איך מטפלים בבקשות הסרת פרטים מהאתר

מנהלים אתר או שירות וקיבלתם הודעה מבהילה על בקשה למחיקת פרטים? זה מה שאתם צריכים לעשות.
מצב פרטיות בכרום

נושא הפרטיות והשמירה עליה נמצא כרגע במוקד תשומת הלב הציבורית כאשר יותר ויותר אנשים מבינים שחברות רבות אוגרות עליהם מידע. חלק מהאנשים נוקטים בפעולות שונות לשמירה על הפרטיות – למשל שימוש בכלי פרטיות שונים כמו תוספי פרטיות (privacy badger) קלים לשימוש, דפדפנים פרטיים יותר כמו פיירפוקס והתקנים שונים (כמו pi hole), וכמובן נוקטים בכלי היעיל של לא לתת את הפרטים שלהם רק כי אתר מסוים מבקש אותם. אבל יש גם כלים אקטיביים יותר שעלולים לסכן את המשתמשים ולסבך גם את בעלי האתרים. 

כלים אלו מציעים למשתמש לחבר אליהם את חשבון המייל שלו וסורקים אותו. אם הם מגלים שם מייל רישום לאתר מסוים הם מציעים למשתמש לשלוח בקשת הסרת פרטים מאותו אתר. הבקשה מנוסחת כבקשה חוקית והיא נראית כך:

Hello [SITE NAME],

My name is [NAME], and I hereby request to erase all personal data that you hold about me.

Please send me an email confirmation of the complete and permanent erasure of the personal data once you have completed the erasure process.

My personal details are:

[Personan details]

As evidence of my interaction with your company, I received an email on [DATE] that indicates that you are holding personal data about me.

אם אתם בעלי אתרים המציעים שירותים ללקוחות, יש סיכוי סביר שקיבלתם את המייל הזה, מטרת המאמר היא להסביר לכם מה עושים כשמקבלים מסמך כזה במידה ואתם עסק ישראלי הנותן שירות ללקוחות ישראלים.

פניתי לעורך הדין יהונתן קלינגר, מומחה לדיני אינטרנט ופרטיות ברשת כדי שיעזור לי להבין מה החובות והזכויות שלי כבעל אתר שמקבל בקשה כזו או דומה לה. הוא אמר לי כי

"לפי סעיף 13 לחוק הגנת הפרטיות, לבעל מאגר יש חובה לתת לכל אדם את זכות העיון במידע עליו; סעיף 14 לאותו החוק מאפשר לאדם לחייב בעל מאגר לתקן מידע אשר הוא לא נכון. בחקיקה האירופית, ה-GDPR יש סעיפים זהים, ויש סעיף נוסף, ה"זכות להשכח", או בשפה יותר משפטית, הזכות למחוק מידע שאינו רלוונטי עוד. זה לא אומר שאפשר לבקש למחוק את כל המידע, אלא רק מידע שאינו דרוש. אם אני לקוח של חברה מסוימת, אני לא אוכל לבקש למחוק את החשבוניות, כי הן עדיין דרושות על פי דין; אני גם לא אוכל לבקש למחוק תלונות שהגשתי לשירות לקוחות, אבל יש מצב שאת ההודעות שלי בפייסבוק אוכל לבקש למחוק.

בחוק הגנת הפרטיות יש זכות עיון ותיקון, אבל זכות המחיקה טרם נכנסה. בתיקון לחוק שהציע המכון לדמוקרטיה בצוות בראשות תהילה אלטשולר  דובר על הכנסה של זכות דומה, אבל גם אז צריך להשאיר מידע. כלומר, לא כל מידע חייב להמחק: חשבוניות, תכתובות של שירות לקוחות, וגם מידע בעל חשיבות היסטורית".

