מהו אישור מחיקת מידע?
אישור מחיקת מידע הוא מסמך רשמי, טכני ומשפטי, הניתן על ידי בעל מאגר מידע או מעבד מידע, ואשר מטרתו לאשר באופן מפורש, סופי ובלתי חוזר, כי מידע אישי או רגיש נמחק לחלוטין ממערכות הארגון. מחיקה זו מתבצעת בהתאם להוראות הדין, להסכמים חוזיים, לנהלים פנים-ארגוניים ולתקנים מחייבים, לרבות רגולציות בינלאומיות (דוגמת תקנות ה‑GDPR האירופאיות וה‑CCPA האמריקאיות).
מעבר לאישוש הטכני של עצם ביצוע המחיקה, האישור משקף עקרון יסוד בדיני הגנת המידע – עקרון האחריותיות (Accountability). בכך, הוא מהווה תשתית ראייתית לארגון, המעוניין להוכיח כי עמד בחובותיו המשפטיות, נקט אמצעים סבירים למחיקת מידע כנדרש, ופעל בהתאם לעקרון צמצום המידע. בהקשרים מסוימים, עשוי האישור לשמש גם כהגנה משפטית מפני טענות להפרה, שכן הוא מאשר כי המידע אינו קיים עוד ואינו בשליטת הארגון.
אישור מחיקת מידע אינו פעולה טכנית בלבד אלא פעולה משפטית
ארגונים רבים מתייחסים למחיקת מידע כאל פעולה טכנולוגית המבוצעת על ידי מחלקת מערכות המידע. בפועל, מחיקת מידע אישי היא פעולה בעלת משמעות משפטית, רגולטורית וראייתית רחבה. מחיקה שאינה מתועדת עלולה להקשות על הארגון להוכיח עמידה בדרישות הדין; מנגד, מחיקה בלתי מבוקרת עלולה להביא להשמדת מידע שחלה חובה חוקית לשמור אותו.
לפיכך, אישור מחיקת מידע אינו רק אסמכתה טכנית לכך שקבצים הוסרו ממערכת מסוימת. מדובר במסמך ציות (Compliance), שנועד להוכיח כי הארגון פעל בהתאם למדיניות שמירת המידע שלו, בהתאם לעקרון צמידות המטרה ובהתאם לדרישות הדין החלות עליו.
במקרים רבים, עצם היכולת להציג אישור מחיקה מסודר, מתועד וניתן לאימות, היא המבדילה בין ארגון המסוגל להוכיח עמידה בדרישות הרגולציה לבין ארגון החשוף לטענות בדבר החזקת מידע עודף או שימוש בלתי מורשה במידע אישי.
מתי אסור למחוק מידע?
הזכות למחיקת מידע אינה מוחלטת. במקרים רבים, הדין מחייב את הארגון להמשיך ולהחזיק במידע אישי גם כאשר הוגשה בקשת מחיקה. כך למשל, חובות שמירת מסמכים מכוח דיני המס, דיני העבודה, דיני החברות, תקנות הארכיונים, רגולציה פיננסית, רגולציה רפואית או חובות ניהול רשומות ציבוריות, עשויות לגבור על בקשת המחיקה.
בנוסף, כאשר קיים הליך משפטי תלוי ועומד (או אף חשש סביר להתדיינות עתידית), או דרישה רגולטורית, מחיקת המידע עלולה להיות אסורה ואף לחשוף את הארגון לסיכון משפטי משמעותי.
לפיכך, טרם מחיקת מידע אישי, נדרש לבצע בחינה משפטית של מקור המידע, מטרת החזקתו, תקופות השימור החלות עליו והחובות הרגולטוריות הרלוונטיות. החלטה על מחיקה מחייבת איזון בין עקרונות הגנת הפרטיות לבין חובות השימור החלות על הארגון.
מה כולל אישור מחיקת מידע?
אישור למחיקת מידע צריך לכלול מספר רכיבים חיוניים, מבחינה משפטית ומבחינה טכנית:
-
זיהוי נושא המידע: שם מלא, מזהה אישי (כגון מספר תעודת זהות), מספר לקוח, או מזהים אחרים הרלוונטיים להקשר בו בוצעה המחיקה.
-
מועד הביצוע: תיעוד מלא של תאריך, שעה, ולעיתים גם איזור זמן (Time Zone), לשם תיעוד מדויק ואחיד.
-
סוגי המידע שנמחקו: לרבות נתונים מזהים (כגון כתובת, IP, מיקום), תכתובות, קבצים, מסמכים, תיעוד פעילות או מידע רגיש.
-
מערכות המקור: פירוט המערכות מהן נמחק המידע – מערכות CRM, מסדי נתונים (SQL), שירותי ענן (כגון AWS, Azure, Google Cloud), תחנות קצה, שרתים מקומיים, ספריות קבצים ועוד.
-
שיטת המחיקה: פירוט טכנולוגי של אופן הביצוע – Overwriting, Secure Erase, Degaussing, או מחיקה באמצעות ממשקי API בענן. המונחים הטכניים חייבים להיות ברורים, מדויקים ומבוססי תקנים.
- הגורם שביצע את המחיקה.
מערכות גיבוי מידע
גיבוי מידע (Data Backup) הוא אמצעי מרכזי בהגנה על זמינות הנתונים ובהמשכיות עסקית, אך לעיתים הוא מהווה חסם בפני מחיקה מלאה. על כן, יש להבהיר באישור המחיקה האם המידע נמחק גם ממערכות הגיבוי, או שמא קיימת מדיניות מחיקה דחויה המתבצעת לפי מחזורי גיבוי.
במקרים בהם הגיבוי נועד לשימוש בשעת חירום בלבד, ייתכן שניתן להסתפק בהצהרה פורמלית ומנומקת, כי המידע יימחק בהתאם למדיניות מחיקה מחזורית, אשר אושרה מראש ונבדקה משפטית.
רישום, תיעוד וציות – אישור מחיקת מידע
כחלק מניהול ממשל מידע תקין, על אישור מחיקת המידע לכלול גם הצהרה של בעל תפקיד מוסמך, המאשרת כי פעולת המחיקה בוצעה בהתאם לנהלי אבטחת מידע פנים-ארגוניים ולתקנים מוכרים, דוגמת ISO 27001 או NIST SP 800-88.
בנוסף, פעולת המחיקה עצמה נדרשת להירשם ולהישמר ביומני מערכת (Log Management), כחלק מתיעוד ביקורתי המיועד לביקורת, בקרה ולתחקור עתידי. תיעוד זה חיוני לצורך הוכחת עמידה בחובות משפטיות ורגולטוריות, בפרט בעת סקר ציות, הליכים משפטיים או ביקורת רגולטורית חיצונית.
ליווי משפטי-טכנולוגי מקצה לקצה
צוות משרד וולר ושות' מעניק ללקוחותיו ליווי וייעוץ מקיף בדיני הגנת הפרטיות ואבטחת המידע, תוך שילוב בין מומחיות משפטית, הבנה טכנולוגית וניסיון רגולטורי. אנו פועלים יחד עם לקוחותינו להטמעת נהלי מחיקה תקינים, ביצוע מחיקות בפועל, תיעוד ועריכת אישורים, עריכת סקרי ציות וביקורות פרטיות, ומתן שירותי ממונה הגנת פרטיות (DPO) במיקור חוץ. המשרד מציע פתרונות מותאמים אישית, המשלבים עמידה בסטנדרטים הבינלאומיים המחמירים ביותר, ניהול מדיניות פרטיות אפקטיבית, ותמיכה מלאה בהיערכות לקראת תקנות מקומיות ובינלאומיות כאחד.
נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, כממונה הגנת הפרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.
פורסם: 2/07/2025. עדכון אחרון: 01/06/2026.
תחום: הגנת הפרטיות ואבטחת מידע.

