אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » איך מטפלים בבקשות הסרת פרטים מהאתר

איך מטפלים בבקשות הסרת פרטים מהאתר

רן בר-זיק ינואר 31, 2021 7:07 am 6 תגובות

מנהלים אתר או שירות וקיבלתם הודעה מבהילה על בקשה למחיקת פרטים? זה מה שאתם צריכים לעשות.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

נושא הפרטיות והשמירה עליה נמצא כרגע במוקד תשומת הלב הציבורית כאשר יותר ויותר אנשים מבינים שחברות רבות אוגרות עליהם מידע. חלק מהאנשים נוקטים בפעולות שונות לשמירה על הפרטיות – למשל שימוש בכלי פרטיות שונים כמו תוספי פרטיות (privacy badger) קלים לשימוש, דפדפנים פרטיים יותר כמו פיירפוקס והתקנים שונים (כמו pi hole), וכמובן נוקטים בכלי היעיל של לא לתת את הפרטים שלהם רק כי אתר מסוים מבקש אותם. אבל יש גם כלים אקטיביים יותר שעלולים לסכן את המשתמשים ולסבך גם את בעלי האתרים. 

כלים אלו מציעים למשתמש לחבר אליהם את חשבון המייל שלו וסורקים אותו. אם הם מגלים שם מייל רישום לאתר מסוים הם מציעים למשתמש לשלוח בקשת הסרת פרטים מאותו אתר. הבקשה מנוסחת כבקשה חוקית והיא נראית כך:

Hello [SITE NAME],

My name is [NAME], and I hereby request to erase all personal data that you hold about me.

Please send me an email confirmation of the complete and permanent erasure of the personal data once you have completed the erasure process.

My personal details are:

[Personan details]

As evidence of my interaction with your company, I received an email on [DATE] that indicates that you are holding personal data about me.

אם אתם בעלי אתרים המציעים שירותים ללקוחות, יש סיכוי סביר שקיבלתם את המייל הזה, מטרת המאמר היא להסביר לכם מה עושים כשמקבלים מסמך כזה במידה ואתם עסק ישראלי הנותן שירות ללקוחות ישראלים.

פניתי לעורך הדין יהונתן קלינגר, מומחה לדיני אינטרנט ופרטיות ברשת כדי שיעזור לי להבין מה החובות והזכויות שלי כבעל אתר שמקבל בקשה כזו או דומה לה. הוא אמר לי כי

"לפי סעיף 13 לחוק הגנת הפרטיות, לבעל מאגר יש חובה לתת לכל אדם את זכות העיון במידע עליו; סעיף 14 לאותו החוק מאפשר לאדם לחייב בעל מאגר לתקן מידע אשר הוא לא נכון. בחקיקה האירופית, ה-GDPR יש סעיפים זהים, ויש סעיף נוסף, ה"זכות להשכח", או בשפה יותר משפטית, הזכות למחוק מידע שאינו רלוונטי עוד. זה לא אומר שאפשר לבקש למחוק את כל המידע, אלא רק מידע שאינו דרוש. אם אני לקוח של חברה מסוימת, אני לא אוכל לבקש למחוק את החשבוניות, כי הן עדיין דרושות על פי דין; אני גם לא אוכל לבקש למחוק תלונות שהגשתי לשירות לקוחות, אבל יש מצב שאת ההודעות שלי בפייסבוק אוכל לבקש למחוק.

בחוק הגנת הפרטיות יש זכות עיון ותיקון, אבל זכות המחיקה טרם נכנסה. בתיקון לחוק שהציע המכון לדמוקרטיה בצוות בראשות תהילה אלטשולר  דובר על הכנסה של זכות דומה, אבל גם אז צריך להשאיר מידע. כלומר, לא כל מידע חייב להמחק: חשבוניות, תכתובות של שירות לקוחות, וגם מידע בעל חשיבות היסטורית".

