top image

תפקיד משאבי אנוש באבטחת מידע והגנת הפרטיות

משאבי אנוש בתחום אבטחת מידע והגנת הפרטיות

בעוד שאבטחת מידע נתפסת לעיתים קרובות כתחום טכנולוגי גרידא, המבוסס על פרוטוקולים, שרתים, הצפנות ומערכות ניהול גישה, הרי שבפועל, הרכיב המרכזי בהגנה על מידע אישי ובהגנת הפרטיות הוא הרכיב האנושי. הרכיב האנושי, ההתנהלות, שיקול הדעת והמודעות של אנשי המקצוע – הוא הגורם המכריע ברוב מקרי הפגיעה בפרטיות, ומחייב השקעה משמעותית בניהול, בהדרכה ובהטמעת נהלים. תיקון 13 לחוק הגנת הפרטיות מתמקד בהליכים, ומחייב לבסס מנגנון מוסדר, שיטתי ואחראי לניהול המידע האישי של העובדים. מנהלי משאבי האנוש מהווים מפתח לכך.

 

מהי אבטחת מידע?

ראשית, אבטחת מידע היא דיסציפלינה המשלבת בין כלים טכנולוגיים, תהליכים מובנים והיבטים משפטיים, שנועדה להבטיח שהמידע הארגוני יישאר בטוח, מדויק ונגיש. שלושת העקרונות המנחים באבטחת מידע, המכונים מודל ה-CIA, הם:

  • Confidentiality (סודיות המידע). מטרתה להגן על מידע מפני חשיפה בלתי מורשית. אמצעים מרכזיים כוללים שימוש בסיסמאות חזקות, בקרת גישה מתקדמת, וניהול הרשאות מוקפד. לדוגמה, בארגון שבו מנהלי משאבי האנוש מעבדים מידע רגיש על עובדים (כגון שכר, מחלות, או פרטים אישיים), הגבלת הגישה למידע זה רק לבעלי תפקידים מורשים היא קריטית.
  • Integrity (שלמות המידע). הבטחת דיוקו ושלמותו של המידע, כך שהוא יישאר במצב שבו הוזן למערכת, ללא שינויים זדוניים או טעויות. דוגמה: עיבוד שגוי של נתוני שכר עשוי לגרום לעובדים לאבד אמון בארגון ואף לחשוף אותו לתביעות משפטיות.
  • Availability (זמינות המידע). שמירה על זמינות המידע והמערכות למשתמשים המורשים בכל עת. אמצעים לכך כוללים מערכות גיבוי, שרידות ושרתי יתירות. לדוגמה, ארגון המסתמך על מערכת מידע מרכזית לצורך תשלומי שכר חייב לוודא שהמערכת תהיה זמינה גם במצבי חירום.

 

גורמי סיכון באבטחת מידע

אבטחת מידע איננה תלויה אך ורק בטכנולוגיה. היא מושפעת ממספר גורמים:

  • גורמים טכנולוגיים. מערכות טכנולוגיות מתקדמות כוללות תשתיות חומרה ותוכנה, אך הן חשופות לפגיעות כמו פרצות אבטחה או תקיפות סייבר. לדוגמה, מערכות לא מעודכנות עשויות לאפשר לתוקפים לנצל חולשות ידועות לצורך גישה למידע רגיש.
  • הגורם האנושי. האדם מהווה את נקודת התורפה העיקרית. טעויות אנוש, חוסר מודעות, או פעולות זדוניות של עובדים או קבלנים חיצוניים הם גורמי סיכון עיקריים. למשל, עובד שאינו נוקט אמצעי זהירות בהעברת קבצים רגישים, כגון שימוש בדוא”ל פרטי, עלול לחשוף את הארגון להפרת פרטיות.
  • תהליכים ארגוניים. תהליכים ארגוניים בלתי מסודרים מגבירים את הסיכון לטעויות אנוש. לדוגמה, כאשר אין מדיניות או נהלים ברורים לניהול הרשאות גישה או למחיקת נתונים, עשויות להתרחש הפרות של אבטחת מידע.

