EN

072-3935601

הזכות להישכח- מהפיכה בתחום אבטחת המידע

בעידן הדיגיטלי, הנוחות הפכה למטבע העובר לסוחר. שירותי מיקום שיודעים בדיוק היכן אנו נמצאים, רשתות חברתיות שמכירות את חברינו טוב מאיתנו, ובתים חכמים שמדליקים את המזגן רגע לפני שאנחנו מגיעים הביתה. כל אלה הפכו את חיינו לקלים ונוחים יותר. אך מאחורי כל נוחות כזו עומד מחיר, שלעיתים קרובות אנו לא עוצרים לחשוב עליו: הפרטיות שלנו. כל פיסת מידע, כל לייק, כל חיפוש וכל תנועה נאספים, מעובדים ומאוחסנים במאגרי מידע עצומים. המידע הזה הוא הנפט החדש, המניע כלכלות שלמות. אך מה קורה כשהמידע הזה הופך לנטל? מה אם עברנו האישי הדיגיטלי רודף אותנו? כאן נכנסת לתמונה מהפכה שקטה אך עוצמתית: "הזכות להישכח". זו אינה רק תקנה משפטית, אלא שינוי תפיסתי עמוק המעביר את הכוח בחזרה לידיים שלנו, האנשים, ומחייב ארגונים לחשוב מחדש על האופן שבו הם מנהלים את הנכס היקר ביותר שלהם: המידע שלכם.

בקצרה...

הזכות להישכח, המעוגנת בחקיקה כמו ה-GDPR, היא זכותו של אדם לדרוש מארגונים למחוק את המידע האישי שלו השמור אצלם. זכות זו מחייבת עסקים ליישם מדיניות וכלים טכנולוגיים למחיקת נתונים מאובטחת, ומציבה אתגרים משמעותיים אך גם הזדמנויות לבניית אמון עם לקוחות בעידן הדיגיטלי.

תוכן עניינים

מהי "הזכות להישכח" ומהיכן היא נובעת?

"הזכות להישכח" (The Right to be Forgotten), המכונה גם "הזכות למחיקה" (The Right to Erasure), היא עיקרון יסוד בהגנת הפרטיות המודרנית. היא מעניקה לאנשים את היכולת לדרוש מארגונים, חברות ומנועי חיפוש למחוק מידע אישי אודותיהם, בכפוף לתנאים מסוימים. מקור הזכות אינו בטכנולוגיה, אלא בצורך האנושי הבסיסי להמשיך הלאה, להתפתח ולהיפטר מטעויות עבר שעלולות לרדוף אותנו לנצח בעידן הדיגיטלי, שבו דבר אינו נמחק באמת.

ההתפתחות ההיסטורית: מפסיקה תקדימית לחקיקה גלובלית

המושג קיבל תאוצה משמעותית בעקבות פסק דין תקדימי של בית הדין האירופי לצדק בשנת 2014, בתיק "גוגל ספרד נגד AEPD ומריו קוסטחה גונזלס". מר גונזלס, אזרח ספרדי, גילה כי חיפוש שמו בגוגל הציג קישורים לכתבות ישנות על עיקול נכסיו, חוב שכבר שולם מזמן. הוא טען שהמידע, אף שהיה נכון בעבר, כבר אינו רלוונטי ופוגע בשמו הטוב. בית הדין פסק לטובתו וקבע כי לאנשים יש זכות, בנסיבות מסוימות, לבקש ממנועי חיפוש להסיר קישורים למידע אישי אודותיהם. פסיקה זו הייתה אבן הפינה שהובילה לעיגון רשמי של הזכות בחקיקה המשפיעה ביותר בתחום הפרטיות בעשורים האחרונים.

עקרונות הליבה של הזכות למחיקת מידע

הזכות להישכח אינה מוחלטת. היא מופעלת במצבים ספציפיים, המאזנים בין זכות הפרט לפרטיות לבין אינטרסים ציבוריים אחרים כמו חופש הביטוי והמידע. העקרונות המרכזיים כוללים את הזכות לבקש מחיקה כאשר:

  • המידע אינו נחוץ עוד למטרה שלשמה נאסף.
  • האדם מבטל את הסכמתו לעיבוד המידע (במקרים שבהם ההסכמה היא הבסיס החוקי לעיבוד).
  • המידע עובד באופן בלתי חוקי.
  • קיימת חובה חוקית למחוק את המידע.
  • המידע נאסף בהקשר של הצעת שירותי חברה דיגיטלית ישירות לקטין.

