חוקי פרטיות למצלמות אבטחה בעסקים: מה שמעסיקים חייבים לדעת

תקציר

הצבת מצלמות אבטחה בעסקים בישראל מוסדרת בחוק הגנת הפרטיות, תשמ"א-1981, בדיני העבודה ובתקנות ענפיות. מעסיקים רשאים להתקין מצלמות ברוב האזורים המשותפים — לובי, מחסנים, חניונים ורצפות מכירה — אך בשירותים, מלתחות וחדרי הנקה הדבר אסור לחלוטין. מעקב אחר עובדים מחייב עמידה בדרישות נוספות: הודעה בכתב, שילוט, ובמקרים מסוימים הסכמה מוקדמת. תקנות ענפיות מוסיפות שכבות נוספות של מגבלות, ממוסדות רפואיים ועד מוסדות חינוך. במדריך זה נפרט היכן בדיוק עסקים יכולים ולא יכולים להציב מצלמות, אילו הגנות חלות על עובדים ולקוחות, ואילו כללים ענפיים מצריכים אמצעי ציות מיוחדים. לעזרה בבחירת מערכות מצלמות ברמה מסחרית, ראו את המדריך שלנו בנושא התקנת מצלמות אבטחה לעסקים.

היכן עסקים יכולים ולא יכולים להתקין מצלמות

החוק הישראלי מתווה גבולות ברורים בין מיקומי מעקב מותרים לאסורים בתוך עסקים. השאלה המכרעת היא האם לאנשים באזור מסוים יש ציפייה סבירה לפרטיות.

זכויות פרטיות של עובדים וחובות המעסיק

לעובדים יש זכויות פרטיות גם במקום העבודה, אף שהנכס אינו בבעלותם. חוק הגנת הפרטיות, פסיקת בתי הדין לעבודה ודיני העבודה יוצרים מסגרת שמעסיקים חייבים לעמוד בה כשהם מתקינים מצלמות.

למה עובדים זכאים

• הודעה בכתב על מעקב — פסיקת בתי הדין לעבודה קבעה כי מעסיק חייב ליידע עובדים מראש על קיום מצלמות. מעקב סמוי ללא הודעה מוקדמת מהווה פגיעה בפרטיות העובד.
• חופש ממעקב באזורים פרטיים — שירותים, מלתחות וחדרי הנקה אסורים תמיד. מצלמות במקומות אלה חושפות את המעסיק לאחריות פלילית.
• הגנה על פעילות ארגונית — בית הדין לעבודה מגן על זכות העובדים להתארגן. מעקב אחר פעילות ארגונית או שיחות בנושא תנאי עבודה מהווה פגיעה בזכויות העובדים.
• איסור מעקב סמוי אחר פעילות אישית — בתי המשפט קבעו שמצלמות נסתרות המכוונות לעובד מסוים ללא מטרה חקירתית מתועדת פוגעות בזכותו לפרטיות.
• גישה למדיניות מעקב — עובדים זכאים לעיין במדיניות המעקב הכתובה של המעסיק, הכוללת אילו אזורים מנוטרים, כיצד נשמרים הצילומים, ומי רשאי לגשת אליהם.

חובות המעסיק לפני התקנת מצלמות

• נסחו מדיניות מעקב בכתב המזהה כל מיקום מנוטר, את מטרת הניטור, ואת תקופת שמירת הנתונים.
• הפיצו את המדיניות לכל העובדים וקבלו אישור חתום.
• הציבו שילוט נראה לעין בכל כניסה לאזור מנוטר.
• ערכו הערכת השפעה על הפרטיות לזיהוי אזורים שבהם מצלמות עלולות ללכוד פעילות מוגנת.
• הימנעו מהקלטת שמע אלא אם קיימת הצדקה עסקית ברורה. עיינו במדריך שלנו בנושא חוקי הקלטת שמע לפרטים.
• הגבילו גישה לצילומים לצוות אבטחה מורשה, הנהלה ויועצים משפטיים בלבד.

הגנות פרטיות ללקוחות

גם לקוחות הנכנסים למקום עסקי מוגנים בחוק הפרטיות, אם כי רמת הפרטיות שלהם נמוכה יותר מזו של עובדים השוהים שעות רבות בסביבה מנוטרת.

• שילוט הוא ההגנה העיקרית — שלטים בולטים בכניסות המודיעים ללקוחות על מעקב וידאו מספקים את דרישת ההודעה.
• חדרי מדידה אסורים בתכלית — עסקים קמעונאיים חייבים לוודא שאף זווית מצלמה, כולל מצלמות PTZ, אינה לוכדת את פנים חדר המדידה.
• זיהוי פנים מעורר דרישות נוספות — שימוש בזיהוי ביומטרי כגון זיהוי פנים דורש הסכמה מדעת על פי חוק הגנת הפרטיות. רשות הגנת הפרטיות פרסמה הנחיות מחמירות בנושא.
• זוויות מצלמה ליד קופות — מצלמות הממוקמות באזור הקופות לא ילכדו הקשת PIN במסופי כרטיסי אשראי. תקני PCI-DSS דורשים הגנה על נתוני בעלי כרטיסים.
• הגנה על מידע ילדים — אם פלטפורמת הענן של מערכת המצלמות אוספת נתונים הניתנים לזיהוי של ילדים, חלות דרישות נוספות מכוח חוק הגנת הפרטיות.

דרישות מעקב ענפיות ספציפיות

ענפים מסוימים כפופים לרגולציה שחורגת מחוקי הפרטיות הכלליים. אי-ציות עלול לגרור קנסות רגולטוריים, שלילת רישיונות ואחריות אזרחית.

מוסדות בריאות — חוק זכויות החולה

• מצלמות לא ילכדו מידע רפואי מוגן המוצג על מסכים, תרשימים או מסמכים.
• אזורי טיפול בחולים דורשים הצבת מצלמות זהירה כדי להימנע מצילום אינטראקציות מזוהות עם מטופלים.
• חדרי המתנה ולובי ניתנים לניטור, אך צילומים המכילים תמונות מטופלים ניתנים לזיהוי חייבים להיות מטופלים כמידע רפואי מוגן.
• גישה לצילומים חייבת להיות מוגבלת באותן בקרות החלות על רשומות רפואיות אלקטרוניות.
• הסכמי עיבוד מידע נדרשים עם כל ספק שירותי ענן המאחסן צילומים המכילים מידע רפואי.

מוסדות פיננסיים — פיקוח בנק ישראל ותקני PCI-DSS

• מצלמות ליד מסופי כרטיסים חייבות להיות ממוקמות כך שלא יוכלו ללכוד נתוני בעלי כרטיסים.
• דרישת PCI-DSS 9 מחייבת בקרות אבטחה פיזיות באזורים שבהם מעובדים נתוני כרטיסים, ומערכות מעקב מהוות בקרה מקובלת.
• שמירת צילומים חייבת להתאים לדרישות ביקורת, בדרך כלל מינימום 90 יום.
• יומני גישה למערכות מעקב בסביבות נתוני כרטיסים חייבים להישמר ולהיות ניתנים לביקורת.

מוסדות חינוך — חוק זכויות התלמיד ומשרד החינוך

• צילומי מעקב של תלמידים נחשבים מידע רגיש כשהם מקושרים ישירות לתלמיד ונשמרים על ידי המוסד.
• הסכמת הורים נדרשת לפני מסירת צילומים שמזהים תלמידים מתחת לגיל 18 לגורמי צד שלישי, למעט מצבי חירום בטיחותיים.
• אזורים משותפים כמו מסדרונות, חדרי אוכל וחניונים ניתנים לניטור, אך מצלמות בכיתות מעוררות חשש מפני "אפקט מצנן" על השתתפות התלמידים בלמידה.
• שיתוף צילומים עם רשויות אכיפת החוק מותר בנסיבות של סכנה בטיחותית, אך המוסדות חייבים לתעד את האיום המצדיק חשיפה.

חברות ציבוריות — רשות ניירות ערך

• מעקב על אזורי רשומות כספיות תומך בבקרות פנימיות.
• חדרי שרתים ומרכזי נתונים המארחים מערכות פיננסיות צריכים להיות מנוטרים בצילום מתויג בזמן ועמיד בפני חבלה.
• תקופות שמירה צריכות להתאים לדרישות שמירת מסמכים — בדרך כלל 7 שנים לרשומות כספיות.

שלבים לבניית מערכת מעקב עסקית תואמת חוק

תהליך ציות מסודר מונע הפרות רגולטוריות ומגן על העסק מפני תביעות:

1. זהו את כל הרגולציות החלות — מפו את דרישות הענף, החוק הארצי ותקנות מקומיות לפני תכנון מיקום מצלמות.
2. צרו מפת מיקום מצלמות — תעדו כל מיקום מצלמה, שדה הראייה שלה, והצדקה למיקומה.
3. נסחו ופרסמו מדיניות מעקב — כללו היקף, מטרה, שמירת נתונים, בקרות גישה וזכויות עובדים.
4. התקינו שילוט בכל כניסה מנוטרת — השתמשו בשפה ברורה כגון "המקום מצולם במצלמות אבטחה" וציינו אם נלכד שמע.
5. הגדירו מיסוך פרטיות — השתמשו בתוכנת המצלמה לחסום תצוגה של אזורים מוגנים, נכסים שכנים ותצוגות מידע רגיש.
6. יישמו בקרות גישה לצילומים — הרשאות מבוססות תפקידים מבטיחות שרק אנשי צוות מורשים יכולים לצפות, לייצא או למחוק הקלטות.
7. תזמנו ביקורות ציות סדירות — בדקו מיקום מצלמות, עמידה במדיניות ושינויים רגולטוריים לפחות אחת לשנה. עסקים המטפלים בנתונים של תושבי האיחוד האירופי צריכים גם לעיין במדריך שלנו בנושא ציות ל-GDPR ולתקנות פרטיות למצלמות אבטחה.
8. שתפו יועצים משפטיים — בקשו מעורך דין המכיר את הענף שלכם לבחון את תוכנית המעקב לפני הפריסה.

לסקירה מלאה על בחירת מערכת מצלמות העומדת בדרישות ציות מסחריות, ראו את המדריך שלנו בנושא התקנת מצלמות אבטחה לעסקים. עבודה עם מתקין מצלמות אבטחה מורשה מבטיחה שהמערכת מוגדרת לציות רגולטורי מהיום הראשון.