כלומר לפי החוק הישראלי כלפי לקוחות ישראלים? יש חובה להציג את המידע שאגרת על הלקוח – אם אותו לקוח מבקש, או לתקן את המידע הזה, אך אין חובה למחוק את המידע. מאוד מאוד חשוב לזכור שלא ברור אם מי ששולח את המייל הזה הוא אכן הלקוח. תוקפים יכולים לבצע את המשלוח הזה באמצעים שונים או להערים על הלקוח. אם יש ללקוח חשבון באתר שלכם, לחשבון הזה יש חשיבות כלכלית לעתים ותוקף יכול להשתמש במחיקת החשבון הזה להצקה או אפילו להתקפת המשך. כך למשל, במקרים מסוימים תוקף יכול להתחזות בקלות ללקוח באמצעות זיוף מייל (לחצו כאן להסבר יותר טכני ולהבין כמה זה קל במקרים של שמות מתחם לא מוגנים לזייף מייל) ולדרוש מחיקה של החשבון ואז לבצע רישום של שם החשבון אם מדובר בשם ייחודי ולהשתלט על נכס של הלקוח שלכם. לחלופין, אם אתם מפעילים שירותים שאוגרים מידע שחשוב ללקוח, מחיקה של המידע הזה יכולה ממש להזיק לו. למשל שירות חשבוניות מקוונות, חשבון של נכסים דיגיטליים או חשבון שמכיל מידע על נכסים כאלו. מחיקה של חשבון לקוח באתרים כאלו זה אסון ותוקפים יכולים לנצל את בקשת ההסרה הזו. כמו כן, תוקפים יכולים לבקש, בשם חוק הגנת הפרטיות, גם את "המידע השמור".

זו הסיבה שהצעד הראשון שיש לוודא הוא שמדובר אכן בבקשת הסרה או קבלת מידע שנשלחה על ידי הלקוח ובידיעתו ולא בתקלת תוכנה, תוקף או צד שלישי לא ידוע. 

עוה"ד קלינגר הרחיב על העניין: "יש בעיה בבקשות עיון ומחיקה. הבעיה הראשונה היא שאנחנו לא יכולים לוודא שאכן מדובר באותו אדם. מדוע? קודם כל, כי אפשר לזייף את הודעת המייל, או להרשם לשירות ששולח בקשות כאלו (ויש כמה) ולהתחזות לאדם. הבעיה השניה היא שלפעמים הבקשות האלו יכולות להשלח בצורה אגרסיבית, בלי שהאדם שביקש את השליחה מודע להשלכות של המחיקה.

לכן, הדבר הנכון לעשות הוא קודם כל לוודא את הזהות בזיהוי חזק. מה זה אומר? זה אומר שאם הוא נרשם לאתר עם שם משתמש וסיסמא, אז לבקש ממנו לעשות את הפעולה בתוך הDashboard. אם הוא לא, אז לבקש צילום של מסמכים שיוכיחו את הזהות שלו, גם אם הדבר הזה עשוי לפגוע בפרטיות שלו יותר.

והכי חשוב: אם אתה מעביר את המידע הרגיש ללקוח, תדאג שהמידע יעבור בצורה מוצפנת, כך שלא תהיה כאן דליפה. אל תשלח לו קובץ ZIP עם סיסמא, ואת הסיסמא באימייל, אלא תעביר את הסיסמא בצורה אחרת, כמו במשלוח לכתובת פיסית."

