[אני כותב את הפוסט הזה מהתחלה, כדי שיהיה אפשר לקרוא אותו וגם להבין, בגדול, הוא הרחבה של העניין שנכתב בפוסט הזה, שכנראה לא הובן על ידי קוראי, מה שאומר שהוא ראוי להסבר מחדש].
"לכל כניסה לתיבת דואר אישית, הנושאת כתובת עם שם העובד בלבד ולקבצים אישיים שלו, נדרשת הסכמה מפורשת מצד העובד, ואם ביקש זאת העובד, יעשה הדבר בנוכחותו." זה הסעיף מתוך ההסכם הקיבוצי הנוגע לזכויות העובד לפרטיות במקום העבודה שנחתם בשבוע שעבר בין ההסתדרות לארגוני המעסיקים; מטרת ההסכם היתה להסדיר את הדיסוננס המשפטי שנוצר מאז פסק הדין עב 010121/06 טלי איסקוב נ’ הממונה על חוק עבודת נשים ועב’ 1158/06 רני פישר נ’ אפיקי מים. המחלוקת היתה האם ניתן לאפשר למעביד לעיין בהודעות הדואר האלקטרוני של עובדיו.
בעוד שניתן לחשוב כי ההסכם שנחתם מדבר על כניסה לתיבות דואר פרטיות שאינן קשורות לעבודה (קרי: הוטמייל, ג'ימייל וכו'), הפרשנות הנכונה היא תיבת דואר אישית תחת הדומיין של מקום העבודה ולא כניסה לתיבות דואר פרטיות.
הסכם זה מעגן את זכותו של המעסיק, לאחר קבלת הסכמה מפורשת מהעובד (כלומר, לכל חיפוש ולא הסכמה שבהסכם ההעסקה) לבצע חיפוש בתיבת דואר ספציפית המיועדת לעובד ונושאת את שמו (כלומר [email protected] לעומת [email protected] שמיועדת לבעלי פונקציה ספציפית בחברה). בהסכם כלל לא מדובר על כתובות דואר רשת.
עו"ד אביב אילון מסביר לynet מה דעתו על הנושא ומוצא את הפתרון הטכנולוגי (הוא גורס שעל העובד להצפין את התקשורת מהמעסיק):
בנוסף ההסכם מאפשר לעובד להיות נוכח בעת כניסת המעביד למידע הפרטי של העובד. משמעותה האופרטיבית של האבחנה ברורה למדי – על העובד להקים מתחם פרטי במחשבו הכולל תיבת דואר פרטית וספריות המכילות רק את קבציו הפרטיים. בעניין זה הייתי אף אומר כי לעובדים בעלי גישה לאינטרנט אין כל צורך בהקמת מתחם פרטי במחשבם. קיימים ברשת מספר רב של שירותים מקוונים המספקים את כל צרכי העובד לשמירת המידע הפרטי שלו מחוץ להישג יד המעביד.
אני חולק על קביעתו של עו"ד אילון; לדידי, כלל אין למעביד זכות לגשת לתיבת הדואר הפרטית של העובד אלא רק לתיבת הדואר האישית שלו; ואסביר: יש להבדיל בין תיבת דואר אישית לפרטית. בעוד שתיבת דואר אישית היא תיבה שהמעביד נותן לעובד תחת שמו שמטרתה עבודה (כמו טלפון אישי שניתן מהמעביד בדיוק), ולכן למעביד הזכות הקניינית לקרוא אותה (כיוון שהיא רכושו האישי, כמו שנפסק בעב 010121/06 טלי איסקוב נ’ הממונה על חוק עבודת נשים); לעומת זאת, תיבת דואר פרטית היא תיבה שאינה קשורה למעביד, היא קניינו של העובד ולה אסור להכנס כלל וכלל (ואסור למעביד לבקש את הססמא, ראו Boucher v. State); ההבדל הוא בין Personal mailbox לPrivate mailbox וראוי שיהיה ברור.
ההבדל בין תיבת דואר אישית לפרטית נהיה ברור יותר כאשר ישנו חוק ספציפי שאוסר על חדירה לחומר המחשב (לפי הוראות חוק המחשבים), כיוון שלמעביד אין זכות חוקית בדין לחדור לתיבת הדואר של הפרטית של העובד [והסכם בשוק הפרטי אינו יכול להפר את הוראות החוק]. במקרה הזה ראוי להקיש מטלפונים שניתנים לעובד: בעוד שלטלפון הניתן ממקום העבודה [טלפון אישי] מותר למעביד לקבל את פירוט השיחות בתור מי שמשלם על אותן שיחות (ובמקרים חריגים, במיוחד לאור ההסכם, גם לשמור את תוכן השיחה), לטלפון הפרטי של העובד [זה שנמצא בביתו או זה שנרכש בכספו של העובד] אסור למעביד לצותת ואסור לו לבקש פירוט שיחות.
נותרת רק השאלה של "הסכמה במפורש" של העובד לחדור לתיבה האישית שלו במסגרת חוזה העבודה (שכן לפרטית אסור בכל מקרה), במקרה זה ברור שלא מדובר על תנאי שניתן ליישם במסגרת הסכם ההעסקה כאשר כתוב כי "לכל כניסה לתיבת דואר אישית, הנושאת כתובת עם שם העובד בלבד ולקבצים אישיים שלו, נדרשת הסכמה מפורשת מצד העובד, ואם ביקש זאת העובד, יעשה הדבר בנוכחותו."
כלומר, דרושה הסכמה לכל כניסה ולא מדובר על מצב בו ניתן לחייב עובד מראש להסכים לכניסה גורפת.
לכן, ההסכם עצמו, למרות שנראה לאחרים אחרת בקריאה ראשונה, עושה חסד עם העובדים ועשוי להניב לנו מציאות חדשה, בה הפרטיות במקום העבודה מוכרת.
מה לגבי גישה להסטורית הגלישה של עובד בזמן העבודה (למשל גישה לתיבת הדואר הפרטית דרך אמצעי גישה שמספק המעביד)?
משה,
להערכתי להיסטורית [העמודים שנצפו] הגלישה מותר לגשת אבל לא לתיבת הדואר הפרטית דרך ההיסטוריה.
ולתיבת הדואר בזמן הגלישה – כלומר להודעות שנשלחו בזמן העבודה?
אני מקבל את ההבהרות. אכן, לאור פרשנותך, ההסכם הוא סביר מאוד. אלא שהמצב בפועל הוא, שהעובדים משתמשים בתיבת הדואר האישית לצורך התכתבויות פרטיות. בדעתי לפרסם מדריך לעובד לשמירת הפרטיות במקום העבודה.
משה,
אם המעביד משתמש בזכרון המטמון הזמני של המחשב הוא מבצע חדירה לקבצים "האישיים" של העובד ולכך הוא צריך את הסכמתו המפורשת ונוכחות העובד בזמן החיפוש, אם המעביד מנטר את היסטוריית הגלישה ושומר את תוכן העמודים, הוא מבצע האזנת סתר לדעתי.
מה לגבי שימוש בנתונים על שרת ה-web של החברה? מדובר בציוד חברה השומר Log של כל מה שעובר דרכו.
האם מותר להשתמש בחומר שנאגר בו?
משה,
שרת הWeb של החברה לא שומר את נתוני הגישה של עובדים לאתרי דואר רשת, הוא שומר את הגישה של אנשים מבחוץ לתוך אותו שרת.
גם אם כן, אני מציע שאם השאלה כל כך מעניינת אותך, תחקור יותר לעומק ותבנה את הטענה שלך בצורה לוגית.
י.
אני אנסה להרחיב את השאלה של משה….
יותר ויותר ארגונים מתקינים מערכות לניטור (ולעיתים סינון) תעבורת אינטרנט. הדבר נחוץ מסיבות משפטיות הפוכות (לדוגמא, תקיפה של אתר אינטרנט מתוך הארגון).
המערכות האלו שומרות הסטוריה מאד מפורטת של כל הפעולות שעשה כל משתמש ברשת.
עכשיו, אני מניח (ואני ממש לא עו"ד), שאם מנהל ירצה לחפור בנתונים האלו כדי לברר מה עשה העובד בזמן העבודה – הוא יצטרך מעכשיו את הסכמתו?
ואני מוסיף עוד שאלה – משתמש עזב את החברה, גם עכשיו צריך את הסכמתו לכניסה לתיבת הדואר?
ושאלה אחרונה שהיא יותר קנטרנית – מה יותר חזק, ההסכמה הזו, או נוהלים מחייבים אחרים (כמו SOX לדוגמא)? מה קורה בארגונים שמחוייבים לשמור ארכיון של דואר אלקטרוני לנצח?
HN,
אני מעריך שההסכם הזה לא יכול לעקוף חוקים כמו S-OX בדיוק כמו שהוא לא יכול להתעלות מעל חוקי המדינה; אולם ככל שאני זוכר התקנות לא מדברות על גישה לקבצים אלא רק שמירתם.
לכן, אם החברה רוצה לחפור לתוך נתונים היא צריכה לעשות זאת בהסכמת העובד שתנתן גם אם הוא עזב (אם אין את הסכמתו, ככל הנראה עשויות לצוץ בעיות אחרות).
לגבי ניתור התעבורה: אם מדובר בניתור פולשני שמטרתו להשיג את ססמאת העובד, וגם אם זה סתם ניתור רגיל, כל כניסה לא מורשה (גם אם יש למעביד את הססמא) היא פגיעה בפרטיותו של העובד ו\או חדירה שלא כדין לחומר מחשב.
(בנאדם, אתה ממש קצר בזמן, כנראה. קודם שוכח להכניס בהערה שבראש הפוסט לינק לפוסט הקודם, ואז התעבורה מנתרת אצלך בתגובה, כנראה ניתור פולשני בין-מימדי.)
יונתן, אני אקשה…
הארגון שמר את כל הדואר מאז ימי בראשית….
הארגון נכנס לתהליך ליטיגציה בארה"ב, ומחוייב לחשוף כל התכתבות דואר רלוונטית….
מה עכשיו? ילכו לחפש את העובדים שעזבו לפני 5 שנים ויבקשו את רשותם? ואם הם לא ירשו?
או מצב אחר – מוגשת נגד הארגון תביעה על הפצת חומרי פדופיליה, התובעים הגיעו לארגון על ידי מעקב אחרי כתובת ה IP. החומר נשלח בוודאות מתוך הארגון. גם עכשיו צריך לבקש אישור מכול העובדים להסתכל בלוגים? או שזה מקרה ברור של ניגוד עם החוק?
יחזקאל,
זה כנראה מה שקורה כשכותבים פוסטים בשבת….
HN,
אתה סתם מקשה ומראה שלא קראת את מה שכתבתי. ההסכם הזה לא יכול לבאו במקום חוק אלא רק להוסיף עליו; איפה שיש חובה בחוק למסור מידע, הסכם בין שני צדדים לא יכול להתגבר עליה אלא אם אותו הסכם יוצר גם יחסי אמון מיוחדים בין הצדדים (לדוגמא, חברת עורכי דין (מה שלא נפוץ בישראל) ולקוחותיה ששולחים לה מייל, לא תחשוף את הפרטים המופיעים בה).
שני דברים
1 – אני לא סתם מקשה – מדובר על מקרים אמיתיים מהחיים.
2 – אני מאד קורא את מה שאתה כותב, לא כל מי ששואל שאלה רוצה להכשיל אותך…
HN,
כתבתי במפורשיו יש “עונש מוות על עבירות רכוש” או שזהו ”חוק שמקדש את הקניין על חשבון החיים” אבל לדעתי הנקודה החשובה היא בדיוק מה שנכתב בהצעת החוק:שות שההסכם הזה לא יכול להתעלות מעל חוקי המדינה.
כשהמקרה הוא "אמיתי מהחיים" אני ממליץ, אגב, לפנות לייעוץ משפטי ולא לכתוב טוקבק בבלוג.
מפתיע אותי שחוק שכזה עובר בכנסת, שהמגמה שלה בתקופה האחרונה היא של הפרטה (כולל הפרטת הפרטיות).
זיו,
תקרא טוב טוב מה כתוב כאן: זה לא חוק של הכנסת.
יהונתן,
תיקון זעיר:
שם התיק שציטטת הוא לא Boucher v. State (ורמונט לא תופסת פדופילים מחו"ל) אלא Boucher v. United States.