פיטורים בלי פיצויים? כשעובד מאבד מידע רגיש

כל חייל מכיר היטב את הכלל - כשיוצאים עם נשק הביתה, יש לאפסן אותו מאחורי שני מנעולים לפחות, כשהוא פרוק ומפורק. אבל מה עם ה"נשק" שלנו באזרחות - המידע היקר שהחברה שבה אנו עובדים מפקידה לידינו כשאנחנו יוצאים הביתה? לאילו סנקציות חשופים עובדים שאיבדו מידע רגיש השייך למקום עבודתם, והאם קיים סיכוי שיפוטרו תוך שלילת פיצויי פיטורים?

כותרות אחרונות בערוץ הקריירה :

• לכל מקצוע - מחלה. לאילו סיכונים כולנו חשופים?
• סובל משיתוק מוחין - ועכשיו בסכנת פיטורים
• משרדי עורכי הדין המובילים בישראל. המצעד
  

שאלות אלה עלו בעקבות גניבת המחשב מביתו של בכיר במשרד ראש הממשלה השבוע. עו"ד דרור גל, מומחה לדיני עבודה, מסביר כי התשובות תלויות בנהלי אבטחת המידע שמציב מקום העבודה. "כאשר הנושא מעוגן בהוראות, בנהלים או בהסכם, כפי שמקובל במקומות עבודה ציבוריים, העובד יודע שאם הוא נוטל עבודה לבית - עליו להקפיד על נהלי בטחון המידע כפי שמוכתבים לו", הוא מציין.

גל מוסיף כי באחריות מקום העבודה גם זה לאמצעי אבטחת מידע מתאימים כמו דרכי תקשורת מאובטחות או נקיטת אמצעי הצפנה, שיבטיחו שלא תהיה גישה לחומר במידה שמחשב הוא נגנב. אך אם אמצעים אלה הותקנו והעובד לא שמר עליהם - סביר כי הדבר יוביל להליכים משמעתיים שעלולים להביא לפיטוריו. אם מדובר בציוד ששיך למעביד וקיימות לגביו הוראות אבטחה ברורות אך העובד מתעלם מהם – הדבר עלול אף להגיע לנקיטת צעדים במישור פלילי, תלוי במהות הציוד (כלי נשק למשל).

כשאסור להוציא מידע ממקום העבודה

כאשר עובד מתעלם מהוראות או נהלים שאוסרים על הוצאת החומר ממקום העבודה - גל מבהיר כי הדבר עלול להיחשב להפרת חוזה ולהביא לפיטוריו, לעתים תוך שלילת פיצויי פיטורים. עם זאת הוא מסייג כי הדבר תלוי בחומר שהוצא ובנזק שנגרם כתוצאה מכך. "בתי הדין לעבודה לא שוללים בנקל את הפיצויים במלואם, למעט אם הפיטורים חלו בנסיבות מחמירות, כמו הוצאת חומר בזדון או מסירתו בכוונה תחילה למי שאינו מורשה לראותו", הוא מסביר.

גל מוסיף כי בית הדין ייקח גם בחשבון טענות מצד העובד כמו אי בהירות נהלים, הרשאה במקרים מסוימים להוציא חומר ולהשלימו בבית, לחץ עבודה, תקלה באמצעי האבטחה שלא היתה תלויה בו מאחר שפעל בהתאם להוראות ולהנחיות ועוד. במקרה שבית העסק לא קבע בכלל הנחיות לגבי הוצאת מידע רגיש - בית הדין עדיין ייקח בחשבון את הנזק שנגרם כתוצאה מגניבת המידע ולפיכך עשוי להתיר את הפיטורים, אך סביר כי תוך קבלת פיצויים מלאים. "נהלי אבטחת מידע או השימוש בו מהוות חלק בלתי נפרד מהחוזה. עם זאת, יש לבחון כל מקרה ונסיבותיו בזהירות בטרם יחרצו את גורל העובד".