גם אם החלטתם להענות לבקשת הלקוח (למרות שהחוק לא מחייב)  למחוק את המידע, כדאי לזכור שמחיקת מסמכים שונים של תיעודי עסקאות ופעולות באתר – כמו למשל תיעוד משלוח, קבצי לוגים המלמדים על כניסה לאתר וקבלת שירות דיגיטלי יכולים להיות בעייתי אם תגיע תביעה של הלקוח בעתיד. אם למשל יש לכם אתר מסחר מבוסס ווקומרס שיש עליו את תיעוד ההזמנות והמשלוחים הפיזיים ללקוח, מחיקת התיעוד של הלקוח משמעותו גם מחיקת התיעוד של המשלוח הפיזי או קושי משמעותי באיתור המשלוח הזה. במידה והלקוח יתבע איתכם בעתיד על אי אספקת שירות, עלולה להיות לכם בעיה להמציא את המסמכים האלו.

עו"ד קלינגר מוסיף ואומר ש"כאשר מוחקים מידע, אז צריך לוודא שאין כאן מקרה שבו המחיקה גורמת נזק לבעל המאגר. בדרך כלל, ראוי לבקש במהלך המחיקה כתב שחרור מתביעות. כלומר, שהאדם שמוחקים את המידע שלו לא יוכל לתבוע אותך, לא על המחיקה, ולא על דברים שעשית לפני המחיקה. תחשוב על מקרה שבו סלקום ימחקו את כל המידע על שיחות איתך. במצב כזה, אם תתבע אותם הם לא יכולים להוכיח שהם פעלו כמו שצריך.

גם מידע שנמצא בשרתי גיבוי קשה מאוד למחוק, במיוחד אם הגיבויים האלה הם קבועים או על מדיה פיסית. לא יהיה סביר לבקש שאתר אינטרנט שמחזיק גיבויים של שנים אחורה ילך אחד אחד לקבצי הגיבוי שלו ויבקש את המחיקה. לכן, במצב כזה, צריך לבדוק האם קבצי הגיבוי גם כן דרושים או לא, והאם יש להם ערך לכשעצמם. לא מזמן ניתן פסק דין בגרמניה במקרה בו עובד ביקש מחיקה של מידע גם מקבצי הגיבוי ותביעתו נדחתה."

השורה התחתונה

כרגע, כבעל עסק בישראל, הייתי מתמקד בהסבר ללקוח שבישראל אין שום חובה חוקית למחוק את המידע ולא מסכן את עצמי – וכמובן אפנה אותו למאמר הזה. קלינגר מוסיף: "תמיד עדיף להשאיר את אפשרות המחיקה בDashboard ולא בבקשות חיצוניות, כך שהמחיקה תהיה לאחר זיהוי חזק. כאשר תוגש בקשת מחיקה במערכת אוטומטית, יש להמתין 30 ימים עם המחיקה כדי לתת זמן להתחרט ולוודא את הזהות. זו פרקטיקה שגם טוויטר וגם פייסבוק נוקטות, וכדאי לאמץ אותה".

בכל מקרה, כדאי מאוד כן להשקיע מחשבה בנוגע למידע שאנו שומרים על הלקוחות ולא לשמור מידע שלא צריך. אם אתם עוסקים באספקת מוצרים דיגיטליים או שירותים ולא צריכים את כתובתו הפיזית של הלקוח, אל תבקשו אותה ואל תשמרו אותה. אם אין לכם צורך בכתובת המייל של הלקוח – כנ"ל. פחות פרטים זה אומר פחות סיכון שתוקף יתקוף את האתר שלכם על מנת לשלוף את הפרטים וגם פחות נזק ללקוחות אם הוא יצליח. שמירת מידע רגיש על לקוחות גוררת גם בעיות משפטיות אם המידע הזה דולף – אז עדיף מראש לא להחזיק אותו אם לא צריך. בין אם מדובר באתר או במערכות שלא מחוברות לרשת.

באתר שלכם, אם אתם לא מפרסמים בפייסבוק או עושים שימוש בכלי גוגל, כדאי לוודא שאין צדדים שלישיים שאוספים מידע על האתר.

מצד המשתמש

מצד המשתמש – למרות שכדאי לבקר ולפקח על האתרים שנתנו להם את הפרטים ולהזהר למי נותנים את הפרטים ואיזה פרטים נותנים (אם אתר מבקש מכם מספר תעודת זהות, לא צריכים לתת לו, תמיד אפשר להשתמש במספר מזויף 22222222 – זה עובר כל בדיקת ת.ז). פעולות פסיביות כמו למשל התקנת תוספים, שימוש בהתקנים או בדפדפנים שמגינים על הפרטיות הם תמיד מבורכים – אבל ברגע שעוברים לפעולות אקטיביות כמו שליחת מיילי הסרה, יש כאן כמה סיכונים – ראשית מתן גישה לכלי צד שלישי למייל שלכם שעלול להיות בעייתי ושנית משלוח מיילים לאתרים שלא בטוח שהם אותם אתרים שנתתם להם את הפרטים. כך למשל, אם לפני ארבע שנים רכשתם שימורי לוף מאתר spam.com, ולפני שנה האתר פשט רגל ושם המתחם נרכש על ידי עברייני מחשוב או ספאמרים (וזה קורה כל הזמן) – משלוח מייל אליו עם הפרטים שלכם עלול לגרור תוצאות לא רצויות.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
פרטיות

6 תגובות

  1. יהודה הגב ינואר 31, 2021 בשעה 12:25 pm

    מאמר מועיל בהחלט!
    תודה רן!

  2. גיא הגב ינואר 31, 2021 בשעה 9:42 pm

    תודה על המאמר, ומצד שני, תוכל להפנות לכלים שיכולים לעזור לי לזהות אתרים שבהם הפרטים שלי נמצאים?

  3. אבי הגב פברואר 10, 2021 בשעה 1:33 am

    לגיא:
    יש כמה כתבות בגיקטיים על שירות ווב שעושה את העבודה הזו, נקרא בשם mine:
    https://www.geektime.co.il/mine-raises-9-5-round-a/

  4. ניבה מור הגב מרץ 14, 2021 בשעה 6:50 pm

    לגוגל שלום!

    בטעות הכנסתי את פרטי לאתר גפניקה ומאז לא מפסיקים להטריד אותי בטלפון יומם ולילה. מבקשת להסיר את פרטי מאתר ההזמנת של ג׳פניקה! בסך הכל רציתי להזמין מהם סושי עבור נכדי שבאו להתארח אצלי ביום שישי שעבר. המצב הפך כבר לבלתי נסבל. אני שוקלת להגיש תלונה למשטרה, אם שמי ומספר הטלפון שלי לא יוסרו מכם ומג׳פניקה. ניבה מור 054-8118944

  5. ניבה מור הגב מרץ 14, 2021 בשעה 6:53 pm

    לגוגל שלום!

    בטעות הכנסתי את פרטי לאתר גפניקה ומאז לא מפסיקים להטריד אותי בטלפון יומם ולילה. מבקשת להסיר את פרטי מאתר ההזמנת של ג׳פניקה! בסך הכל רציתי להזמין מהם סושי עבור נכדי שבאו להתארח אצלי ביום שישי שעבר. המצב הפך כבר לבלתי נסבל. אני מבקשת להסיר את פרטי: שמי ומספר הטלפון שלי לא יוסרו מכם ומג׳פניקה. ניבה מור 054-8118944

  6. ניבה הגב מרץ 20, 2021 בשעה 5:47 pm

    לגוגל תמיכה שלום!
    בטעות הכנסתי את פרטי לאתר גפניקה ומאז לא מפסיקים להטריד אותי בטלפון יומם ולילה. מבקשת להסיר את פרטי מאתר ההזמנות של ג׳פניקה! בסך הכל רציתי להזמין מהם סושי עבור נכדי שבאו להתארח אצלי ביום שישי שעבר. המצב הפך כבר לבלתי נסבל. מבקשת שפרטי ומספר הטלפון שלי יוסרו מאתר ג׳פניקה גן שמואל. ניבה מור 054-8118944

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד