בקצרה: חובות שמירה מינימליות בישראל: מסמכי מס — 6 שנים, רשומות בנקאיות — 7 שנים, תיקי עובדים — 7 שנים מסיום ההעסקה, תיקים רפואיים — 20 שנה. שמירה מעבר לנדרש היא חשיפה לתביעה — לא רק שמירה קצרה מדי.

חובות שמירת מידע לפי חוקים שונים בישראל

אין בחוק הגנת הפרטיות, התשמ"א-1981, דרישה מוחלטת וחד-משמעית לשמירת מידע למשך זמן מסוים. עדיין, סעיף 17 קובע כי מידע אישי לא ישמר יותר מהנדרש למטרה שלשמה נאסף. זה נקרא "עקרון מזעור הנתונים" (data minimization). כלומר: יותר מידע = יותר סיכון משפטי.

חוקים שונים בישראל קובעים דרישות שמירה שונות בהתאם לסוג הנתונים:

נתוני מס: חוק מס הכנסה, התשי״ד-1961, סעיף 246, דורש כי בעלי ספרים (חברות ועמותות) ישמרו רשומות לפחות שש שנים מתום השנה שלהן בה הופקו. זה כולל דוחות כספיים, חשבוניות, וקבלות.

נתוני בנק: חוק הבנקאות (שרות הבנק), התשמ״א-1981, דורש שבנק ישמור רישום של כל עסקה לפחות שבע שנים. זה כולל כל העברה בנקאית, כל אשראי, וכל חיוב של כרטיס אשראי. זה חוק זה מתואם עם חוק למניעת הלבנת הון וממימון טרור.

נתוני עבודה: חוק עבודה בישראל קובע כי מעסיק צריך לשמור תיעוד של שעות עבודה, משכורות, והטבות לפחות שלוש שנים (אם סתירה מטופלת בתביעה). בנוסף, תקנות בטיחות בעבודה דורשות רישום של תקריות בטיחותיות ופגיעות לפחות שלוש שנים.

נתוני בריאות: תקנות בריאות העם (רישום מידע), דורש כי בית חולים או קליניקה ישמרו תיעוד רפואי של חולה לפחות שבע שנים מתום הטיפול (או עד גיל 18 אם אם המטופל קטין). זה חוק קפדני בעניין זה בשל הסיכון לתביעות רפואיות שחלות מחודשים שנים.

נתוני תקשורת: חוק התקשורת (בזק ושידורים), התשמ"ב-1982 — ⚠️ תקנות ספציפיות לשמירת נתונים על ידי ספקי תקשורת קובעות תקופות שמירה שונות לפי סוג המידע.

מקרה מחקרי: תקופות השמירה בחברת E-Commerce

חשבו על חנות אינטרנט רגילה. מה היא צריכה לשמור?

אם חברה זו שומרת מידע זה יותר מדי זמן, היא עלולה להיתבע בנזיקין בשל "נתונים מעודפים" (excess data). לדוגמה, אם היא שומרת כרטיס אשראי של לקוח שלא יצא אתה שנתיים — זה עלול לגרום לבעיה גם עם בנק וגם עם רגולטור.

דרישות גבוהות יותר לנתונים רגישים

נתונים מסוגים מסוימים דורשים תקופות שמירה קצרות יותר או התייחסות מיוחדת:

נתוני גנטיים וביומטריים: חוק הנתונים האישיים קובע שנתונים אלה צריכים להיות מוגנים בצורה מיוחדת. תקופת השמירה צריכה להיות "הקצרה ביותר האפשרית" לשם מטרתה. לדוגמה, אם ספקית ביומטרית שומרת סריקת אצבע לצורך גישה למשרד — היא צריכה למחוק את הסריקה ביום עזיבת העובד.

נתוני רגישים אחרים: נתוני בריאות נפשית, היסטוריה פלילית , ונתוני דת צריכים להיות מוגנים ביותר. תקופות שמירה צריכות להיות קצרות יותר — או אפילו מחק מיידי אחרי שעובד עזב את התפקיד.

תוכנית שמירה עדכנית ומחיקה נכונה

חברה צריכה להחזיק "תוכנית שמירה וכתב תקופות" (Data Retention Policy) כתובה. התוכנית צריכה לכלול:

בעת מחיקה, צריך להיות "בטוח" שהנתונים לא ניתן להשתחזר. מחיקה פשוטה מסייר הקבצים לא מספיקה — צריך להשתמש בתוכנה מיוחדת (כגון Eraser) שמוחקת קבצים בצורה בטוחה. בחברות גדולות, מומלץ לבצע אימות על ידי גורם שלישי כדי להוכיח שמחיקה בוצעה.

אילו נתונים מחייבים תקופת שמירה קצרה במיוחד?

על בעלי עסקים לבדוק אם נתונים מסוגים מסוימים צריכים להישמר רק לפרק הזמן הקצר ביותר האפשרי:

נתוני מיקום: אם חברה עם אפליקציה סלולרית שומרת נתוני מיקום לניתוח תנועה — מותר לשמור רק כל עוד הנתונים משרתים מטרה ברורה (למשל, עד ניתוח מחקר בן שבוע). אחרי זה, מחוק.

רשומות צילום מצלמות בטיחות: בעל משרד צריך לשמור סרטוני צילום למשך שבועיים עד חודש בלבד (כדי לטפל בתביעות בטיחות פעוטים). שמירה ארוכה יותר נחשבת "עודפת".

תוקי דיוג (phishing): אם עובד מקבל דוא״ל חשוד, יש להעביר אותו לצוות האבטחה ולמחוק אחרי טיפול.

מחיקה כזכות של הפרט

⚠️ חוק הגנת הפרטיות קובע זכות "right to be forgotten" — כלומר, אדם יכול לבקש ממחזיק מידע למחוק את הנתונים שלו. הארגון חייב למחוק בתוך 30 יום, ואלא אם צריך לשמור לנימוק משפטי או לדיון. לדוגמה, אם עובד עזב עבודה, הוא יכול לבקש שמחוק מידע אישי שלו מאת בתוך 30 יום. החברה אינה יכולה לסרב אלא אם משכנתא חוקית קיימת (כמו חובת שמירה למטרות מס).

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.