עודכן לאחרונה: 21/06/2026 | זמן קריאה: כ-7 דקות
שעון נוכחות ביומטרי המבוסס על טביעת אצבע אסור בשימוש כפוי במקום העבודה
טביעת אצבע מוגדרת בחוק הגנת הפרטיות, התשמ"א-1981, "מידע בעל רגישות מיוחדת". בית הדין הארצי לעבודה קבע בעניין עיריית קלנסווה (2017) כי אין למעסיק סמכות לחייב עובד למסור טביעת אצבע ללא הסכמה מדעת, חופשית ומפורשת.
גם כשניתנה הסכמה, על המעסיק להוכיח מידתיות (שאין חלופה פוגענית פחות), לעמוד בחובת יידוע מקיף, וליישם רמת אבטחת מידע בינונית לפחות לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. עמדה זו עודכנה בפברואר 2024 בעקבות תיקון 13 לחוק.
למה טביעת אצבע "מסוכנת" יותר ממידע אישי רגיל?
זיהוי ביומטרי הוא מנגנון לזיהוי או אימות זהותו של אדם באמצעות מאפיינים פיזיולוגיים או התנהגותיים ייחודיים, כגון טביעות אצבע, תווי פנים, קשתית העין, מבנה כף היד, דפוס קול ולעיתים אף מאפיינים התנהגותיים כמו דפוס הקלדה או אופן הליכה. בניגוד למזהים מסורתיים, כגון סיסמאות, מספרי זיהוי או כרטיסי גישה, המידע הביומטרי מבוסס על רכיבים אינהרנטיים לאדם עצמו, שאינם ניתנים להפרדה מזהותו.
ייחודו של מידע ביומטרי טמון בכך שהוא משלב שלושה מאפיינים קריטיים: ייחודיות, יציבות ובלתי-הפיכות. ראשית, מדובר במידע בעל רמת אבחנה גבוהה, המאפשר זיהוי ברמת ודאות משמעותית. שנית, ברוב המקרים מדובר במאפיינים יציבים הנשמרים לאורך זמן ואינם משתנים באופן מהותי. שלישית, וזהו ההיבט המשפטי והרגולטורי הרגיש ביותר, מדובר במידע שאינו ניתן להחלפה או “איפוס”. אם סיסמה דולפת, ניתן להחליפה; אם תבנית ביומטרית דולפת, האדם אינו יכול להחליף את טביעת האצבע שלו או את מבנה פניו.
בשל מאפיינים אלה, הדין והרגולציה בישראל מתייחסים למידע ביומטרי כאל מידע אישי רגיש במיוחד. מסמך המדיניות המעודכן של הרשות להגנת הפרטיות מפברואר 2024, שפורסם לאחר תיקון 13 לחוק הגנת הפרטיות, מחדד עמדה זו ומגדיר מידע ביומטרי כמעין “מפתח אוניברסלי” לזיהוי אדם. משמעות ההגדרה היא רחבה: בניגוד למזהה רגיל, מידע ביומטרי עשוי לאפשר חיבור בין מערכות, הצלבה בין מאגרים, ומעקב רציף אחר אדם במרחב הפיזי והדיגיטלי.
הסיכון המשפטי והטכנולוגי אינו מתמצה רק בעצם איסוף המידע, אלא בעיקר באפשרות לשימוש משני, בלתי מורשה או בלתי מידתי. דליפת מידע ביומטרי אינה רק אירוע אבטחת מידע; היא אירוע בעל השלכות עומק על פרטיות, חירות אישית ואוטונומיה. בניגוד לדליפת פרטי אשראי או סיסמאות, שהנזק בהן ניתן לצמצום באמצעות החלפה או חסימה, דליפת מידע ביומטרי יוצרת פוטנציאל מתמשך לחשיפה, התחזות, פרופיילינג ומעקב עתידי.
מכאן נובעת גם החמרת החובות החלות על ארגונים האוספים או מעבדים מידע ביומטרי: חובת בחינת נחיצות, צמצום איסוף, קבלת הסכמה מדעת במקרים הרלוונטיים, אבטחת מידע ברמה מוגברת, שמירה על עקרון המידתיות והגבלת השימוש למטרה מוגדרת בלבד. בעידן שבו מערכות ביומטריות הופכות לכלי נפוץ במקומות עבודה, מוסדות פיננסיים, מערכות בריאות ומרחבים ציבוריים, השאלה אינה עוד האם ניתן להשתמש בזיהוי ביומטרי, אלא האם השימוש בו עומד בסטנדרטים המשפטיים והרגולטוריים המחמירים שנקבעו להגנה על זכויות יסוד.
הלכת קלנסווה: המקור המשפטי המרכזי
בפסק הדין המוביל, עס"ק 7541-04-14 הסתדרות העובדים נ' עיריית קלנסווה (נבו, 15.3.2017), ביקשה העירייה לחייב עובדות חינוך להשתמש בשעון ביומטרי. בית הדין הארצי לעבודה קיבל את ערעור ההסתדרות וקבע כי מעסיק אינו רשאי לחייב חד-צדדית את עובדיו למסור טביעת אצבע לשם שימוש בשעון נוכחות ביומטרי, שכן מדובר בפגיעה בזכויות היסוד החוקתיות לפרטיות ולאוטונומיה על הגוף, אשר לא הוסדרה בחוק ולא זכתה להסכמה כדין.