 

תפקיד מנהל משאבי האנוש באבטחת מידע ובהגנת הפרטיות

במישור הארגוני, תפקידו של מנהל משאבי האנוש הוא קריטי בהגנה על מידע רגיש. תפקיד זה כולל אחריות נרחבת המשלבת בין ניהול תהליכים, הסברה והדרכת עובדים, ופיקוח על עמידה בתקנות. מנהל משאבי האנוש נדרש להבין את החשיבות המשפטית והארגונית של אבטחת מידע והגנת הפרטיות, ולהוות חלק מרכזי בארגון. נבהיר מספר סוגיות נפוצות.

הליכי קבלת עובדים לעבודה

תיקון 13 לחוק הגנת הפרטיות משנה את הליכי קבלת עובדים, במיוחד לגבי איסוף, שימוש ועיבוד מידע אישי של עובדים. דהיינו, כבר בתהליכי הקבלה והמיון למקום העבודה, על משאבי האנוש לבחון את המידע הדרוש (קורות חיים, אישורי השכלה, צילומי תעודת זהות, רישום פלילי, וכיוצ”ב), ולצמצם את המידע העודף.

בתוך כך, חלה חובת גילוי מלא: יש להבהיר לעובדים ולמועמדים לעבודה, אם חלה עליהם חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונם ובהסכמתם; המטרה אשר לשמה מבוקש המידע; ולמי יימסר המידע ומטרות המסירה. בנוסף, יש להבהיר בדבר תוצאת הסירוב למסירת המידע.

מיון עובדים באמצעות מכון מיון

כתנאי לקבלה לעבודה, דורשים מעבידים רבים שהמועמדים למשרה יעברו מבחני מיון והתאמה. מכוני המיון, אוספים מידע אישי רב על מועמדים פוטנציאלים, לרבות ניסיון תעסוקתי קודם, השכלה , מצב בריאותי, סטאטוס משפחתי, ועוד. בפני המועמדים המבקשים להתקבל למקום העבודה, אין ברירה אמיתית אלא להסכים לביצוע המבדקים אצל הגורם אליו הפנה אותם המעביד. כתוצאה הכרחית של הליך המיון, נאסף על המועמד מידע אישי שחוק הגנת הפרטיות חל עליו. עמדת רשם מאגרי מידע (מס’ 2012/2) לעניין תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקראת קבלה לעבודה ועל פעילות מכוני מיון, קובעת בתמצית את העקרונות הבאים:

  • שימוש מוגבל ומוגדר. למכון המיון אין כל זכות עצמאית להשתמש במידע שנמסר לו על מועמד מעבר להגדרות ולצרכים של המעסיק המפנה. המידע שייך למאגר של המעסיק בלבד, וכל שימוש בו כפוף לחוק הגנת הפרטיות ולהסכמת המועמד. המשמעות: מכון המיון אינו רשאי “למחזר” או לנצל את הנתונים לטובתו או לצרכיו הפנימיים.
  • הפרדת מאגרים ומינוי ממונה. כאשר מכון מיון מספק שירותים למספר מעסיקים שונים, עליו להבטיח הפרדה מלאה בין מאגרי המידע של כל מעסיק, כך שלא תתאפשר גישה לנתוני מועמד שאינם רלוונטיים לאותו מעסיק. במקרה בו המכון מחזיק מידע בעבור חמישה מעסיקים או יותר – קמה חובה למנות ממונה על אבטחת המידע (CISO), שתפקידו לוודא קיום ההפרדה, פיקוח על נהלים ועמידה בדרישות החוק.
  • מטרות מוגבלות ושימוש בהסכמה נפרדת. המידע על מועמד נועד אך ורק לצורך הערכת התאמתו למשרה שאליה הופנה. כל שימוש אחר, כגון העברת הנתונים למעסיק פוטנציאלי אחר, או שימוש בנתונים לצרכים מחקריים – מחייב הסכמה מודעת, נפרדת ומפורטת של המועמד, לאחר שנמסרה לו הודעה ברורה בהתאם לסעיף 11 לחוק. ללא הסכמה כזו, השימוש נחשב לחריגה אסורה.
  • הסכמה מדעת – תנאי הכרחי אך לא מספיק. הסכמת המועמד לעיבוד המידע אינה מקנה למכון “רישיון פתוח”. השימוש במידע צריך לעמוד גם בדרישות עקרוניות של תכלית ראויה, סבירות ומידתיות. כלומר, גם אם המועמד הסכים, השימוש ייחשב חוקי רק אם הוא נחוץ למטרה לגיטימית ובאופן שאינו חורג מהנדרש.
  • זכות העיון של המועמד. המועמד זכאי לקבל לידיו, מהמעביד וכל מכון מיון הפועל מטעמו, את חוות הדעת בדיוק כפי שנמסרה למעביד שהזמין את המבדקים לרבות תוצאות של המבחנים ככל שנכללו בחוות הדעת –
    חוות הדעת המילולית שנמסרה למעסיק וכן את תוצאות מבדקי ההתאמה, ככל שהן כלולות בה, בכפוף אלא אם התקיימו הסייגים המפורטים בסעיף ג(13 ) לחוק הגנת הפרטיות.
  • מחיקה או אנונימיזציה של המידע. עם סיום המטרה שלשמה נאסף המידע, חייב המכון למחוק את המידע או להפוך אותו לאנונימי באופן מלא. המשמעות היא שהמידע לא יאפשר עוד לזהות את המועמד, ולא יוכל לשמש בהמשך באופן אישי כלפיו. אולם, אם המידע במאגר עובר הליך של אנונימיזציה מוחלטת שאינה מאפשרת לייחס אותו לאדם אפילו בעקיפין – אזי אין עוד צורך למוחקו. קראו כאן הרחבה על מחיקת מידע.

שמירת המידע והגנה על פרטיות העובדים

מנהלי משאבי אנוש עוסקים במידע אישי של כל עובד ברשות, מרגע קליטתו ועד לעזיבתו (ואף לאחר מכן). עליהם לוודא כי הכלים בהם הם אוגרים, שומרים ומעבדים מידע (לרבות הממשק בין שכר למשא”ן), יספקו מענה הולם לניהול מחזור החיים של העובד.

כאמור, יש לתת הודעות בנוגע לפרטיות עובדים בהתאם לדרישות החוק (המתוקן), ולקבל את הסכמת העובדים לאיסוף ועיבוד המידע האישי עליהם. ככל שהמעסיק מעביר את נתוני עובדיו לצורך הכנת משכורות, למיקור חוץ (חברות המעניקות שירותי חשבות שכר), הרי שיש לידע ולקבל את הסכמת העובד גם לכך. בנוסף, על משאבי האנוש לפרט את נהלי אבטחת המידע ושמירת פרטיות העובדים, דוגמת מידע ביומטרי, שעוני נוכחות, מצלמות אבטחה, נתוני מיקום וכיוצ”ב, ולעדכן את העובדים בכל שינוי.

עקרון המידור

בהרבה ארגונים, אנשי משאבי אנוש מחזיקים גישה גורפת לכל המידע. אלא שזהו סיכון מובהק. לשם הדוגמה, האם מנהל גיוס צריך לראות נתונים רפואיים? האם חשב השכר צריך להיחשף לתיק המשמעת של העובד? כאן עולה חובת מנהל משאבי האנוש להגדיר נהלים ברורים לגבי מי נחשף למה.

שמירת המידע והגנה על פרטיות עובדים לשעבר

גם עובדים לשעבר נחשבים כ”נושא מידע”. המידע האישי שהצטבר לגביהם במהלך העסקתם, ובכלל זאת נתונים כספיים, נתוני שכר, נתונים רפואיים, ארגוניים (שימועים, פיטורין, נוכחות, משמעת), הליכים משפטיים, וכו’, מוגדרים כ”מידע בעל רגישות מיוחדת”.

