זכויות נושאי מידע לאחר תיקון 13: זכות העיון, המחיקה והניוד

מבוא לזכויות נושאי המידע בעידן החדש

מנהל מוקד שירות בחברת SaaS ישראלית קיבל השבוע בקשה מלקוח שמבקש "לקבל עותק של כל המידע שיש לכם עליי, למחוק את החשבון שלי, ולהעביר את הנתונים לחברה אחרת". עד לפני שנה, הייתה זו בקשה יוצאת דופן. היום, לאחר כניסת תיקון 13 לתוקף, מדובר בזכות חוקית מלאה שחברות חייבות לכבד.

תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, שנכנס לתוקף במאי 2025, הביא מהפכה אמיתית בזכויות נושאי המידע בישראל. לראשונה בחקיקה הישראלית, נקבעו זכויות מפורטות ומובנות שדומות לאלה הקיימות ב-GDPR האירופי, כולל זכות עיון מורחבת, זכות מחיקה, וזכות ניוד נתונים.

השינוי אינו רק טכני - הוא מעיד על שינוי פרדיגמה משמעותי ביחס לבעלות על מידע אישי. במקום הגישה המסורתית שלפיה החברה "מחזיקה" במידע שנאסף, המשטר החדש מכיר בכך שהמידע "שייך" לנושא המידע, והחברה מחזיקה בו רק למטרות ספציפיות ובתנאים מוגדרים.

עבור חברות טכנולוגיה ישראליות, המשמעות מעשית: מערכות שפותחו בעבר צריכות להתאים את עצמן לתמיכה בזכויות החדשות, נהלים חדשים צריכים להיכתב, וצוותי תמיכה זקוקים להכשרה על הדרישות החוקיות. חברות שכבר יישמו התאמות ל-GDPR נמצאות בעמדת יתרון, אך גם הן צריכות להתאים את הנהלים לדרישות הספציפיות של החוק הישראלי.

זכות העיון: מה חברות חייבות לחשף ובאיזה מסגרת זמן

זכות העיון, כפי שהוגדרה בתיקון 13, היא הרבה יותר מאשר הזכות הקודמת לקבל עותק של המידע האישי. נושא המידע זכאי לקבל לא רק את הנתונים עצמם, אלא גם מידע מפורט על האופן שבו החברה עושה שימוש במידע שלו.

החברה חייבת לספק לנושא המידע את המידע הבא:

• כל המידע האישי המעובד - כולל נתונים שנאספו ישירות מהלקוח ונתונים שהופקו או הושלמו על ידי החברה
• מקור המידע - האם הנתונים נאספו ישירות מנושא המידע או מצד שלישי, ובמקרה האחרון - מיהו אותו צד שלישי
• מטרות העיבוד - לשם מה החברה משתמשת במידע, כולל מטרות שיווק, ניתוח, או שיפור שירותים
• קטגוריות נמענים - עם מי החברה משתפת את המידע (ספקי שירות, שותפי עסקיים, רשויות)
• תקופת השמירה - כמה זמן החברה מתכוונת לשמור את המידע
• קיום עיבוד אוטומטי - האם מתקיים עיבוד המבוסס על אלגוריתמים או בינה מלאכותית, ומה ההשלכות

החברה חייבת להגיב לבקשת עיון תוך 30 יום מיום קבלת הבקשה. במקרים מורכבים במיוחד, ניתן להאריך את התקופה ב-60 יום נוספים, אך יש לעדכן את נושא המידע על ההארכה תוך 30 היום הראשונים.

מבחינה טכנית, המידע חייב להיות מוצג בפורמט נגיש ומובן. אין חובה לספק את המידע בפורמט מכונה-קריא (machine-readable) במסגרת זכות העיון, אך רצוי לעשות זאת כדי לחסוך עלויות במימוש זכות הניוד שעשויה להגיע בהמשך.

אתגרים מעשיים בזכות העיון

אחד האתגרים הגדולים בזכות העיון הוא איזון בין החובה לחשף מידע לבין הגנה על מידע של אחרים. לדוגמה, אם לקוח מבקש לראות את המידע עליו מתוך שיחת שירות מוקלטת שבה השתתף גם נציג החברה, יש לתת מענה שמגן על פרטיותו של העובד תוך עמידה בזכות הלקוח.

אתגר נוסף הוא מידע שנוצר על ידי החברה על בסיס נתונים של הלקוח. חוות דעת אשראי, ניקוד לקוח, או המלצות מותאמות אישית - כולם נחשבים מידע אישי שחייבים להיחשף, גם אם חשיפתם עלולה לחשוף אלגוריתמים קניינים של החברה.

