בקצרה: חובות שמירה בישראל: חשבונות בנק 7 שנים, מסמכי מס 6 שנים, רשומות עובדים 3 שנים, הודעות סייבר 3 שנים. עתיד דליקה נוכל להיחשב כהוכחה.

חובות שמירת מידע לפי חוקים שונים בישראל

אין בחוק הגנת הפרטיות והנתונים האישיים, התשפ״א-2021, דרישה מוחלטת וחד-משמעית לשמירת מידע למשך זמן מסוים. עדיין, סעיף 7 קובע כי בקר מידע לא צריכה לשמור נתונים יותר מדי זמן מהנדרש למטרת העיבוד. זה נקרא "עקרון מזעור הנתונים" (data minimization). כלומר: יותר מידע = יותר סיכון משפטי.

חוקים שונים בישראל קובעים דרישות שמירה שונות בהתאם לסוג הנתונים:

נתוני מס: חוק מס הכנסה, התשי״ד-1961, סעיף 246, דורש כי בעלי ספרים (חברות ועמותות) ישמרו רשומות לפחות שש שנים מתום השנה שלהן בה הופקו. זה כולל דוחות כספיים, חשבוניות, ודברי קבלה.

נתוני בנק: חוק הבנקאות (שרות הבנק), התשמ״א-1981, דורש שבנק ישמור רישום של כל עסקה לפחות שיעור שנים. זה כוללות כל העברה בנקאית, כל אשראי, וכל הצ שביוח של כרטיס אשראי. זה חוק עקוב למניעת הלבנת הון וממימון טרור.

נתוני עבודה: חוק עבודה בישראל קובע כי מעסיק צריך לשמור תיעוד של שעות עבודה, משכורות, והטבות לפחות שלוש שנים (אם סתירה מטופלת בתביעה). בנוסף, תקנות בטיחות בעבודה דורשות רישום של תקריות בטיחותיות ופגיעות לפחות שלוש שנים.

נתוני בריאות: חוק הבריאות (הוראות כלליות והשגחה), התשנ״ד-1994, דורש כי בית חולים או קלינולה ישמרו תיעוד רפואי של חולה לפחות שבע שנים מתום הטיפול (או עד גיל 18 אם אי פעול). זה חוק קפדני בעניין זה בשל הסיכון לתביעות רפואיות שחלות מחודשים שנים.

נתוני תקשורת: חוק התקשורת (בקרה על צד ביטחוני), התשל״ט-1979, דורש לספקי תקשורת לשמור רשומות של שיחות וכתובות על מוקד לפחות שנתיים. זה כולל נתוני כתובות IP וברחיטה וצטטים.

מקרה מחקרי: תקופות השמירה בחברת E-Commerce

דוגמה טיפוסית היא חברת תקשורת במתאים. היא צריכה לשמור:

אם חברה זו שומרת מידע זה יותר מדי זמן, היא עלולה להיתבע בנזיקין בשל "נתונים מעודפים" (excess data). לדוגמה, אם היא שומרת כרטיס אשראי של לקוח שלא יצא אתה שנתיים — זה עלול להעליל בעיה גם עם בנק וגם עם רגולטור.

דרישות גבוהות יותר לנתונים רגישים

נתונים מסוגים מסוימים דורשים תקופות שמירה קצרות יותר או התייחסות מיוחדת:

נתוני גנטיים וביומטריים: חוק הנתונים האישיים קובע שנתונים אלה צריכים להיות מוגנים בצורה מיוחדת. תקופת השמירה צריכה להיות "הקצרה ביותר האפשרית" לשם מטרתה. לדוגמה, אם ספקית ביומטרית שומרת סריקת אצבע לצורך גישה למטבח — היא צריכה למחוק את הסריקה ביום הדיוור של העובד.

נתוני רגישים אחרים: נתוני בריאות נפשית, היסטוריה פלילית (אם גוף כלשהו ברוח לשנות), ונתוני דת צריכים לבלות להיות מוגנים ביותר. תקופות שמירה צריכות להיות קצרות יותר — או אפילו מחק מיידי אחרי שעובד עזב את התפקיד.

תוכנית שמירה עדכנית ומחיקה נכונה

חברה צריכה להחזיק "תוכנית שמירה וכתב תקופות" (Data Retention Policy) כתובה. התוכנית צריכה לכלול:

בעת מחיקה, צריך להיות "בטוח" שהנתונים לא ניתן להשתחזר. מחיקה פשוטה משקוף מחשב לא מספיקה — צריך להשתמש בתוכנה מיוחדת (like Eraser) שמוחקת קבצים בצורה בטוחה. בחברות גדולות, צריך להיות בדיקה של אדם שלישי כדי להוכיח שמחיקה בוצעה.

יוצאים לתקופות שמירה קצרות

בעלי פעילות צריכים לבדוק אם נתונים מסוגים מסוימים צריכים להישמר רק לעמוד קצר ביותר:

נתוני מיקום: אם חברה מיישום סלולרי שומרת נתוני מיקום של משתמש לניתוח תנועה — היא יכולה לשמור אותם רק עד הצורך במידה (למשל, עד ניתוח מחקר בן שבוע). אחרי זה, מחוק.

רשומות צילום מצלמות בטיחות: בעל משרד צריך לשמור סרטוני צילום למשך שבועיים עד חודש בלבד (כדי לטפל בתביעות בטיחות פעוטים). שמירה ארוכה יותר נחשבת "עודפת".

תוקי דיוג (phishing): אם עובד מקבל דוא״ל חשוד, ניתן להעביר אותו ל-IT אך צריך למחוק את הדוא״ל כאחרי חקירה קטנה.

מחיקה כזכות של הפרט

סעיף 24 לחוק הגנת הפרטיות קובע זכות "right to be forgotten" — כלומר, אדם יכול לבקש ממחזיק מידע למחוק את הנתונים שלו. הארגון חייב למחוק בתוך 30 יום, ואלא אם צריך לשמור לנימוק משפטי או לדיון. לדוגמה, אם עובד עזב עבודה, הוא יכול לבקש שמחוק מידע אישי שלו מאת בתוך 30 יום. החברה אינה יכולה לסרב אלא אם משכנתא חוקית קיימת (כמו חובת שמירה למטרות מס).

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.