חשוב להבין כי הזכות אינה גוברת על חובות חוקיות אחרות. לדוגמה, בנק לא יוכל למחוק את פרטי הלקוח אם הוא מחויב על פי חוק לשמור אותם למשך תקופה מסוימת למניעת הלבנת הון.

GDPR: המהפכה האירופית והשפעתה העולמית

תקנת הגנת המידע הכללית של האיחוד האירופי (General Data Protection Regulation – GDPR), שנכנסה לתוקף במאי 2018, הפכה את הזכות להישכח מעיקרון משפטי למחויבות תפעולית ברורה עבור ארגונים ברחבי העולם. התקנה נחשבת לסטנדרט הזהב בחקיקת פרטיות, והשפעתה חורגת בהרבה מגבולות אירופה.

סעיף 17: לב ליבה של הזכות להישכח

סעיף 17 של ה-GDPR הוא הסעיף המרכזי המגדיר את "הזכות למחיקה". הוא מפרט את העילות שבהן נושא המידע (האדם) רשאי לדרוש מבקר המידע (הארגון) למחוק את נתוניו האישיים ללא דיחוי. הסעיף גם מחייב את הארגון, במידה ופרסם את המידע, לנקוט בצעדים סבירים כדי ליידע גורמים אחרים המעבדים את המידע על בקשת המחיקה. דרישה זו, המכונה "מחיקה במורד הזרם", מהווה את אחד האתגרים הטכנולוגיים הגדולים ביותר ביישום הזכות.

מי חייב לציית ל-GDPR?

אחת מנקודות המפתח ב-GDPR היא התחולה החוץ-טריטוריאלית שלו. התקנה חלה לא רק על ארגונים הממוקמים באיחוד האירופי, אלא על כל ארגון בעולם, כולל בישראל, אשר:

  1. מציע סחורות או שירותים לתושבי האיחוד האירופי (גם אם בחינם).
  2. מנטר את התנהגותם של תושבי האיחוד האירופי (למשל, באמצעות קובצי Cookie באתר אינטרנט).

משמעות הדבר היא שעסקים ישראליים רבים, החל מחברות הייטק ועד אתרי מסחר אלקטרוני, כפופים לדרישות ה-GDPR, כולל החובה לכבד את הזכות להישכח. אי עמידה בתקנות עלולה להוביל לקנסות כבדים, היכולים להגיע עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי של החברה, הגבוה מביניהם.

הזכות להישכח בישראל: המצב החוקי והמעשי

בעוד שהמושג "הזכות להישכח" אינו מופיע כלשונו בחוק הישראלי, עקרונות דומים קיימים ומתפתחים. מערך הדינים בישראל מספק הגנה על פרטיות ומאפשר לאנשים שליטה מסוימת על המידע שלהם, גם אם המנגנון פחות מפורש מזה שב-GDPR.

חוק הגנת הפרטיות ותקנות אבטחת המידע

חוק הגנת הפרטיות, התשמ"א-1981, הוא דבר החקיקה המרכזי בישראל המסדיר את איסוף ועיבוד המידע האישי. החוק מעניק לאדם את "הזכות לעיין" במידע שעליו במאגר מידע, ואת "הזכות לתקן" מידע שאינו נכון, שלם או ברור. סעיף 17ו לחוק קובע כי אם בעל מאגר מידע השתמש במידע על אדם לצורך דיוור ישיר, אותו אדם רשאי לדרוש בכתב שהמידע הנוגע לו יימחק מהמאגר. זוהי למעשה הגרסה הישראלית המצומצמת של הזכות למחיקה.

בנוסף, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, מחייבות ארגונים למחוק מידע אישי כאשר המטרה שלשמה נאסף המידע כבר אינה קיימת. חובה זו, המבוססת על עקרון הגבלת המטרה והמזעור, מהווה בסיס נוסף למחיקת נתונים. ניהול נכון של מחזור חיי המידע הוא חלק בלתי נפרד משירותי אבטחת מידע מודרניים.

אתגרים ביישום הזכות בישראל

למרות המסגרת החוקית הקיימת, היישום המעשי בישראל נתקל באתגרים. המודעות הציבורית לזכויות הפרטיות עדיין נמוכה יחסית, וארגונים רבים אינם ערוכים מבחינה תפעולית וטכנולוגית לטפל בבקשות מחיקה באופן שיטתי. הרשות להגנת הפרטיות פועלת להגברת האכיפה והמודעות, אך הדרך עוד ארוכה עד לאימוץ מלא של תרבות פרטיות בדומה לאירופה.

