דלגו לתוכן
פרטיות15 בנובמבר 20259 דק׳ קריאה

פרטיות עובדים: ניטור מיילים, מצלמות ואיסוף מידע — מה מותר למעסיק

המנכ״ל מבקש לפתוח את תיבת המייל של עובד שעוזב — מותר? הלכת איסקוב, הנחיית המצלמות של הרשות להגנת הפרטיות, איכון GPS ושעוני נוכחות ביומטריים: מפת המותר והאסור בניטור עובדים, מה תיקון 13 שינה עבור מערכות ה-HR, וצ׳קליסט לבניית מדיניות ניטור חוקית.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

עובד מפתח מגיש התפטרות, ולמנכ״ל יש חשד שהוא לוקח איתו את רשימת הלקוחות. הבקשה לאיש ה-IT מגיעה תוך שעה: ״תפתח לי את תיבת המייל שלו, ותוציא גם דוח מהאיכון של הרכב״. זו אחת הסיטואציות הנפוצות ביותר שאנחנו פוגשים אצל לקוחות — והיא בדיוק הרגע שבו מעסיקים חוצים, לרוב בלי לדעת, את הגבול שבין ניהול לגיטימי לבין פגיעה בפרטיות שעלולה להסתיים בבית הדין לעבודה, בעיצום כספי מהרשות להגנת הפרטיות, או בפסילת הראיה המרכזית בתביעה נגד העובד עצמו. במאמר הזה נעשה סדר: מה באמת מותר למעסיק ישראלי לנטר, באילו תנאים, ומה השתנה מאז שתיקון 13 נכנס לתוקף.

המסגרת המשפטית בשתי שורות

פרטיות עובדים בישראל נשענת על שלוש שכבות: הזכות החוקתית לפרטיות בחוק-יסוד: כבוד האדם וחירותו; חוק הגנת הפרטיות ותקנות אבטחת מידע (כולל תיקון 13 שבתוקף מ-14.8.2025); ופסיקת בתי הדין לעבודה — ובראשה הלכת איסקוב משנת 2011, שהיא עד היום נקודת הייחוס המרכזית לניטור עובדים.

הלכת איסקוב: המייל של העובד הוא לא ״עוד נכס של החברה״

בפברואר 2011 נתן בית הדין הארצי לעבודה את פסק הדין בעניין איסקוב (ע״ע 90/08 טלי איסקוב ענבר נ׳ מדינת ישראל, יחד עם ע״ע 312/08 אפיקי מים) — פסק דין עקרוני שנכתב במוצהר כדי להנחות את בתי הדין האזוריים ואת שוק העבודה כולו. נקודת המוצא שלו חדה: המרחב הווירטואלי של העובד — תיבת המייל, הקבצים האישיים — זוכה להגנה חוקתית על פרטיות, גם כשהוא יושב על מחשב ושרת שבבעלות המעסיק. בעלות על התשתית אינה בעלות על הפרטיות של מי שמשתמש בה.

פסק הדין קבע הבחנה בין סוגי תיבות מייל, וממנה נגזר מה מותר למעסיק בכל אחת:

סוג התיבהמה זהמה מותר למעסיק
תיבה מקצועיתתיבה שהוקצתה לצורכי עבודה בלבד, ונאסר בה שימוש אישימותר לנטר תעבורה ותוכן מקצועי — בכפוף למדיניות כתובה, שקופה ומיודעת לעובדים מראש. אם העובד בכל זאת ניהל בה התכתבות פרטית — לתוכן הפרטי נדרשת הסכמה ספציפית
תיבה מעורבתתיבת עבודה שבה הותר לעובד גם שימוש אישימותר לעקוב אחר נתוני תעבורה; כניסה לתוכן התכתבות אישית — רק בנסיבות חריגות המצדיקות זאת ובהסכמה ספציפית של העובד לאותה חדירה
תיבה פרטית חיצוניתGmail וכדומה — חשבון פרטי של העובד, גם אם נפתח מהמחשב במשרדאסור. חדירה אליה אפשרית רק במקרים קיצוניים ובאמצעות צו שיפוטי — לא בהחלטה של המעסיק

מעל ההבחנה הזו הציב בית הדין עקרונות רוחב שחלים על כל טכנולוגיית ניטור: לגיטימיות — הניטור חייב לשרת אינטרס עסקי ממשי, לא סקרנות ולא שליטה כללית; מידתיות — בוחנים תמיד אם קיימת חלופה פוגענית פחות; שקיפות — מדיניות כתובה שהעובדים מכירים, לא נוהל שנשלף בדיעבד; והסכמה מדעת. בעניין איסקוב עצמו המעסיק הפסיד בדיוק בגלל זה: לא הוכחה מדיניות ברורה שאסרה שימוש אישי, והעובדת לא ידעה שהמעסיק יכול להיכנס לתיבה. התוצאה המעשית עבורכם: מעסיק בלי מדיניות ניטור כתובה נמצא, כברירת מחדל, בצד הלא נכון של ההלכה.

מצלמות במקום העבודה: הנחיית הרשות מ-2017 עדיין הדין המחייב

בתחום המצלמות יש הנחיה ייעודית של הרשות להגנת הפרטיות — הנחיית רשם מאגרי מידע 5/17 בנושא שימוש במצלמות מעקב במקום העבודה (אוקטובר 2017), שהרשות הבהירה באוגוסט 2025 כי היא נותרת מחייבת גם אחרי תיקון 13. עקרונותיה:

  • מטרה לגיטימית וחיונית בלבד. מצלמות מוצדקות לאבטחת רכוש, בטיחות או חובה שבדין — לא כאמצעי פיקוח כללי על ״מה העובדים עושים כל היום״.
  • מידתיות במיקום ובהיקף. מספר המצלמות, זוויות הצילום, הרזולוציה, שעות ההפעלה ותקופת שמירת הצילומים — כולם נבחנים מול המטרה שהוגדרה.
  • אזורים אסורים. אסור לצלם באזורים שבהם לעובד ציפייה לפרטיות — שירותים, חדרי הלבשה, מטבחון ופינות מנוחה. מצלמות נסתרות המכוונות לעובדים — אסורות.
  • שקיפות ושילוט. מדיניות כתובה שמוצגת לעובדים לפני ההתקנה, ושילוט ברור באזורים המצולמים.
  • צמידות מטרה. צילומים שנאספו למטרה אחת לא משמשים לאחרת: מצלמה שהוצבה לבקרת כניסה אינה יכולה להפוך לראיה משמעתית על אורך ההפסקות.

ניטור ב-2026: מחשבים, איכון רכב וטביעת אצבע

כלי הניטור של היום רחבים בהרבה ממייל ומצלמה — תוכנות Endpoint ו-DLP שמתעדות פעילות בתחנות הקצה, איכון GPS ברכבי החברה, ושעוני נוכחות ביומטריים. העקרונות של איסקוב חלים על כולם, ולחלקם יש כבר התייחסות רגולטורית ופסיקה ישירה:

  • ניטור תחנות קצה (Endpoint/DLP). לגיטימי כשהוא ממוקד באבטחת מידע — זיהוי דלף, נוזקות, גישה חריגה — ומעוגן במדיניות שקופה. הקלטת מסך רציפה, צילומי מקלדת (Keylogging) ומעקב כללי אחר גלישה פרטית ייפלו כמעט תמיד במבחן המידתיות: קיימות חלופות פוגעניות פחות שמשיגות את אותה מטרת אבטחה.
  • איכון GPS ברכב. בגילוי דעת מ-2023 קבעה הרשות להגנת הפרטיות שאיסוף נתוני מיקום של עובדים מותר רק למטרה חיונית וממוקדת, במידתיות, בשקיפות מלאה ובהסכמה מדעת — ואסור לאסוף מיקום מחוץ לשעות העבודה. ניטור מיקום רציף של עובד משרדי יהיה קשה מאוד להצדקה. חשוב לזכור: לפי תיקון 13, נתוני מיקום הם מידע בעל רגישות מיוחדת.
  • נוכחות ביומטרית. בית הדין הארצי קבע עוד ב-2017 (בעניין עיריית קלנסווה) שאסור לכפות על עובדים למסור טביעת אצבע לשעון נוכחות: טביעת אצבע היא מידע פרטי מובהק, ודרישתה מחייבת הסמכה בחוק או הסכמה מדעת, חופשית ומפורשת — אחרי שהמעסיק הוכיח אינטרס לגיטימי ושאין חלופה פוגענית פחות. עובד שסירב — אי אפשר להענישו על כך. הרחבנו על כך במאמר על נוכחות ביומטרית בעסק.
טבלת מותר ואסור בניטור עובדים: מייל, מצלמות, איכון וביומטריה
מפת המותר והאסור בניטור עובדים — על בסיס הלכת איסקוב, הנחיית הרשות 5/17, גילוי הדעת בנושא איכון ופסיקת קלנסווה

מה תיקון 13 שינה עבור מחלקת ה-HR

מאז 14.8.2025, מערכות משאבי האנוש שלכם הן לא עניין פנימי-תפעולי אלא מאגרי מידע שהרגולציה מתייחסת אליהם ברצינות. ההגדרה המעודכנת של ״מידע״ חובקת כל נתון על אדם מזוהה או ניתן לזיהוי — כלומר כל תיק עובד, קורות חיים של מועמד או דוח נוכחות. חשוב מזה: נתוני שכר ומידע פיננסי, מידע רפואי, מידע ביומטרי ונתוני מיקום מוגדרים כולם כמידע בעל רגישות מיוחדת — הקטגוריה שמכפילה את סכומי העיצומים. עיבוד מידע בניגוד למטרה או בלי הרשאה חשוף לעיצום של 4 ₪ לכל נושא מידע (8 ₪ במידע רגיש) ולא פחות מ-200,000 ₪; ולצד זה, עובד שפרטיותו נפגעה יכול לתבוע פיצוי ללא הוכחת נזק עד 10,000 ₪, עם התיישנות של שבע שנים. סקירה מלאה של גל האכיפה הראשון — במאמר על שנת האכיפה הראשונה של תיקון 13.

הסכמת עובד היא בסיס חלש — אל תבנו עליה לבד

בגלל פערי הכוחות המובנים ביחסי עבודה, בתי הדין והרשות מתייחסים בחשדנות להסכמה של עובד: חתימה על טופס ביום הקליטה, כשמולך תלוש המשכורת, היא לא בהכרח ״הסכמה חופשית ומדעת״. זה הלקח המרכזי מקלנסווה — הסכמה שנכפתה בעקיפין אינה הסכמה. המשמעות המעשית: אל תבססו ניטור על חתימת עובד בלבד. בססו אותו על מטרה לגיטימית מוגדרת, מידתיות מוכחת ושקיפות מלאה — וההסכמה תהיה הרובד המשלים, לא היחיד.

75 אלף ₪ מביטוח לאומי: הסיכון הוא גם מבפנים

באוגוסט 2025 הטילה הרשות להגנת הפרטיות עיצום כספי של 75,000 ₪ על המוסד לביטוח לאומי, אחרי שעובדת ניצלה את הרשאות הגישה שלה למערכות ושלפה מידע אישי לצרכים פרטיים — 15 מקרים של גישה לא מורשית. שימו לב מה קרה כאן: הארגון נקנס בגלל מעשה של עובדת. זו תמונת הראי של כל מה שדיברנו עליו עד עכשיו — פרטיות עובדים היא לא רק השאלה מה המעסיק אוסף על העובדים, אלא גם מה העובדים יכולים לעשות עם המידע שהארגון מחזיק. בקרות גישה לפי הצורך לדעת (Need to Know), תיעוד לוג של שליפות במערכות HR ובמערכות ליבה, וסקירת הרשאות תקופתית הן לא המלצה — הן ההגנה של הארגון מפני העיצום הבא.

עשה ואל תעשה — סיכום למעסיק

עשהאל תעשה
כתבו מדיניות ניטור ברורה, הציגו אותה לעובדים והחתימו עליה כחלק מקליטה מסודרתאל תסתמכו על ״המחשב שייך לחברה״ — הבעלות על הציוד אינה מתירה חדירה לפרטיות
הגדירו תיבות מייל מקצועיות ואמרו במפורש מה מותר בהןאל תיכנסו לתוכן התכתבות אישית — ולעולם לא לחשבון פרטי חיצוני של עובד
הציבו מצלמות רק למטרה מוגדרת, עם שילוט ומדיניותאל תציבו מצלמות נסתרות או מצלמות באזורי מנוחה, מטבחון ושירותים
הגבילו איכון רכב לשעות העבודה ולמטרה תפעולית מוגדרתאל תשתמשו בנתוני ניטור למטרה אחרת מזו שהוגדרה (צמידות מטרה)
הגבילו גישה למידע עובדים לפי Need to Know ותעדו שליפותאל תבססו ביומטריה על כפייה או על ״הסכמה״ שאין מאחוריה בחירה אמיתית

צ׳קליסט: מדיניות ניטור חוקית בשבעה צעדים

  1. מפו את כלי הניטור הקיימים. מצלמות, ניטור מייל ו-Endpoint, איכון רכבים, שעוני נוכחות — כולל כלים ש-IT הפעיל ואף אחד לא תיעד.
  2. הגדירו מטרה לגיטימית לכל כלי. כלי בלי מטרה עסקית מוגדרת וחיונית — מכבים.
  3. הריצו מבחן מידתיות. לכל מטרה: האם יש דרך פוגענית פחות להשיג אותה? תעדו את הבחינה — זה מה שיעמוד לזכותכם בביקורת או בהליך.
  4. כתבו מדיניות ניטור שקופה. מה מנוטר, למה, מתי, מי רואה את התוצרים וכמה זמן הם נשמרים — בעברית פשוטה, לא בשפת חוזים.
  5. יידעו והחתימו. הצגה לעובדים הקיימים, החתמה בקליטה, ושילוט היכן שנדרש. בארגון עם ועד — שתפו אותו.
  6. סגרו את הצד הפנימי. הרשאות מינימליות למערכות HR ושכר, לוג שליפות, וסקירת הרשאות תקופתית — זכרו את ביטוח לאומי.
  7. קבעו בעלים ותאריך רענון. ממונה הגנת הפרטיות (או גורם מקביל) סוקר את המדיניות אחת לשנה ובכל הכנסת כלי ניטור חדש.
צ׳קליסט שבעה צעדים למדיניות ניטור עובדים חוקית
שבעת הצעדים למדיניות ניטור שעומדת בהלכת איסקוב, בהנחיות הרשות ובתיקון 13

השורה התחתונה

הדין הישראלי לא אוסר על מעסיקים לנטר — הוא אוסר לנטר בלי מסגרת. ההבדל בין ארגון שמוגן לבין ארגון שחשוף הוא כמעט תמיד אותם ארבעה דברים: מטרה מוגדרת, מידתיות מתועדת, שקיפות מלאה מול העובדים, ובקרות גישה פנימיות. מי שמסדיר את זה מראש מקבל גם בונוס תפעולי: כשבאמת יקרה אירוע — דלף, חשד לגניבת מידע, עזיבה עוינת — יהיו לו כלים חוקיים ותקפים לפעול, במקום ראיות שהושגו באיסור ויתפרקו בבית הדין.

Cybertis מלווה ארגונים בבניית מדיניות ניטור ופרטיות עובדים שעומדת בהלכת איסקוב, בהנחיות הרשות להגנת הפרטיות ובתיקון 13 — כחלק משירות ממונה הגנת פרטיות (DPO) חיצוני: מיפוי כלי הניטור, ניסוח המדיניות, הדרכת מנהלים והטמעת בקרות גישה.

לשירות ה-DPO של Cybertis

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. יישום בפועל תלוי בנסיבות הארגון, בהסכמים הקיבוציים החלים עליו ובעדכוני רגולציה, ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il