חמי לפידור, מומחה לדיני עבודה, מחדד שכאשר מדובר בעובד השירות הציבורי, בו יש לרוב נהלים ברורים בנושא אבטחת מידע - הפרתם נחשבת לעבירת משמעת והעונש שיוטל עליו עלול לנוע מהתראה ועד לפיטורים תוך שלילת מלוא פיצויי הפיטורים, תלוי בחומרת המקרה ובנשק שנגרם בעקבותיו. "אם עובד לקח מידע על אף שמקום העבודה אוסר על כך - זו עברת משמעת גם אם לא נגרם נזק", הוא מבהיר. "במידה שכן נגרם נזק - גובהו יכול להשפיע על שלילת פיצויים. אם אין רשלנות מצד העובד זה יילקח בחשבון".

עד כמה התופעה נפוצה?

גיא מונרוב סגן נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע, מספר זליגת מידע עקב חוסקר מודעות כי תופעה מוכרת בבתי עסק. בין היתר הוא מדגים מקרה שחקרה חברת הייעוץ אלקלעי מונרוב ושות' בה הוא שותף: נייד של עובד בחברה העוסקת בפיננסים נגנב, זמן קצר לאחר שהעביר אליו קובץ שכלל מידע רגיש על לקוחות על אף הוראה שאסרה לעשות זאת. החברה, שנערכה מבעוד מועד, יישמה נוהל שאפשר למחוק את המידע מרחוק. אותו העובד פוטר, אך קיבל את הפיצויים המגיעים לו.

במקרה אחר, מביתו של עובד נגנב מחשב נייד עם מידע רגיש על החברה התעשייתית בה עבד כמו רשימת לקוחות ותכתובות על מוצרים בשלבי פיתוח. בבדיקה התברר כי לחברה אין נוהל מסודר בנושא העברת מידע למחשבים הניידים וכתוצאה מכך, בוצעה רפורמה במדיונות האבטחה. מאחר שבמקרה זה המדיניות בנושא לא היתה ברורה, החברה לא נקטה בצעדים נגד העובד.

על פי מונרוב, הסיכון כתוצאה מזליגת מידע נשקף לכל כל בית עסק, מבנקים וחברות ביטוח שמחזיקות במידע פיננסי על לקוחות החברה, חברות תעשייתיות המחזיקות במידע בעל ערך מסחרי, חברות היי-טק שמחזיקות במידע על מוצרים חדשים בהליכי פיתוח, ואפילו עסקים קמעוניים קטנים - אם בעל החנות השכנה מתעניין במחזור הפעילות שלהם למשל.

"אין ארגון שלאורך טווח של מספר שנים, לא חווה בעיה או משבר בשל גניבת מידע בנסיבות דומות", הוא טוען. "מצד שני, חברות רבות אינן משקיעות די מאמץ על מנת להקטין את הסיכון שמידע רגיש יגיע לידיים זרות". אז כיצד אפשר למזער את הסיכון?

ראשית מורוב ממליץ להגדיר מהו מידע רגיש בארגון ולקבוע נהלים בנושא, למשל האם מותר להעביר מידע אל המייל הפרטי, המחשב הנייד, הסלולארי והטאבלט, איזה סוג של מידע וכיצד. 

בשלב הבא הוא ממליץ לבצע מעקב רציף במטרה לנסות למנוע מראש היווצרות חורים שמהם עלול לזלוג מידע, למשל על ידי נהלים לגריסת ניירת רגישה, ביקורות קבועות, או עזרים טכנולוגיים כמו מערכות לניטור מידע רגיש בדואר האלקטרוני או אמצעים להצפנת מידע רגיש ומחיקתו מרחוק. כך למשל הוא מציע להגדיר נוהל לפיו מידע שכולל רשימת לקוחות לא יועבר במייל ולא ישמר על מחשב נייד בלא שהוצפן.