ההשלכות על עסקים וארגונים: לא רק עניין משפטי

עבור עסקים, הזכות להישכח אינה רק עוד רגולציה שיש לציית לה. היא מייצגת שינוי מהותי באופן שבו יש לנהל נתונים, ומחייבת השקעה בתהליכים, בטכנולוגיה ובהכשרת עובדים. התעלמות מהנושא אינה אופציה, וההשלכות עלולות להיות חמורות.

חובות טכניות ותפעוליות

כדי לעמוד בדרישות, ארגון חייב לדעת בדיוק איזה מידע אישי הוא מחזיק, היכן הוא מאוחסן, מדוע הוא נאסף, עם מי הוא משותף, וכמה זמן יש לשמור אותו. הדבר דורש תהליך מקיף של מיפוי נתונים (Data Mapping). לאחר מכן, יש להקים מנגנון ברור ויעיל לקבלת בקשות מחיקה, אימות זהות הפונה, ובחינת הבקשה אל מול העילות והחריגים שבחוק. לבסוף, יש ליישם תהליך מחיקה טכני מאובטח, המוודא שהנתונים נמחקים לצמיתות מכל המערכות, כולל גיבויים. ניהול מורכבות זו דורש לעיתים קרובות שירותי מחשוב לעסקים מקצועיים, שיכולים לבנות ולתחזק את התשתיות הנדרשות.

בניית אמון עם לקוחות: הזכות להישכח כהזדמנות עסקית

ארגונים שרואים בפרטיות נטל בלבד, מפספסים הזדמנות אדירה. בעידן של דליפות מידע ושערוריות פרטיות, אמון הלקוחות הוא נכס יקר ערך. חברה שמכבדת את זכויות לקוחותיה, מספקת להם שקיפות ושליטה על המידע שלהם, ומיישמת את הזכות להישכח בצורה יעילה וידידותית, בונה לעצמה מוניטין של חברה אמינה ואחראית. שקיפות זו יכולה להפוך ליתרון תחרותי משמעותי ולחזק את נאמנות הלקוחות בטווח הארוך.

אתגרים טכנולוגיים במימוש הזכות להישכח

העיקרון פשוט: "תמחקו את המידע שלי". הביצוע הטכני, לעומת זאת, מורכב מאין כמוהו. סביבות המחשוב המודרניות הן מבוזרות, דינמיות ומלאות שכפולים, מה שהופך מחיקה מלאה ומוחלטת למשימה כמעט בלתי אפשרית ללא הכלים והמתודולוגיות הנכונות.

מחיקה מוחלטת בעידן הגיבויים והענן

נתונים ארגוניים אינם יושבים במסד נתונים יחיד. הם משוכפלים למערכות גיבוי, לארכיונים, לסביבות פיתוח ובדיקה, ומופצים בין שירותים שונים. בעולם של שירותי ענן, המידע עשוי להיות מאוחסן במספר מרכזי נתונים ברחבי העולם. בקשת מחיקה מחייבת את הארגון לאתר כל עותק של המידע ולמחוק אותו. מחיקת רשומה מגיבוי שנועד לשחזור מאסון היא פעולה מורכבת ומסוכנת. ארגונים נדרשים לפתח אסטרטגיות גיבוי וארכוב שלוקחות בחשבון את דרישות המחיקה, למשל על ידי שימוש בטכניקות הצפנה המאפשרות "מחיקה קריפטוגרפית" (מחיקת מפתח ההצפנה שהופכת את המידע לבלתי קריא).

ביג דאטה, למידת מכונה ו"רוחות רפאים" בנתונים

בעולם הביג דאטה, נתונים אישיים משמשים לאימון מודלים של למידת מכונה (Machine Learning). מה קורה כאשר אדם דורש למחוק את המידע שלו, לאחר שזה כבר שימש לאימון מודל? המידע המקורי אולי נמחק, אך המודל עדיין "זוכר" את התובנות שלמד ממנו. במקרים מסוימים, ניתן אפילו לשחזר חלק מהמידע המקורי מתוך המודל עצמו. זוהי בעיה טכנולוגית ופילוסופית מורכבת, והמחקר בתחום ה"Unlearning" במכונה עדיין בחיתוליו. ארגונים המפתחים מערכות AI חייבים לקחת בחשבון את האתגר הזה כבר בשלב התכנון.

כיצד ERG מסייעת לעסקים להתמודד עם אתגרי הזכות להישכח?

ההתמודדות עם מהפכת הפרטיות דורשת יותר מסתם עורך דין טוב. היא דורשת שותף טכנולוגי שמבין את המורכבות של ניהול מידע, אבטחה ורגולציה. ב-ERG, עם ניסיון של מעל 20 שנה, אנו מספקים פתרונות מקיפים המסייעים לעסקים לא רק לעמוד בדרישות החוק, אלא להפוך את הפרטיות ליתרון אסטרטגי.

ייעוץ, מיפוי והכנת תוכנית עבודה

הצעד הראשון הוא להבין את המצב הקיים. המומחים שלנו עובדים יחד עם הארגון שלך כדי למפות את מאגרי המידע, לזהות את סוגי המידע האישי הנאסף, להבין את זרימת הנתונים וליצור תוכנית עבודה מותאמת אישית לעמידה בדרישות הרגולציה. אנו מסייעים בהגדרת מדיניות שמירת מידע (Data Retention Policy) ונהלים ברורים לטיפול בבקשות נושאי מידע.

הטמעת פתרונות אבטחת מידע מתקדמים

ציות מתחיל באבטחה. אנו מטמיעים פתרונות הצפנה, ניהול גישה, ומניעת דלף מידע (DLP) המבטיחים שהמידע האישי מוגן לאורך כל מחזור החיים שלו. אנו מוודאים שתהליכי המחיקה שלכם מאובטחים ועומדים בסטנדרטים הנדרשים, ומונעים שחזור לא מורשה של נתונים שנמחקו.

ניהול תשתיות IT ושירותי ענן תומכי רגולציה

אנו מתכננים ומנהלים סביבות IT, מקומיות ובענן, תוך התחשבות בדרישות הפרטיות. אנו בוחרים ספקי ענן העומדים בתקני GDPR ומסייעים בהגדרת השירותים באופן שיאפשר שליטה ומחיקה יעילה של נתונים. בין אם מדובר בניהול שרתים, גיבויים או מסדי נתונים, אנו מבטיחים שהתשתית שלכם תומכת במדיניות הפרטיות שלכם.

שירותי מיקור חוץ לניהול בקשות וציות

עבור ארגונים רבים, ניהול שוטף של בקשות פרטיות הוא עומס תפעולי משמעותי. שירותי מיקור החוץ שלנו יכולים לקחת על עצמם את הטיפול בבקשות, החל מקבלתן, דרך אימות הפונה ובחינת הבקשה, ועד לתיאום המחיקה הטכנית. כך, אתם יכולים להתמקד בליבת העסק שלכם, בידיעה שנושא הפרטיות מטופל על ידי מומחים.