נכון להיום, אין הוראה חוקית המתייחסת לתקופה בה יש לשמור מידע על עובדים לשעבר. מחד, קיימים שיקולים משפטיים לשמירת הנתונים במשך 7 שנים (תקופת ההתיישנות). מאידך, עקרון צמצום המידע (Data Minimization) קובע שאין לשמור מידע מעבר לנדרש.

ניהול הרשאות וגישה למידע

מנהל משאבי האנוש אחראי להגדיר למי מותרת הגישה למידע, כיצד היא ניתנת, ובאילו נסיבות יש צורך להסירה. לשם הדוגמה, בעת עזיבת עובד, יש לוודא הסרת הרשאות באופן מיידי. מנגד, בעת מעבר של עובד בין אגפים, יש לוודא את ההרשאות המתאימות החדשות, ולהסיר את גישת העובד משימוש בתוכנות או ממאגרים ששימשו אותו בתפקידו הקודם.

הסכמי עבודה

בעת קליטת עובדים, יש לוודא כי בהסכמי העבודה קיימים הבהרות על מדיניות הרשות, סעיפים ברורים בנושא אבטחת מידע והגנת הפרטיות, והתחייבות העובד לעמוד בהם.

נהלי שימוש במחשבים, בחומרה ובתוכנה, IT, דוא”ל וניטור שימוש עובדים

ככל שהרשות מנטרת (או עשויה לנטר) שימוש של עובדים במערכותיה, יש צורך בנוהל ברור בנושא: תום-לב, גילוי ושקיפות, לגיטימיות, מידתיות ולצמידות למטרה. במסגרת פרשת איסקוב, נקבע כי המעסיק יכול לקבוע כללים ולהטיל מדיניות לגבי השימוש בטכנולוגיות המיועדות לעובדים לצרכי עבודה, לרבות שימוש בתיבות הדואר האלקטרוני. בכלל זאת, רשאי המעסיק לאסור על כניסה לאתרים מסוימים, להגדיר מגבלות זמן לגלישה, לקבוע מדיניות בעניין הכנסת ציוד חיצוני לרשת, לקבוע אמצעי מעקב אחר פעולות העובדים במקום העבודה, ועוד – ובכפוף לקיום נוהל בנושא. וראה סקירה בנושא “הלכת איסקוב“.

אבטחת מידע במיקור חוץ

בהתאם להנחיית רשם מאגרי מידע 2011/2 (“שימוש בשירותי חוץ לעיבוד מידע אישי”), על ארגון המבקש להוציא פעילות למיקור חוץ, לבחון האם הוא רשאי להוציא את המידע שהוא מבקש לעבד במיקור חוץ אל מחוץ לשליטתו בתהליך של מיקור חוץ – קיימות מגבלות חוקיות, ואפשר שגם אתיות. היינו, האם ראוי, לאור אופי המידע האישי שהשירות יתבקש לגביו ורגישותו, להעביר את המידע או את עיבודו למיקור חוץ. כל זאת, נוכח העובדה שקבלנים וספקים חיצוניים מהווים סיכון משמעותי לאבטחת מידע.

על מחלקת משאבי האנוש להגדיר, באופן מפורט וברור, מהו סוג הישרות המבוקש, מהו היקף המידע האישי הנדרש לצורך אספקת השירות על-ידי נותן שירות מיקור החוץ. ככל שקיימת התקשרות, על מנהלי משאבי האנוש לבדוק את חוזי ההתקשרות, לוודא עמידה בדרישות הרגולציה, ולהגביל גישה רק למידע הדרוש לביצוע המשימה.

אחריות על הדרכת עובדים

מנהלי משאבי האנוש ממלאים תפקידי מפתח בחינוך ובהסברה, בכל הנוגע לאבטחת מידע ולהגנת הפרטיות. במסגרת תפקידם, עליהם לוודא קיום הדרכות עיתיות; יצירת מודעות לאבטחת מידע; והטמעת תרבות ארגונית.