זכות המחיקה: מתי חובה למחוק ומתי ניתן לסרב

זכות המחיקה, הידועה גם כ"הזכות להיעשות נשכח", מאפשרת לנושא מידע לדרוש ממחזיק המידע למחוק את המידע האישי עליו. בניגוד לתפיסה הרווחת, זו אינה זכות מוחלטת - היא כפופה לתנאים ולחריגים מוגדרים בחוק.

נושא המידע רשאי לדרוש מחיקה במקרים הבאים:

• המידע אינו נחוץ עוד - המטרה שלשמה נאסף המידע כבר התמלאה או פקעה
• נסיגה מהסכמה - כאשר העיבוד מתבסס על הסכמה ונושא המידע חוזר בו ממנה
• עיבוד שלא כדין - המידע מעובד בניגוד להוראות החוק
• חובת מחיקה לפי דין - קיים חיוב חוקי אחר למחוק את המידע
• המידע נאסף ממקטין - והוא אינו רשאי היה לתת הסכמה

עם זאת, החברה רשאית לסרב למחיקה במקרים מסוימים:

• הגנה על חופש הביטוי והמידע - במיוחד בהקשר עיתונאי או אקדמי
• עמידה בחובה חוקית - כאשר החוק מחייב לשמור את המידע (כמו דרישות רשויות המס או הפיקוח הבנקאי)
• אינטרס ציבורי - למטרות בריאות הציבור, מחקר מדעני, או ארכיון היסטורי
• הגנת זכויות משפטיות - כאשר המידע נחוץ להגנה על זכויות החברה או של אחרים

מחיקה טכנית מול מחיקה לוגית

השאלה המעשית החשובה ביותר בזכות המחיקה היא: מה נחשב "מחיקה" לעניין החוק? החוק אינו מחייב מחיקה פיזית מיידית מכל מערכות הגיבוי והארכיון, אך הוא כן דורש שהמידע לא יהיה נגיש לעיבוד שוטף.

למעשה, החברה יכולה ליישם "מחיקה לוגית" - לסמן את המידע כמחוק ולהפסיק את העיבוד השוטף שלו, תוך שמירה בגיבויים לתקופה סבירה המתחייבת מצרכים טכניים או משפטיים. עם זאת, המידע המחוק לא רשאי לשמש לקבלת החלטות או לעיבוד נוסף.

חברות רבות מפתחות מערכת "חמצון נתונים" - תהליך שבו נתונים ישנים הופכים הדרגתי לפחות נגישים ולבסוף נמחקים לחלוטין. גישה זו מאפשרת עמידה בזכות המחיקה תוך שמירה על יציבות המערכות הטכנולוגיות.

זכות ניוד הנתונים: מהי החובה ואיך ליישם אותה נכון

זכות ניוד הנתונים היא אולי החידוש המהפכני ביותר בתיקון 13. היא מקנה לנושא המידע את הזכות לקבל את המידע האישי שלו "בפורמט מובנה, נפוץ וקריא-מכונה", ולהעביר אותו למחזיק מידע אחר ללא הפרעה.

הזכות חלה על מידע שנאסף בהסכמה או במסגרת ביצוע חוזה, וכוללת שני מרכיבים:

• קבלת המידע - החברה חייבת לספק לנושא המידע את כל המידע האישי עליו בפורמט טכני שמאפשר העברה
• העברה ישירה - במקרים שבהם זה אפשר טכנית, החברה צריכה לאפשר העברת המידע ישירות לחברה אחרת

הדרישות הטכניות לניוד נתונים כוללות:

• פורמט מובנה - JSON, XML, CSV או פורמטים דומים שמאפשרים עיבוד אוטומטי
• נגישות - הפורמט חייב להיות "נפוץ" ולא קנייני של החברה המעבירה
• שלמות - כל המידע הרלוונטי חייב להיכלל, כולל מטא-דאטה חשובה
• אבטחה - הועברת המידע חייבת להתבצע בצורה מאובטחת

גבולות זכות הניוד

חשוב להבין שזכות הניוד אינה חלה על כל המידע במערכת. היא מוגבלת למידע שנושא המידע "סיפק" לחברה, בין אם ישירות ובין אם בעקיפין באמצעות שימוש בשירות. מידע שנוצר על ידי החברה מבלי להתבסס על פעילות נושא המידע - כמו הערכות פנימיות או ניתוחים - אינו בהכרח כפוף לזכות הניוד.

