מאת עו"ד גילעד מלכי
בעידן שבו כמעט כל פעולה שאנו מבצעים- קנייה, הרשמה, הורדה, פנייה או סתם גלישה באתר – גוררת אחריה איסוף של מידע אישי, מתחדדת השאלה עד כמה באמת יש לנו שליטה במידע הזה. מאחורי כל אתר אינטרנט, טופס, אפליקציה או מערכת ממוחשבת עומדים גופים שאוספים, מנהלים ולעיתים משתפים את הנתונים שלנו, אך לא תמיד אנו מודעים לזכויות שמוקנות לנו ביחס למידע הזה. הזכות לעיין, לתקן, ובמקרים מסוימים גם למחוק – הן ביטוי עקרוני לכך שהמידע שייך בראש ובראשונה לאדם עליו הוא נאסף.
כבר בשנת 1981, עם חקיקתו של חוק הגנת הפרטיות, הוכרה זכותו של אדם לשלוט על המידע אודותיו המצוי במאגרי מידע. החוק העניק לנושאי מידע מספר זכויות יסוד: הזכות לעיין במידע, הזכות לתקן מידע שאינו נכון, מעודכן או שלם, ובמקרים מסוימים – גם הזכות לדרוש מחיקת מידע.
בטור זה נבחן האם קיימת בישראל "זכות המחיקה" (הזכות להישכח), כפי שהיא מוכרת בעולם?
אירופה-הזכות למחיקת המידע (להישכח) במלוא מובן המילה
תקנות הגנת המידע האירופאיות (ה-GDPR) הכניסו לעולם את אחת הזכויות החזקות ביותר של נושאי המידע- הזכות להימחק (Right to Erasure) הידועה גם בשם הזכות להישכח (Right to be Forgotten). תקנה 17 לתקנות ה-GDPR קובעת כי לנושא מידע קיימת הזכות לבקש ממי שמחזיק או שולט במידע עליו למחוק את הנתונים האישיים הקשורים אליו, ללא דיחוי בלתי סביר, אם אחד מהתנאים שנקבעו בחוק מתקיים.
המשמעות המעשית: זכות משפטית שמאפשרת לפרט לפנות לגוף שמחזיק מידע אודותיו ולבקש למחוק אותו – כלומר: להשבית את השימוש בו, למחוק עותקים, ולמנוע הפצה נוספת שלו. בדרך כלל מדובר על מידע שאינו רלוונטי עוד, או שמפר זכויות יסוד, או שנעשה בו שימוש מעבר למטרה המקורית. לדוגמה – מידע שנשמר מעבר לתקופה הנדרשת, מידע ששימש למטרה שכבר הושלמה, או מידע שנאסף בהסכמה שבוטלה.
יצוין כי זכות זאת היא אינה זכות מוחלטת. החוק האירופי קובע מספר חריגים משמעותיים, וביניהם:
- כאשר שמירת המידע נדרשת לצורך עמידה בחובה חוקית (כמו שמירת רישומים כספיים או מס).
- כאשר קיימת חובה ציבורית, כגון שמירה על חופש הביטוי או אינטרס ציבורי במחקר מדעי.
- כאשר המידע נחוץ למימוש או הגנה על זכויות משפטיות.
במילים אחרות – אדם יכול לדרוש את מחיקת המידע עליו, אך לא בכל מקרה תתקבל בקשתו.
ארה"ב- רגולציה שאינה אחידה וזכויות מחיקה רק לפי חוקים ייעודיים
בארה"ב לא קיים חוק פדרלי מקיף המקנה לכל אזרח "זכות להישכח" בדומה ל-GDPR באירופה, אלא קיים מערך של חוקים סקטוריאליים החלים על תחומים מסוימים, המעניקים הגנות שונות ולרוב מוגבלות על מחיקת מידע אישי. לדוגמה, חוקים מדינתיים כמו חוק הגנת פרטיות הצרכן המתקדם של קליפורניה, ה-CCPA אכן מקנה לצרכנים בקליפורניה את הזכות לדרוש את מחיקת המידע האישי שלהם מהגופים המסחריים שמחזיקים בו- אך זכות זו גם כן כפופה לחריגים. בין החריגים בולטים מצבים בהם המידע דרוש להשלמת העסקה, עמידה בדרישות חוק, זיהוי/מניעת הונאות, והפעלת זכויות עסקיות נוספות.