כלומר לפי החוק הישראלי כלפי לקוחות ישראלים? יש חובה להציג את המידע שאגרת על הלקוח – אם אותו לקוח מבקש, או לתקן את המידע הזה, אך אין חובה למחוק את המידע. מאוד מאוד חשוב לזכור שלא ברור אם מי ששולח את המייל הזה הוא אכן הלקוח. תוקפים יכולים לבצע את המשלוח הזה באמצעים שונים או להערים על הלקוח. אם יש ללקוח חשבון באתר שלכם, לחשבון הזה יש חשיבות כלכלית לעתים ותוקף יכול להשתמש במחיקת החשבון הזה להצקה או אפילו להתקפת המשך. כך למשל, במקרים מסוימים תוקף יכול להתחזות בקלות ללקוח באמצעות זיוף מייל (לחצו כאן להסבר יותר טכני ולהבין כמה זה קל במקרים של שמות מתחם לא מוגנים לזייף מייל) ולדרוש מחיקה של החשבון ואז לבצע רישום של שם החשבון אם מדובר בשם ייחודי ולהשתלט על נכס של הלקוח שלכם. לחלופין, אם אתם מפעילים שירותים שאוגרים מידע שחשוב ללקוח, מחיקה של המידע הזה יכולה ממש להזיק לו. למשל שירות חשבוניות מקוונות, חשבון של נכסים דיגיטליים או חשבון שמכיל מידע על נכסים כאלו. מחיקה של חשבון לקוח באתרים כאלו זה אסון ותוקפים יכולים לנצל את בקשת ההסרה הזו. כמו כן, תוקפים יכולים לבקש, בשם חוק הגנת הפרטיות, גם את "המידע השמור".

זו הסיבה שהצעד הראשון שיש לוודא הוא שמדובר אכן בבקשת הסרה או קבלת מידע שנשלחה על ידי הלקוח ובידיעתו ולא בתקלת תוכנה, תוקף או צד שלישי לא ידוע. 

עוה"ד קלינגר הרחיב על העניין: "יש בעיה בבקשות עיון ומחיקה. הבעיה הראשונה היא שאנחנו לא יכולים לוודא שאכן מדובר באותו אדם. מדוע? קודם כל, כי אפשר לזייף את הודעת המייל, או להרשם לשירות ששולח בקשות כאלו (ויש כמה) ולהתחזות לאדם. הבעיה השניה היא שלפעמים הבקשות האלו יכולות להשלח בצורה אגרסיבית, בלי שהאדם שביקש את השליחה מודע להשלכות של המחיקה.

לכן, הדבר הנכון לעשות הוא קודם כל לוודא את הזהות בזיהוי חזק. מה זה אומר? זה אומר שאם הוא נרשם לאתר עם שם משתמש וסיסמא, אז לבקש ממנו לעשות את הפעולה בתוך הDashboard. אם הוא לא, אז לבקש צילום של מסמכים שיוכיחו את הזהות שלו, גם אם הדבר הזה עשוי לפגוע בפרטיות שלו יותר.

והכי חשוב: אם אתה מעביר את המידע הרגיש ללקוח, תדאג שהמידע יעבור בצורה מוצפנת, כך שלא תהיה כאן דליפה. אל תשלח לו קובץ ZIP עם סיסמא, ואת הסיסמא באימייל, אלא תעביר את הסיסמא בצורה אחרת, כמו במשלוח לכתובת פיסית."

גם אם החלטתם להענות לבקשת הלקוח (למרות שהחוק לא מחייב)  למחוק את המידע, כדאי לזכור שמחיקת מסמכים שונים של תיעודי עסקאות ופעולות באתר – כמו למשל תיעוד משלוח, קבצי לוגים המלמדים על כניסה לאתר וקבלת שירות דיגיטלי יכולים להיות בעייתי אם תגיע תביעה של הלקוח בעתיד. אם למשל יש לכם אתר מסחר מבוסס ווקומרס שיש עליו את תיעוד ההזמנות והמשלוחים הפיזיים ללקוח, מחיקת התיעוד של הלקוח משמעותו גם מחיקת התיעוד של המשלוח הפיזי או קושי משמעותי באיתור המשלוח הזה. במידה והלקוח יתבע איתכם בעתיד על אי אספקת שירות, עלולה להיות לכם בעיה להמציא את המסמכים האלו.

עו"ד קלינגר מוסיף ואומר ש"כאשר מוחקים מידע, אז צריך לוודא שאין כאן מקרה שבו המחיקה גורמת נזק לבעל המאגר. בדרך כלל, ראוי לבקש במהלך המחיקה כתב שחרור מתביעות. כלומר, שהאדם שמוחקים את המידע שלו לא יוכל לתבוע אותך, לא על המחיקה, ולא על דברים שעשית לפני המחיקה. תחשוב על מקרה שבו סלקום ימחקו את כל המידע על שיחות איתך. במצב כזה, אם תתבע אותם הם לא יכולים להוכיח שהם פעלו כמו שצריך.

