Sunday, 24th March 2019 4:17:29am

Blog

החובות החלות בתחום הגנת הפרטיות ואבטחת מידע בתהליך גיוס כוח אדם למקומות עבודה

תהליך גיוס כוח אדם באירגונים כרוך באיסוף ובעיבוד של מידע פרטי אישי ורגיש אודות מועמדים לעבודה. במידע שנאסף במהלך תהליך הגיוס ניתן למצוא נתונים כגון השכלה, הכשרה מקצועית, ניסיון תעסוקתי, תאריכי לידה, השתייכות לארגונים, חוות דעת פסיכולוגיות, תחקירים ביטחוניים, ולעיתים גם חוות דעת רפואיות, וכן פרטי קשר כגון מס' טלפון סלולארי, כתובת דואר אלקטרוני, מצב אישי ומשפחתי, תמונות פספורט ועוד. כל אלה מהווים מידע פרטי ורגיש, אשר חוק הגנת הפרטיות, תשמ"א-1981 (להלן – "החוק") ותקנותיו לרבות הוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2007 (להלן – "התקנות"), חלים עליו.  

חשיפה למידע אישי של מועמדים/ות במסגרת תהליכי גיוס כוח אדם למי שלא מורשה לכך, העברת המידע לחברות חיצוניות (כגון חברות השמה וגיוס כ"א, מכוני איבחון המכונים לעיתים כמרכזי הערכה, חברות מיחשוב ותוכנה, ספקתיות תשתית וכיוצ"ב), שימוש במידע של מועמדים/ות שלא למטרה שלשמה נאסף (גיוס למשרה מסוימת או איבחון התאמה לתפקיד מסוים), שמירת מידע שלא לצורך, עיבוד ממוחשב של המידע שנאסף ממועמדים/ות בתהליך הגיוס, הזנת המידע, שמירתו, ניתוחו והפקתו באמצעות מערכות מידע ממוחשבות (כגון מערכות ERP) שלא לפי הוראות חוק הגנת הפרטיות, חושפת את המעסיק להליכי אכיפה אזרחיים, להליכים מינהלתיים ולחיוב בתשלום קנסות ואף בפיצוי ללא הוכחת נזק, וכן פוגמת בתדמית ואמינות האירגון בעיני מועמדים/ות, ספקים, ורגולטורים ממשלתיים ופוגמת באינטרסים העסקיים של הארגון.  

להלן נביא המלצות שיסייעו למנהלי/ות משאבי אנוש, חברות השמה וספקי תוכנה ותשתית מיחשוב העוסקים/ות בתהליך גיוס עובדים בין באופן ישיר ובין כחברות חיצוניות המספקות במיקור חוץ (outsourcing) שרותים לתהליכי גיוס כוח אדם ליישם את החובות המוטלות עליהם/ן מכוח החוק והתקנות:

 

  • ראשית יש לזכור, כי המעסיק המגייס מועמדים/ות לעבודה בארגון הוא הבעלים של מאגר המידע שאליו נאספים נתונים ומידע אישי על מועמדים/ות, ולכן, הוא האחראי המרכזי לקיום החובות הנוגעות לקיום המאגר, רישום המאגר וניהולו לפי החוק והתקנות. נושא המשרה אשר עליו מוטלת האחריות הישירה לניהול המאגר לפי החוק הינו המנהל הפעיל של הארגון המגייס אליו עובדים או מי שהוסמך לכך על ידי המנהל כאמור (כגון מנהל/ות משאבי אנוש וכדומה).
  • בשלב הראשוני של הגשת המועמדות לעבודה או למשרה מסוימת מעביר/ה המועמד/ת קורות חיים או טפסי מועמדות המכילים מידע אישי רב אודות המועמד/ת. בהכנת טפסי המועמדות יש לשאוף לצמצום פרטי המידע הנאספים על המועמד/ת ולדאוג כי רק מה שהכרחי באמת לבחינת התאמתו של המועמד למשרה הספציפית יועבר כדוגמת ניסיון תעסוקתי, פרטי השכלה, הכשרות רלוונטיות וכו'.
  • במידה ובתהליך הגיוס נעשה שימוש בחברות חיצוניות כגון חברות גיוס השמה, יועצי השמה, תוכנות חיצוניות, מערכות מידע וספקי תשתיות מיחשוב ובמידה והמידע שנאסף מהמועמד מועבר לאותם חברות יש לבחון האם העברה זו הכרחית והאם לפני איסופו, התקבלה הסכמת המועמד/ת להעברת המידע.
  • יש לוודא כי ננקטים אמצעי אבטחת מידע ונהלי הרשאת גישה מתאימים כך שרק בעלי הרשאה יהיו רשאים לגשת לקורות החיים ולחומר שהועבר על ידי המועמדים/ות.
  • בשלב הריאיונות לעבודה נאסף מידע נוסף אודות המועמד/ת. בשלב זה יתכן ונאסף על המועמד/ת מידע שהינו רגיש[1] ולא רק על ניסיונו התעסוקתי, כגון מידע על עניינים אישיים הנוגעים למצבו המשפחתי של המועמד/ת, עיסוקים אחרים, הרגלים, תוכניות לעתיד וכו'. אין לשאול שאלות שאינן רלוונטיות להערכת התאמתו של העובד/ת למקום העבודה ואין לאסוף מידע שלא לצורך.
  • ארגונים המגייסים עובדים לעיתים שולחים את המועמד/ת לעשות מבדקי התאמה לקבלה לעבודה באמצעות מכוני מיון חיצוניים. כתוצאה הכרחית של הליך המיון אצל המכון נאסף על המועמד/ת מידע אישי הכפוף לחוק הגנת הפרטיות. לפי עמדת הרשות להגנת הפרטיות[2] לא נוצרת מערכת יחסים נפרדת בין המועמד/ת לבין המכון ובמונחי חוק הגנת הפרטיות המכון הוא בגדר מחזיק במידע.
  • מכאן שהאחריות הכוללת למידע אשר נאסף על המועמד/ת ולכך שהמכון יקיים ויפעל על פי הוראות חוק הגנת הפרטיות ויישם את ההוראות הנוגעות לאבטחת המידע ביחס למידע של המועמדים חלה על המעסיק ששלח את המועמד/ת למכון החיצוני.
  • כך לדוגמא, בשלב מבחני מיון והתאמה לעבודה על המעסיק לבדוק האם המכון החיצוני שומר על סודיות ודואג לסדרי אבטחת מידע הנאסף אודות המועמדים/ות לעבודה בתהליך מבדקי ההתאמה?
  • כמו כן, על המעסיק לבדוק האם נקבע מול המכון החיצוני נוהל שמגדיר מראש מה השימוש שעושה המכון במידע וכיצד, אם בכלל, ניתנת למועמדים/ות אפשרות לעיין בחוות הדעת שהוכנה עבור המעסיק כתוצאה מהמבחנים שנערכו במכון?
  • ארגונים נוהגים לשמור את המידע שנאסף ממועמדים/ות במסגרת תהליך הגיוס גם לאחר שהמועמד/ת לא התקבל/ה למשרה עליה התמודדו, כיוון שיש להם פוטנציאל להיות מועסקים בעתיד. אחד מעקרונות היסוד של דיני הגנת המידע הוא שמידע אישי יש לשמור רק לפרק הזמן ההכרחי למימוש המטרות שלמן המידע נאסף, לפיכך על מעסיקים או מכון המיון לבער את המידע מייד כשהסתיים הליך המיון או הקבלה לעבודה, אלא אם כן המועמדים/ות נתנו הסכמתם לשמירת המידע למקרה שבו יבקשו להתמודד בעתיד על משרה בארגון שאז יש צורך לוודא שלא יעשה שימוש במידע של המועמדים/ות למטרות אחרות שאינן נובעות במישרין מהמטרה שלשמן נאספו.
  • ארגונים הבוחרים לנהל את תהליך הגיוס ואת איסוף ועיבוד המידע אודות המועמדים/ות בעזרת חברות חיצוניות המספקות שירותים במיקור חוץ כגון השמה וגיוס כ"א, חברות תוכנה וספקיות של מערכות מידע לניהול תהליך הגיוס וכיוצ"ב, למעשה מעבירים מידע רב לאותם צדדים שלישיים לצורך קבלת השירות. ההעברות אלה אינן פוטרות את המעסיק מחובותיו לפי חוק הגנת הפרטיות ותקנותיו.
  • על המעסיק לנקוט אמצעים סבירים על מנת לוודא כי הספק עמו הוא מתקשר עומד בחובותיו בתחום הגנת הפרטיות ושמירה על סדרי אבטחת מידע. כך למשל, יש לעגן בחוזה עם הספק החיצוני הוראות הקשורות למידע שרשאי הספק לעבד בשם המעסיק, את מטרת עיבוד המידע והשימושים שיעשו בו, מערכות המיחשוב שהספק יקבל הרשאת גישה אליהם, משך תקופה של ההתקשרות ואופן קיום החובות בתחום אבטחת המידע החלות על הספק החיצוני כגון, הכנת נוהל אבטחת מידע, ניהול גישה למאגר ותיעוד גישה, תיעוד אירועי אבטחת מידע, קביעת נהלי עבודה עם ספקי משנה להם ניתנת גישה למאגר, ביצוע גיבויים ועוד.

לאור פעילות פיקוח, ביקורות ואכיפה מינהלית יזומה שמבצעת הרשות להגנת הפרטיות אצל ארגונים המנהלים או מחזיקים במאגרי מידע מומלץ לבחון את עמידתכם בהוראות החוק והתקנות ולקבל עצה מקצועית בנוגע ליישום החובות החלות על העוסקים בתהליך של גיוס כוח אדם.

האמור לעיל הינו מידע כללי ואינו מהווה חוות דעת משפטית.

לקבלת ייעוץ מקצועי יש לפנות עם מלוא פרטי המקרה לעורך דין.

אלון ספושניק, עורך דין @ כל הזכויות שמורות

בעלת תואר מוסמך במשפטים ובמינהל עסקים MLB מאוניברסיטאות Bucerius ו-WHU בגרמניה.

This email address is being protected from spambots. You need JavaScript enabled to view it.

טלפון: 072-2502512 * פקס: 072-2502521

www.sr-lawoffice.co.il

 

 

 

 

[1] מידע רגיש "מידע רגיש" -

 (1)  נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו;

(2)  מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש;

 

[2] ראה הנחיה הנחית רשם מאגרי מידע מס' 2/2012 תחולת הוראות חוק הגנת הפרטיות על הליכי מיון לקבלה לעבודה ופעילות מכוני מיון.