דיווח על אירועים או הפרות

על מנהל משאבי האנוש מוטלת חובה לדווח על אירועי אבטחת מידע או הפרות פרטיות. מנהל משאבי האנוש, בהיותו הגורם המרכזי המטפל במידע אישי ורגיש של עובדים, עובדים לשעבר ומועמדים לעבודה, אחראי ישירות לשיתוף פעולה עם הממונה על הגנת הפרטיות (DPO), ובפרט כאשר מתרחש אירוע בעל פוטנציאל לפגיעה בזכות לפרטיות.

נדגיש כי אין זה מתפקידו של מנהל משאבי אנוש להכריע אם האירוע מחייב דיווח חיצוני, אלא למסור מידע מלא ומדויק ל-DPO לצורך הערכת סיכון וקבלת החלטות.

שקיפות וזכות לעובדים

חוק הגנת הפרטיות מחייב את הארגון להבהיר לעובדים, ואף את המועמדים לעבודה, מה המידע האישי שנאסף עליהם – באופן ישיר או עקיף, מטרת עיבודו, האפשרות להעברתו לצד ג’, וזמן השמירה עליו.

לאחר סיום העבודה בארגון, על משאבי האנוש להבהיר באשר למידע שנשמר בארגון על העובד. לדוגמה: תיק אישי (לרבות שימועים, הפרות משמעת, תלונות וכו’); תלושי שכר; מידע אישי או קבצים שעדיין קיימים בתיבות הדוא”ל ששימשו את העובדים בתקופת העבודה; האפשרות להתלות, להעביר, למחוק את המידע; ועוד. למותר לציין כי נהלים אלו (וכן הסכמתו מדעת של העובד) צריכים להיות מגובים במסמכי מדיניות, טפסי הסכמה, ובהסכמי ההעסקה עם העובד/ת.

הקשר בין משאבי האנוש לבין ממונה הגנת הפרטיות (DPO)

תיקון מס’ 13 לחוק הגנת הפרטיות (אותו סקרנו כאן וכאן) כולל מספר שינויים חשובים ברשויות המקומיות. אחת מחובות הרשויות המקומיות היא חובת מינוי ממונה על הגנת הפרטיות (DPO).

תפקידיו של ממונה הגנת הפרטיות, באופן כללי, הנם להבטיח קיום ההוראות לפי חוק הגנת הפרטיות על ידי בעל השליטה במאגר המידע או המחזיק במאגר המידע, ולקדם את השמירה על הפרטיות ואבטחת המידע במאגרי המידע. כמו כן, עליו לשמש סמכות מקצועית ומוקד ידע, ולהעניק ייעוץ להנהלת הגוף שהוא ממלא בו את תפקידו ולעובדיו, לרבות הכנת תוכנית הדרכה ופיקוח על ביצועה. עליו לסייע בהכנת תוכנית לבקרה שוטפת על העמידה בהוראות לפי החוק, ולוודא את ביצועה. בנוסף, על ממונה הגנת הפרטיות לוודא את קיומם של נוהל אבטחת מידע ומסמך הגדרות המאגר.

ממונה הגנת הפרטיות משמש כתובת לרשויות המוסמכות בתחום הגנת הפרטיות, וכן עליו לוודא טיפול בפניות של בני אדם שמידע אישי על אודותיהם נמצא במאגר המידע לגבי עיבוד מידע כאמור או מימוש זכויותיהם לפי חוק זה.

הקשר בין HR (משאבי אנוש) לבין DPO (Data Protection Officer)

הקשר בין משאבי האנוש ברשות המקומית, לבין ה-DPO, נובע מהצורך בניהול נכון של מידע אישי של עובדים תוך עמידה בהוראות הדין. שיתוף הפעולה בין שני הגורמים הנו קריטי לצורך הבטחת עמידת הארגון בהוראות הדין, ולצורך אבטחת המידע. שיתוף הפעולה והממשק, באים לידי ביטוי בין היתר בתחומים הבאים:

  • ניהול נתוני עובדים. משאבי האנוש מטפלים במידע אישי רגיש על עובדים, כולל פרטים אישיים, נתוני שכר, הערכות ביצועים, ומידע רפואי. יש לוודא שהנתונים הללו מעובדים בהתאם לחוקי הגנת פרטיות, כולל הגבלת גישה, אחסון בטוח, ומחיקת מידע כאשר אינו נחוץ יותר.
  • תהליכי גיוס והסכמה. במהלך גיוס עובדים, משאבי האנוש אוספים ושומרים נתונים על מועמדים, כמו קורות חיים, תעודות, תעודות זהות, היתרים, אישורים, ומידע נוסף. במקרים מסויימים, נאסף אף מידע רפואי, שאפשר שהוא רלוונטי לתפקיד. ה-DPO עוזר לוודא שהליך זה מתבצע בהתאם לדרישות החוק.
  • זכויות עובדים. בהתאם לתיקון 13, עובדי הרשות (כמו גם עובדים לשעבר) זכאים לדעת אילו נתונים אישיים נשמרים אודותם, וכיצד נעשה בהם שימוש. לעובדים אלו קיימת גם הזכות לעיין במידע, ולתקן את המידע. מימוש הזכות החוקית מתבצע על ידי משאבי האנוש, ובסיוע ה-DPO.
  • מדיניות הגנת הפרטיות. ה-DPO אחראי על פיתוח מדיניות הגנת הפרטיות של הארגון, שמבטיחה שמידע העובדים מוגן. תפקיד משאבי האנוש הוא לתווך ולקדם מדיניות זו, באמצעות הכשרות, הדרכות והסברים לעובדים ולוועד העובדים.
  • טיפול באירועי דליפת מידע. במקרה של דליפת מידע אישי, מחלקת משאבי האנוש חייבת לשתף פעולה עם ה-DPO על מנת להעריך את הנזק, ליידע את העובדים שנפגעו, ולעמוד בדרישות הדיווח לרגולטורים.

 

סיכום

מחלקות משאבי האנוש מהוות כיום גורם מכריע בשמירה על פרטיות העובדים ובאבטחת מידע רגיש, נוכח ההחמרה ברגולציה מכוח תיקון 13 לחוק הגנת הפרטיות. המידע הנאסף והמטופל כולל לעיתים נתונים ביומטריים, רפואיים, פיננסיים, ארגוניים ומשפטיים. בהתאם לעקרונות הגנת הפרטיות – שקיפות, הסכמה, צמצום מידע ומידתיות – על משאבי האנוש לנהל את המידע הארגוני באופן שיטתי, אחראי ומבוקר. הדבר כולל ניסוח מדיניות פרטיות ייעודית, הגדרת נהלים ברורים, בקרת הרשאות, תיעוד הסכמות, והטמעת הדרכות ייעודיות לעובדים ולמנהלים.

תפקידו של מנהל משאבי האנוש מחייב שיתוף פעולה הדוק עם ממונה הגנת הפרטיות (DPO), לצורך בחינת עמידת הארגון בהוראות הדין, גיבוש תהליכי עבודה תואמים, וטיפול באירועים חריגים כגון דליפת מידע או פגיעה בזכויות עובדים. ניהול פרטיות בעידן המודרני אינו עניין תפעולי בלבד, אלא נדבך מהותי במערך הציות והמשילות הפנים-ארגונית. התרשלות בהגנה על מידע עובדים עלולה לחשוף את הארגון לסנקציות רגולטוריות, עיצומים כספיים, פגיעה במוניטין ואובדן אמון ציבורי.

משרד עורכי הדין וולר ושות’ מתמחה בליווי משפטי ורגולטורי בתחום הגנת הפרטיות, אבטחת מידע ודיני עבודה, תוך שילוב ראייה אסטרטגית ויישומית לצרכים ארגוניים מורכבים. המשרד מעניק ייעוץ שוטף למגוון גופים ציבוריים, עסקיים ומוניציפליים, ומוביל הטמעת רגולציה בהתאם לתיקון 13 לחוק הגנת הפרטיות.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign