Conference Summery -Workers Rights in the Cyber Era

ב- 22.1.2020 התקיים באונבירסיטה העברית כנס בנושא "זכויות עובדים בעידן של הגנת סייבר" בו השתתפו עו"ד עמית אשכנזי, היועץ המשפטי של מערך הסייבר הלאומי, השופט אילן איטח, סגן נשיאת בית הדין הארצי לעבודה, ד"ר תמי קצביאן מהאוניברסיטה העברית, עו"ד קרן דהרי ממחלקת ייעוץ וחקיקה במשרד המשפטים, עו"ד רעות ימין ממערך הסייבר הלאומי. בכנס אף התקיים שולחן עגול בו הועלו שאלות יותר נקודתיות לגבי דיני העבודה.

כמה מהנקודות החשובות שעלו לדיון בכנס:

1. החשיבות בהבחנה בין הבטחת סייבר והשפעתה על זכויות עובדים לבין יריעה יותר רחבה של השפעת הטכנולוגיה על זכויות עובדים. הרגולציה הנוגעת למאגרי מידע מהווה מקרה בוחן לרגולציה של אבטחת מידע וכמקום בו יש מפגש בין הגנת הסייבר לבין העובד (או הלקוח) והארגון. כיום קיימת רגולציה סקטוריאלית בכל הנוגע לבריאות, בנקים, מפעלי אנרגיה ועוד. הרגולציה הזו אינה מספיקה ברמה הלאומית ולכן נעשה מעבר להגנה לאומית של מערך הסייבר. הכניסה של המדינה לעיסוק בהגנה על הסייבר מעוררת שאלות רבות בנושאים חוקתיים. עם זאת, תפקיד ניהול הסיכונים הוא של הארגון שכן הארגון מפנים את הסיכונים.

יחד עם זאת התחדד בדיון הקושי בהבחנה זו, שכן פעמים רבות מעסיקים משתמשים בטכנולוגיה להשגת מספר מטרות, ביניהן הגנת סייבר, כך שיתכנו מקרים שיהיה שימוש מידע שמושג באמצעות הטכנולוגיה לצורך הגנת הסייבר לצורך מטרה אחרת. בנוסף, ישנם מקרים בהם מעסיקים מסתתרים מאחורי המושג "אבטחת מידע" כדי לעשות במידע שימושים אחרים. זאת, לאור מבחנים עמומים כמו מידתיות ואי ודאות משפטית הקיימת בתחום. אחד הקשיים המרכזיים הוא לתחום את הפעולות לצרכי אבטחת סייבר בלבד. כך לדוגמא, כאשר מעסיק מנטר אחר מיילים, כיצד ניתן לדעת אם ישתמש במידע הזה רק לצורך אבטחת מידע או שהמעסיק יעשה שימושים נוספים כמו לוודא שהעובדת אינה אוחזת בדעה פוליטית כזו או אחרת. פסק דין שממחיש זאת היטב ניתן בעניין בלקאר. באותו מקרה, המעסיק טען שהניטור נועד לצרכי הגנת הסייבר, טענה שלא הוכחה ונקבע שהשימוש במידע לא היה לגיטימי.  מורכבות זו מחייבת להתמודד יותר לעומק עם הדרישה של צמידות המטרה המחויבת על פי דין.

2. כשעוסקים בהגנת סייבר, המידע הרלוונטי הוא פקודות המחשב, כגון יומן כניסות ויציאות למחשב, ולא התוכן של הדברים. מטרת פעולות הגנת הסייבר, להבדיל מסוגיות אחרות הקשורות לטכנולוגיה וזכויות עובדים, אינה ניטור תוכן, אלא רצון לשמור על תפקודו התקין של המחשב. עם זאת, התוקפים מחפשים פרצות וחולשות ומשתמשים בטכניקות (למשל שליחת לינק זדוני או גלישה באתר) אשר מחייבות לעתים גם מעבר על תוכן, וניטור אחר אנומליות הנוגעות לשימוש העובד במחשב.

3. ניתן לחלק את סוגיות הגנת הסייבר וזכויות עובדים לסוגיות שהטיפול בהן נעשה בעיקרו ex-post, כגון עוולות נזיקיות, אשר מגיעות להכרעת בתי המשפט ובתי הדין, ולסוגיות שבהן האסדרה נעשית ex-ante, כמו דיני הגנת הפרטיות במידע.

4. לרוב הרגולטור אוכף את הנורמות על הארגון ומושא המידע אינו נמצא בשיח הזה. הדרך להתמודד עם הפער הזה היא באמצעות עקרון ה- accountability. העקרון קובע שהארגון יקיים תהליך ניהול סיכונים על מנת שיפנים את הסיכונים. למשל, כאשר ארגון רוכש טכנולוגיה חדש, על הארגון לקחת בחשבון את כל הזכויות של מושאי המידע. במסגרת הזו, יש לבחון מה היקף הניטור הלגיטימי (תלוי הקשר) ויש לשקף לעובדים/ללקוחות את הסיכונים.

5. הודגש המקום של בתי הדין לעבודה בחשיבות ההגנה על העובדים. לאור קצב התקדמות הטכנולוגיה המהיר, חשוב להתמודד עם בעיות עתידיות באמצעות פתרון כולל של חקיקה, ואולם גם לפסיקה תפקיד מרכזי. בתחום של יחסי עבודה יש בעיה אמיתית עם קבלת הסכמה ויש עניינים שבהם ההסכמה צריכה להיות מודעת ומרצון חופשי. הסכמה היא תנאי הכרחי אבל היא לא תנאי מספיק. עדיין צריך לבדוק עניינית את התקינות של המהלך – מידתיות, סבירות וכו', ולהגביל את המידע שאנחנו אוספים רק לצורך הגנה.

6. יתכן ויש מקום למנות "קצין עובדים" במערך ההגנה על הסייבר בארגון כדי שיהיה פוקוס גם על קבוצה זו, וגורם שיסתכל על הדברים מנקודת מבט של הארגון פנימה ולא רק החוצה. זאת בדומה לאחראי על הפרטיות ע"פ תזכיר החוק.

7. שאלות משפטיות נוספות שעשויות לעלות נוגעות לאופן הגדרתן של שעות עבודה: עד כמה פעילות הניטור מוגבלת לזמן עבודה ועד כמה היא נעשית בשעות שלאחר שעות העבודה ולמכשירים פרטיים של העובד; לשון הרע/הדלפת סודות– האם מצדיק ניטור ע"י המעסיק;  בינה מלאכותית – אילו הטיות יש בפעולת הניטור; הזכות להישכח – מתי ניתן למחוק את המידע על העובד.

8. שאלה מעניינת שעלתה נגעה להגדרת הפרטיות: לפי גישה אחת יש לפרש את מושג הפרטיות באופן רחב וגמיש, בדומה לגישתה של הלן ניסנבאום. שני פסקי דין של ביה"ד האירופי לזכויות אדם המיישמים מבחני מידתיות בהקשרים שונים: (1)  Bărbulescu v. Romania משנת 2017 – באותו מקרה, המעסיק אסר על שימוש במסנג'ר המקצועי לצרכים פרטיים והוא ניטר אחר התכתבויות אישיות של עובד במסנג'ר המקצועי. ביה"ד ראה בפגיעה בפרטיות כלא מידתית והדגיש שיש ליידע את העובדים לגבי מידת הניטור אחר המידע מראש; (2) López Ribalda v. Spain מ-2019 – באותו מקרה, עובדים נתפסו במצלמות האבטחה גונבים מהסופרמרקט בו עבדו. ביה"ד קבע שהפגיעה בפרטיות מידתית. ההנהלה הודיעה לעובדים על התקנת מצלמות בשל חשד מגניבות וכן הייתה מעורבות של נציגות עובדים בהליך. בפסק הדין המנחה בישראל לעניין זה שניתן באיסקוב, ניתנה בכורה לשאלת ההסכמה. לפי הגישה האחרת, הזכות לפרטיות משתרעת על פני פעולות רבות שניתן להכניסן לתוך הזכות לאוטונומיה ולאו דווקא פרטיות. דווקא הגדרה צרה יותר של פרטיות יכולה לאפשר צמצום פגיעה בזכויות עובדים ודיון יותר מעמיק על השלכות אחרות של ההגנה על הסייבר, למשל בכל מה שקשור לאוטונומיה שלהם.

9. עקרון ההסכמה לעומת שקיפות – יש לבחון כיצד מנגישים ומיידעים את העובדים על המדיניות. זו אחריות ההנהלה והאמונים על כך הם לרוב אנשי ה-IT. ניתן לחשוב על התראות שאמורות להזכיר לעובד מה מנוטר כדי שהוא יידע. אנחנו רוצים שהעובדים יירתמו לדבר הזה ויסייעו בהגנה על הסייבר.

10. עובדים שנמצאים מחוץ למערך הארגוני: כגון עובדי ועובדות קבלן ואחרים. יש לחשוב על ההגנה הניתנת גם לעובדים אלה על ידי הארגון.