גם מידע שנמצא בשרתי גיבוי קשה מאוד למחוק, במיוחד אם הגיבויים האלה הם קבועים או על מדיה פיסית. לא יהיה סביר לבקש שאתר אינטרנט שמחזיק גיבויים של שנים אחורה ילך אחד אחד לקבצי הגיבוי שלו ויבקש את המחיקה. לכן, במצב כזה, צריך לבדוק האם קבצי הגיבוי גם כן דרושים או לא, והאם יש להם ערך לכשעצמם. לא מזמן ניתן פסק דין בגרמניה במקרה בו עובד ביקש מחיקה של מידע גם מקבצי הגיבוי ותביעתו נדחתה."

השורה התחתונה

כרגע, כבעל עסק בישראל, הייתי מתמקד בהסבר ללקוח שבישראל אין שום חובה חוקית למחוק את המידע ולא מסכן את עצמי – וכמובן אפנה אותו למאמר הזה. קלינגר מוסיף: "תמיד עדיף להשאיר את אפשרות המחיקה בDashboard ולא בבקשות חיצוניות, כך שהמחיקה תהיה לאחר זיהוי חזק. כאשר תוגש בקשת מחיקה במערכת אוטומטית, יש להמתין 30 ימים עם המחיקה כדי לתת זמן להתחרט ולוודא את הזהות. זו פרקטיקה שגם טוויטר וגם פייסבוק נוקטות, וכדאי לאמץ אותה".

בכל מקרה, כדאי מאוד כן להשקיע מחשבה בנוגע למידע שאנו שומרים על הלקוחות ולא לשמור מידע שלא צריך. אם אתם עוסקים באספקת מוצרים דיגיטליים או שירותים ולא צריכים את כתובתו הפיזית של הלקוח, אל תבקשו אותה ואל תשמרו אותה. אם אין לכם צורך בכתובת המייל של הלקוח – כנ"ל. פחות פרטים זה אומר פחות סיכון שתוקף יתקוף את האתר שלכם על מנת לשלוף את הפרטים וגם פחות נזק ללקוחות אם הוא יצליח. שמירת מידע רגיש על לקוחות גוררת גם בעיות משפטיות אם המידע הזה דולף – אז עדיף מראש לא להחזיק אותו אם לא צריך. בין אם מדובר באתר או במערכות שלא מחוברות לרשת.

באתר שלכם, אם אתם לא מפרסמים בפייסבוק או עושים שימוש בכלי גוגל, כדאי לוודא שאין צדדים שלישיים שאוספים מידע על האתר.

מצד המשתמש

מצד המשתמש – למרות שכדאי לבקר ולפקח על האתרים שנתנו להם את הפרטים ולהזהר למי נותנים את הפרטים ואיזה פרטים נותנים (אם אתר מבקש מכם מספר תעודת זהות, לא צריכים לתת לו, תמיד אפשר להשתמש במספר מזויף 22222222 – זה עובר כל בדיקת ת.ז). פעולות פסיביות כמו למשל התקנת תוספים, שימוש בהתקנים או בדפדפנים שמגינים על הפרטיות הם תמיד מבורכים – אבל ברגע שעוברים לפעולות אקטיביות כמו שליחת מיילי הסרה, יש כאן כמה סיכונים – ראשית מתן גישה לכלי צד שלישי למייל שלכם שעלול להיות בעייתי ושנית משלוח מיילים לאתרים שלא בטוח שהם אותם אתרים שנתתם להם את הפרטים. כך למשל, אם לפני ארבע שנים רכשתם שימורי לוף מאתר spam.com, ולפני שנה האתר פשט רגל ושם המתחם נרכש על ידי עברייני מחשוב או ספאמרים (וזה קורה כל הזמן) – משלוח מייל אליו עם הפרטים שלכם עלול לגרור תוצאות לא רצויות.

פוסטים נוספים שכדאי לקרוא

מיקרו בקרים

בית חכם עם ESPHome ו Home Assistant

הסבר על הום אסיסטנט, מערכת הקוד הפתוח לבית חכם ואיך לחבר אליה מיקרובקרים.

פתרונות ומאמרים על פיתוח אינטרנט

המנעו מהעלאת source control לשרת פומבי

לא תאמינו כמה אתרים מעלים את ה-source control שלהם לשרת. ככה תמצאו אותם וגם הסבר למה זה רעיון רע.

גלילה לראש העמוד