בנוסף קיימים חוקים סקטוריאליים כגון ה-HIPAA (לנתוני בריאות), ה-FERPA (למידע חינוכי), ה-GLBA (לנתוני צרכנים במוסדות פיננסיים) ו-FCRA (לנתוני אשראי). בכל אחד מהם קיימת חובה למחוק מידע במצבים מסוימים- אך רק במסגרת התחום הרגולטורי הרלוונטי.
ייחוד נוסף שקיים בארה"ב הוא שחברות מחויבות לשמור תיעוד של בקשות מחיקה ולהימנע מהפליה נגד צרכן שמימש את זכותו, וגם לאפשר לצרכן להורות על אי מכירת מידע אישי.
אלו מעידים על הגישה האמריקאית הפרגמטית- שמעדיפה לאזן בין פרטיות לבין צרכים עסקיים וחדשנות טכנולוגית, מבלי להחיל זכות מחיקה אחידה. זכויות מסוג זה אכן קיימות אך רק בכמה מדינות ובנוגע לסקטורים מסוימים בארה"ב, והסטנדרט אינו אחיד.
ומה בישראל?
על פי הדין הישראלי קיימת זכות מחיקה מאוד מוגדרת ומצומצמת, שאינה משתווה להיקפה הרחב של הזכות להימחק באירופה.
ראשית, לפי סעיף 14 לחוק הגנת הפרטיות, אדם רשאי לפנות לבעל השליטה במאגר מידע ולבקש את מחיקת מידע שאינו נכון, שלם, ברור או מעודכן. מדובר בזכות ממוקדת – המחייבת מחיקה רק של מידע אישי שגוי, ולא של כלל המידע על האדם.
בנוסף, קיימת זכות מחיקה נוספת כאשר מדובר במאגר מידע המשמש לדיוור ישיר, שביחס אליו רשאי נושא המידע לבקש את הסרת פרטיו או הפסקת השימוש בהם לצורכי שיווק בלבד. בפועל, המשמעות היא שהגוף אינו נדרש למחוק את המידע כולו, אלא רק להפסיק להשתמש בו למטרה הספציפית של דיוור ישיר.
ומכך שהחוק הישראלי אינו מקנה זכות כללית למחיקת מידע אישי, אלא רק במקרים מצומצמים.
יוער כי תיקון 13 לחוק שנכנס לתוקף באוגוסט 2025, חיזק את זכויות נושאי המידע בכך שחייב בעלי מאגרי מידע ליידע את הציבור על זכויותיהם כבר בשלב איסוף המידע, והעניק לרשות להגנת הפרטיות סמכויות אכיפה להטלת עיצומים כבדים על גופים שיתעלמו, או לא יכבדו בקשות של נושאי מידע. בנוסף, התיקון אף העניק לנושאי מידע את הזכות להגיש תביעה אישית – גם ללא הוכחת נזק – כאשר גוף לא השיב לבקשתם כראוי או במסגרת הזמנים שנקבעה בחוק.
מנגנון נוסף הקבוע בדין הישראלי ונועד למנוע מגופים להחזיק במאגרי המידע שלהם מידע רב מן הנדרש קבוע בתקנה 2(ג) לתקנות הגנת הפרטיות (אבטחת מידע), תשע״ז-2017, אשר זו מטילה על בעל השליטה במאגר המידע חובה לקיים אחת לשנה דיון מסודר במסגרתו יש עליו לבחון את היקף המידע האגור במאגר המידע ולמחוק "מידע עודף", כלומר מידע שאינו נדרש עוד למטרות שלשמן נאסף, או שאין לגוף הצדקה חוקית או עסקית להמשך שמירתו.
הכותב הוא ראש תחום טכנולוגיות מידע במשרד דן חי ושות' (המפעיל אתר זה)
