשמור קורות חיים לתקופה סבירה – בדרך כלל עד שנה, בהסכמת המועמד, מראש ובכתב. לאחר מכן יש למחוק את המידע באופן מאובטח. שמירה ללא הגבלת זמן ללא הסכמה מהווה הפרת חוק.

האם חייבים לקיים הדרכות פרטיות לעובדים ובאיזו תדירות?

כן. תיקון 13 מחייב הכנת תוכנית הדרכה ופיקוח על ביצועה. הפרקטיקה המקובלת היא הדרכה בקליטה לעובדים חדשים והדרכת רענון שנתית לכלל העובדים. התיעוד חשוב לא פחות מההדרכה עצמה — הוא מהווה הגנה משפטית במקרה של ביקורת.

כיצד יש לנהל את מסירת המידע לספקים חיצוניים כמו חברות שכר ונוכחות?

כל ספק חיצוני המעבד מידע על עובדי הרשות — חברת שכר, ספק הכשרות, מערכת נוכחות — מחייב חוזה עיבוד מידע נפרד (DPA) הכולל חובות אבטחה, הגבלת שימוש ומחיקת מידע בתום ההתקשרות. מסירת מידע לספק ללא חוזה מסודר מהווה הפרת חוק לפי תיקון 13.

כיצד יש לנהוג עם עובדי קבלן הנגישים למידע? 

חובה לחתום על נספח אבטחת מידע (DPA) המוודא שגם קבלן המשנה עומד בסטנדרטים של חוק הגנת הפרטיות.

מה חלוקת האחריות בין DPO למשאבי האנוש ?

משאבי האנוש אחראים על ניהול מידע העובדים ויישום נהלי הפרטיות בשוטף — קבלה, הדרכה, סיום העסקה. ה-DPO (ממונה הגנת פרטיות) הוא הגורם המקצועי-משפטי שמפקח על ציות הארגון כולו לחוק, מייעץ להנהלה, ומקשר מול הרשות להגנת הפרטיות. שני התפקידים הכרחיים ומשלימים — לא ניתן לאחד אותם.

האם עדיין חובה לרשום כל מאגר מידע של עובדים? 

לא. חובת הרישום צומצמה משמעותית ואינה חלה כברירת מחדל על מאגרי עובדים רגילים, אלא במקרים ספציפיים של מידע רגיש במיוחד.

מהו גובה הקנס המקסימלי על הפרת פרטיות לפי תיקון 13? 

התיקון העניק לרשות סמכות להטיל עיצומים כספיים גבוהים בהרבה מבעבר, שיכולים להגיע למאות אלפי שקלים בהתאם לחומרת ההפרה וגודל הארגון.

האם עובד רשאי לדרוש לראות את כל המידע שנאסף עליו? 

כן. לכל אדם זכות עיון במידע המוחזק עליו במאגר מידע, למעט חריגים מצומצמים.

האם עובד יכול לדרוש להישכח ממערכות הארגון לאחר עזיבה? 

לא. בישראל הזכות למחיקה מוגבלת. המעסיק רשאי (ולעיתים חייב על פי דיני העבודה והמיסוי) לשמור מידע מסוים למשך 7 שנים, אך עליו למחוק מידע עודף שאינו נחוץ משפטית.

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*