דוגמה מעשית: לקוח של אפליקציית כושר זכאי לקבל את כל הנתונים שהזין (גובה, משקל, יעדים), את הנתונים שהאפליקציה אספה (מספר צעדים, דופק), ואת היסטוריית האימונים שתועדה. עם זאת, האלגוריתם הקנייני של האפליקציה לחישוב תוכנית אימונים מותאמת אישית אינו חייב להיכלל.

בפועל, רוב החברות בוחרות ליישם זכות ניוד באמצעות API ייעודי או ממשק משתמש שמאפשר יצוא נתונים. החברות הגדולות פיתחו כלים אוטומטיים שמאפשרים ללקוחות להוריד את הנתונים שלהם בכמה קליקים, בעוד חברות קטנות יותר עשויות לטפל בבקשות באופן ידני.

איך לטפל בבקשות נושאי מידע: נהלים, מועדים ודרישות זיהוי

טיפול בבקשות נושאי מידע דורש הקמת נהלים ברורים שמאזנים בין הזכות החוקית של נושא המידע לבין הצורך להגן על המידע מפני גישה לא מורשית. החוק קובע מסגרת זמנים נוקשה, אך מאפשר גמישות בדרישות הזיהוי והאימות.

המועדים החוקיים לטיפול בבקשות הם:

• 30 יום - המועד הבסיסי לכל בקשות נושאי מידע
• הארכה של 60 יום - במקרים מורכבים, בתנאי שנושא המידע קיבל הודעה מוקדמת
• זמן נוסף לאימות זהות - במקרים שבהם יש ספק לגבי זהות המבקש

תהליך הטיפול הצריך לכלול את השלבים הבאים:

1. קבלת הבקשה ותיעוד - יש לתעד את הבקשה ולשלוח אישור קבלה
2. אימות זהות - ודא שהמבקש הוא אכן נושא המידע או בא כוחו המורשה
3. בירור היקף הבקשה - הבהר איזה מידע מבוקש ובאיזה פורמט
4. בדיקת חריגים - בדוק האם קיימים חריגים חוקיים המונעים מתן המענה
5. אסיפת המידע - אסוף את המידע הרלוונטי מכל מערכות החברה
6. הכנת התשובה - ארגן את המידע בפורמט המתאים
7. משלוח התשובה - שלח את המידע בצורה מאובטחת ותעד את המשלוח

דרישות זיהוי ואימות

אחד האתגרים המרכזיים בטיפול בבקשות נושאי מידע הוא וידוא שהמבקש הוא אכן בעל הזכות לקבל את המידע. דרישות זיהוי מחמירות מדי עלולות להפוך את מימוש הזכות לבלתי מעשי, אך דרישות רופפות מדי עלולות להוביל לחשיפת מידע לא מורשית.

העקרונות שחברות צריכות לאמץ:

• זיהוי פרופורציונאלי - דרישות זיהוי חייבות להתאים לרגישות המידע ולסיכונים
• שימוש בכלים קיימים - ניתן להשתמש באמצעי זיהוי שכבר משמשים את החברה (התחברות למערכת, אימות דו-שלבי)
• תיעוד התהליך - יש לתעד את תהליך האימות למקרה של עתירה או בירור

במקרים שבהם נושא המידע פועל באמצעות בא כוח (עורך דין, בן משפחה, או חברת שירות), יש לדרוש כתב הרשאה ברור ולוודא את זהות שני הצדדים - המייפה כוח והמקבל ייפוי כוח.

מתי מותר לחייב נושאי מידע בעמלה ובאיזה סכומים

כלל היסוד בתיקון 13 הוא שחברות אינן רשאיות לחייב נושאי מידע תמורת מימוש זכויותיהם. עם זאת, החוק מאפשר חיוב בנסיבות מסוימות, בכפוף לתנאים מחמירים ולהגבלות סכום.

החברה רשאית לגבות עמלה רק במקרים הבאים:

• בקשות חוזרות ומיותרות - כאשר אותו אדם מגיש בקשות זהות בתדירות לא סבירה
• בקשות מופרזות - בקשות הדורשות מאמץ לא פרופורציונאלי מהחברה
• עותקים נוספים - מעבר לעותק הראשון של המידע

גובה העמלות מוגבל לעלויות הממשיות שהחברה נושאת בטיפול בבקשה. החברה חייבת לנמק את גובה העמלה ולהציג פירוט של העלויות. נכון למועד כתיבת מאמר זה, רשות הגנת הפרטיות לא פרסמה הנחיות ספציפיות לגבי גובה עמלות מותרות, אך מומלץ להתבסס על עלויות ממשיות בלבד - כוח אדם, עלויות טכניות, ומשלוח.

דוגמאות לחיוב מותר ואסור

חיוב מותר:

• לקוח מבקש בפעם השלישית תוך חודשיים את אותו מידע ללא שינוי בנסיבות
• בקשה לקבלת היסטוריה של 10 שנים במסד נתונים שדורש שחזור מארכיון אופליין
• בקשה למשלוח נתונים בדואר רשום במקום בדואר אלקטרוני

חיוב אסור:

• חיוב עבור בקשת עיון ראשונה, גם אם מדובר במידע רב
• חיוב "עמלת טיפול" קבועה שאינה מבוססת על עלויות ממשיות
• חיוב עבור זמן עבודת עובדים בשכר חודשי (שאינו עלות נוספת לחברה)

המלצה מעשית: חברות טכנולוגיה צריכות להשקיע בפיתוח כלים אוטומטיים למימוש זכויות נושאי מידע. השקעה חד-פעמית בפיתוח API או ממשק משתמש לייצוא נתונים תחסוך עלויות תפעוליות משמעותיות בטווח הארוך ותפחית את הצורך לחייב לקוחות בעמלות.

יישום מעשי: מערכות, תהליכים וההכנה לעתיד הקרוב

המעבר ממשטר הגנת הפרטיות הישן לחדש דורש מחברות טכנולוגיה לא רק התאמה משפטית אלא גם שדרוג טכנולוגי ותהליכי משמעותי. החברות המצליחות הן אלה שרואות בזכויות נושאי מידע הזדמנות לשפר את יחסי הלקוחות ולא רק עלות נוספת.

הצעדים המעשיים הראשונים כוללים:

• מיפוי מאגרי המידע - זהה את כל המקומות שבהם החברה מחזיקה מידע אישי (מסדי נתונים, גיבויים, יומנים, מערכות CRM)
• פיתוח ממשקי נתונים - צור APIs או כלים פנימיים שמאפשרים חיפוש, ייצוא ומחיקה של מידע לפי נושא מידע
• הגדרת תהליכי עבודה - כתוב נהלים ברורים לטיפול בכל סוג בקשה ולהכשר את הצוותים הרלוונטיים
• בניית מערכת מעקב - יישם מערכת שמאפשרת לעקוב אחר סטטוס כל בקשה ולוודא עמידה במועדים

מבחינה ארכיטקטונית, מומלץ לשקול:

• "Privacy by Design" - שילוב שיקולי פרטיות בשלב התכנון של מוצרים חדשים
• מזהים מאוחדים - שימוש במזהה אחיד לנושא מידע על פני כל מערכות החברה
• גרסאות נתונים - שמירת מעקב אחר שינויים במידע כדי להיות מסוגלים לספק היסטוריה מדויקת
• מחיקה היררכית - מערכת שמאפשרת מחיקה בהדרגה לפי סוג נתון ורגישות

הכנה לבקרות רשות הגנת הפרטיות

רשות הגנת הפרטיות קיבלה בתיקון 13 סמכויות חדשות ומשמעותיות, כולל יכולת להטיל קנסות מנהליים של מיליוני שקלים. חברות חכמות מכינות את עצמן כבר עכשיו לבקרות עתידיות.

ההכנה צריכה לכלול:

• תיעוד מפורט - תעד את כל הנהלים, ההחלטות והפעולות בתחום הגנת הפרטיות
• מדדי ביצועים - עקוב אחר זמני תגובה, שיעור עמידה במועדים, ומספר תלונות
• הכשרת עובדים - וודא שכל מי שמטפל במידע אישי מכיר את הזכויות החדשות ואת דרכי המימוש
• בדיקות פנימיות - בצע סימולציות של בקשות נושאי מידע כדי לזהות בעיות בתהליכים

לבסוף, חשוב לזכור שמימוש זכויות נושאי מידע הוא לא רק חובה חוקית אלא גם הזדמנות עסקית. לקוחות שמרגישים שיש להם שליטה על המידע שלהם נוטים להיות נאמנים יותר ולשתף מידע נוסף. חברות שיבנו מוניטין של טיפול מכבד ויעיל בבקשות נושאי מידע יוכלו להפוך את החובה החוקית ליתרון תחרותי.

האמור במאמר זה מהווה מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מותאם לנסיבות הספציפיות של חברתכם, אנו מזמינים אתכם ליצור קשר עם משרדנו.

מאת

עו"ד אור אלישיב

מייסד משרד עו"ד אור אלישיב, המתמחה בדיני טכנולוגיה, הגנת פרטיות, קניין רוחני ומשפט מסחרי. מלווה חברות טכנולוגיה, סטארטאפים ומשקיעים בינלאומיים.