בית הדין הארצי לעבודה קבע כי טביעת אצבע היא מידע ביומטרי פרטי-אישי של אדם, המכיל נתונים פיזיולוגיים ייחודיים ומשמש מפתח למידע רב. מסירת טביעת האצבע ואגירתה במאגר פוגעות בזכות החוקתית לפרטיות ובזכות לאוטונומיה על הגוף המוגנות בחוק יסוד: כבוד האדם וחירותו. פגיעה זו מתרחשת מעצם אובדן השליטה של העובד על המידע הייחודי לו ובשל הסיכון לדליפת המידע או לשימוש בו שלא למטרה שלשמה נמסר.
בית הדין הבהיר כי פגיעה בזכויות יסוד חוקתיות דורשת מקור חוקי מפורש. בעוד שקיימים חוקים שונים המסמיכים גורמים שלטוניים מסוימים (כגון משטרה או צבא) ליטול טביעות אצבע, או חוקים המחייבים עובדים למסור פרטים אישיים סטנדרטיים למעסיק, אין בדין הישראלי כל הוראת חוק המאפשרת למעסיק לדרוש מעובדיו למסור טביעת אצבע לצורך מעקב נוכחות. היעדר איסור מפורש בחוק אינו מהווה היתר לפגיעה בזכות.
מתי מותר להשתמש בשעון ביומטרי?
גם כשיש הסכמה, היא אינה מספיקה לבדה. הרשות להגנת הפרטיות מבהירה כי איסוף מידע ביומטרי למאגר עשוי להיחשב צעד בלתי מידתי, אלא אם קיימת הצדקה ממשית ואין חלופה סבירה פחות פוגענית. נדרשת בחינה של שלושה עקרונות: לגיטימיות (עניין ישיר וצורך אמיתי), מידתיות (האם הפעולה חיונית) ושקיפות (האם העובדים יודעים על המדיניות).
| חלופה | מידת פגיעה |
|---|---|
| כרטיס עובד (ללא ביומטריה) | נמוכה. מומלצת כברירת מחדל |
| מצלמה ממוקדת באזור השעון | נמוכה-בינונית |
| טביעת אצבע על כרטיס חכם אישי | בינונית. ללא מאגר מרכזי |
| שעון ביומטרי עם מאגר מרכזי | גבוהה. דורש הצדקה מיוחדת |
הסכמה ויידוע: מה חובה לגלות לעובד מראש?
בהיעדר הסמכה בחוק, אסור למעסיק לחייב עובד למסור מידע ביומטרי. כשהשימוש מידתי, רשאי המעסיק לדרוש הסכמה – וסירוב עשוי להיות בעל השלכות ביחסי העבודה, אך מומלץ להעמיד את המערכת לבחירת העובד ולספק חלופה סבירה לסרבנים.
לפני בקשת ההסכמה, על המעסיק ליידע באופן נרחב לגבי: מטרת האיסוף; זהות האחראי על המאגר ומורשי הגישה; אופן האבטחה; הסיכונים האפשריים; השלכות אי-מתן הסכמה; וזכויות העובד לעיון ולתיקון המידע.
שמירה על מידע ביומטרי: אבטחת מידע
לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, מאגר עם מידע ביומטרי מכל סוג חב לכל הפחות ברמת אבטחה בינונית – הצפנה, מדיניות כתובה, והפרדה מלאה בין הנתונים הביומטריים לשאר המידע. מאגר עם 100,000+ נושאי מידע, או עם למעלה מ- 100 מורשי גישה, מטפס לרמת אבטחה גבוהה.
תסקיר השפעה על הפרטיות ומינוי DPO
הרשות ממליצה במפורש על עריכת תסקיר השפעה על הפרטיות (DPIA) לפני תחילת איסוף מידע ביומטרי, וכן על מינוי ממונה הגנת פרטיות (DPO) שיתכנן ויבחן את הצעדים למזעור הסיכון.
חובת מינוי DPO חלה כיום, מכוח תיקון 13 (בתוקף מ-14.8.2025), על גופים ציבוריים, ספקיהם וגורמים העוסקים בעיבוד מידע רגיש בהיקף ניכר.
שאלות נפוצות
האם מעסיק יכול לפטר עובד שמסרב לתת טביעת אצבע?
האם שמירה על כרטיס חכם אישי פותרת את הבעיה?
האם חברה פרטית קטנה חייבת לעמוד בכל הדרישות?
מה הסיכון אם כבר התקנו שעון ביומטרי בלי הסכמה כדין?
שוקלים שעון נוכחות ביומטרי בארגון שלכם?
משרד וולר ושות' מלווה מעסיקים ורשויות מקומיות בבדיקת מידתיות, ניסוח מדיניות הסכמה, ועריכת תסקירי השפעה על הפרטיות, לפני שמתקינים את המערכת.