שאלות נפוצות

שני המונחים משמשים לעיתים קרובות באופן חופף, אך יש ביניהם הבדל דק. "הזכות להישכח" הוא מושג רחב יותר שמקורו בפסיקת בית הדין האירופי, והוא מתייחס בעיקר להסרת מידע מתוצאות חיפוש באינטרנט. "הזכות למחיקה" (Right to Erasure), כפי שהיא מוגדרת בסעיף 17 של ה-GDPR, היא זכות ספציפית ומעשית יותר, המחייבת כל ארגון (לא רק מנועי חיפוש) למחוק מידע אישי שהוא מחזיק ישירות במערכותיו, בכפוף לעילות מסוימות.
לא. הזכות אינה מוחלטת ויש לה חריגים חשובים. היא אינה חלה כאשר עיבוד המידע נדרש, בין היתר, לצורך עמידה בחובה חוקית (כמו שמירת רשומות מס), לצורך מילוי משימה לתועלת הציבור, למטרות ארכיון, מחקר מדעי או היסטורי, או לצורך ביסוס, מימוש או הגנה על תביעות משפטיות. כמו כן, היא מתנגשת לעיתים עם הזכות לחופש הביטוי והמידע, ונדרש איזון בין הזכויות בכל מקרה לגופו.
הצעד הראשון הוא לפנות ישירות לארגון שמחזיק במידע שלך. על פי ה-GDPR, עליך להגיש בקשה ברורה (בכתב או בעל פה) למחיקת המידע האישי שלך. מומלץ לפרט את הסיבה לבקשה (למשל, המידע אינו נחוץ עוד). הארגון מחויב להגיב לבקשתך בדרך כלל תוך חודש. אם הארגון מסרב או אינו מגיב, ניתן להגיש תלונה לרשות להגנת הפרטיות הרלוונטית.
הצעד החשוב ביותר הוא מיפוי נתונים: להבין איזה מידע אישי אתם אוספים, היכן הוא מאוחסן, מדוע, ולכמה זמן. לאחר מכן, יש לעדכן את מדיניות הפרטיות שלכם כדי שתהיה שקופה וברורה. במקביל, יש להקים תהליך פנימי מסודר לטיפול בבקשות למחיקה, כולל הגדרת אחראים, לוחות זמנים, ושיטות למחיקה מאובטחת. מומלץ מאוד להיוועץ במומחי IT ומשפט כדי להבטיח שהתהליכים עומדים בדרישות החוק.
כן, במידה והאנונימיזציה נעשית בצורה נכונה. מידע אנונימי הוא מידע שלא ניתן עוד לקשר אותו לאדם ספציפי, גם לא באמצעות שילוב עם מידע אחר. אם תהליך האנונימיזציה הוא בלתי הפיך, המידע חדל להיות "מידע אישי" והוא אינו כפוף עוד ל-GDPR. לעומת זאת, "פסיאודונימיזציה" (הצפנה או החלפת מזהים) אינה מספיקה, מכיוון שעדיין ניתן לקשר את המידע בחזרה לאדם באמצעות מפתח או מידע נוסף. לכן, אנונימיזציה מלאה יכולה להיות פתרון יעיל, אך היא דורשת יישום טכני קפדני.
בהחלט. רשתות חברתיות הן דוגמה קלאסית לגופים הכפופים ל-GDPR ולחוקי פרטיות אחרים. יש לך זכות מלאה לבקש מהן למחוק את הפרופיל שלך ואת כל התוכן שהעלית. רוב הפלטפורמות הגדולות מציעות כלים למחיקת חשבון. חשוב לשים לב להבדל בין "השבתה" (deactivation), שהיא בדרך כלל הפיכה, לבין "מחיקה" (deletion), שאמורה להיות קבועה.
איור של גבר עם שיער וחזק כהים, לבוש חולצה כחולה, על רקע עיגול כתום. הפנים ריקות.

למה החלטתי לכתוב על נושא זה

{"author": "איל גיבעון, מנכ"ל ERG", "text": "במשך יותר משני עשורים בתחום המחשוב, ראיתי את הטכנולוגיה מתפתחת בקצב מסחרר. בעבר, המיקוד היה באיסוף כמה שיותר מידע, מתוך אמונה ש'ידע הוא כוח'. היום, אני רואה שינוי פרדיגמה. הכוח האמיתי אינו טמון רק באיסוף המידע, אלא בניהולו האחראי והאתי. הזכות להישכח היא הביטוי המובהק ביותר לשינוי הזה. החלטתי שחשוב לכתוב על הנושא הזה כי אני פוגש לקוחות רבים שמרגישים אבודים מול המורכבות הרגולטורית והטכנולוגית. המטרה שלנו ב-ERG היא להפוך את המורכבות הזו לפשטות, ולהראות לעסקים איך ציות לרגולציה יכול להפוך מנטל לנכס אסטרטגי שבונה אמון עם לקוחותיהם."}

בואו נסכם...

הזכות להישכח היא הרבה יותר מסעיף בחוק, היא מסמלת עידן חדש של אחריות דיגיטלית. היא מעבירה את השליטה על המידע האישי לידי האנשים ומציבה בפני עסקים אתגרים תפעוליים וטכנולוגיים משמעותיים. עם זאת, אימוץ פרואקטיבי של עקרונות הפרטיות אינו רק חובה, אלא גם הזדמנות לבדל את עצמכם, לבנות אמון עם לקוחות ולחזק את המותג שלכם. הניווט בעולם החדש הזה דורש מומחיות, כלים נכונים ושותף טכנולוגי אמין. אנו בERG כאן כדי להדריך אתכם בכל שלב, מהבנת הדרישות ועד ליישום פתרונות מתקדמים, ולהבטיח שהעסק שלכם לא רק ישרוד את מהפכת הפרטיות, אלא ישגשג בזכותה.

תמונה של איל גבעון, מנכ"ל משותף

איל גבעון, מנכ"ל משותף

השותף שאומר תמיד לא חובב סדר, ניקיון ונהלי עבודה אמרה נפוצה: "בשביל זה כתבנו נוהל – תעבדו לפי הנוהל ואז תחזרו אלי עם הצלחות" בעיקר משתדל לא להפריע לאף אחד אחר

מאמרים נוספים באתר
השיתופים שלכם עושים לנו טוב על הלב
דילוג לתוכן