זכות המחיקה לפי GDPR: ממצאי EDPB 2025
עודכן ל-2026
פעולת המחיקה של EDPB לשנת 2025
המועצה האירופית להגנת מידע ניהלה פעולה מרכזית בשנת 2025. הפעולה כיסתה את סעיף 17 ל-GDPR — זכות המחיקה. שלושים ושתיים רשויות הגנת מידע ברחבי האיחוד האירופי ואזור כלכלי אירופי נרחב השתתפו. כולן פעלו בו-זמנית. המטרה הייתה לאתר כשלים נרחבים, לא מקרים בודדים.
פעולה זו היא מסגרת האכיפה המתואמת, או CEF. תשע רשויות פתחו מאז חקירות רשמיות בהתבסס על תוצאותיה.
שבעה כשלים חוזרים
דו"ח ה-CEF מנה שבע בעיות שנמצאו בקרב הגורמים שנבדקו:
- תהליכים חלשים לטיפול בבקשות מחיקה
- דחייה רחבה מדי של בקשות תקפות
- העמסת נטל בלתי סביר על מגישי הבקשות
- חוסר יכולת לאתר את כל הרשומות האישיות במערכות שונות
- עיכובים מעבר לחלון התגובה של 30 יום לפי GDPR
- משוב לקוי לאנשים על תוצאות הבקשה
- אנונימיזציה פגומה שנעשתה במקום מחיקה. ארגונים טענו ל"אנונימיזציה" אך השאירו רשומות שניתנות לאיתור.
הסעיף השביעי הוא המורכב ביותר. הוא פוגע בכל ארגון שמשתמש בשיטה זו כדי לצמצם שמירת פריטים אישיים.
אנונימיזציה לעומת מחיקה
זכות המחיקה לפי GDPR אינה תמיד מחיקה מוחלטת. Recital 65 מאפשר אנונימיזציה כאשר מחיקה אינה ישימה. קלטות גיבוי ומערכות אנליטיקה הן מקרים נפוצים.
ה-CEF מראה שאפשרות זו מנוצלת לרעה. ארגונים מכנים תהליך "אנונימיזציה" כדי להימנע ממחיקה אמיתית. אבל התהליך עדיין משאיר פריטים הניתנים לאיתור ומקושרים לאנשים אמיתיים.
ה-EDPB מציב קו ברור.
אנונימיזציה אמיתית משמעותה שהקישור בין פריטים לאדם לא ניתן לשחזור. לבקר אין דרך לחבר אותם מחדש. לאף צד שלישי אין דרך לחבר אותם מחדש. פריטים אלה יוצאים מתחולת GDPR. הבקשה הושלמה.
Pseudonymization שונה. חיבור מחדש עדיין אפשרי עם המפתח הנכון. פריטים אישיים עדיין קיימים. הבקשה לא הושלמה. הפריטים חייבים להימחק או שהמפתח חייב להיהרס.
גישה דו-שכבתית
ארגונים שמשתמשים בשיטה זו באנליטיקה צריכים שתי שכבות.
שכבה 1 — קליטה: פריטים אישיים גולמיים נמצאים כאן. פריטים אלה כפופים לבקשות מחיקה. כשאדם מפעיל זכויות לפי סעיף 17, הפריטים בשכבה זו נמחקים.
שכבה 2 — אנליטיקה: רק פלטים מאונונמים מגיעים לשכבה זו. אם תהליך המיסוך היה שלם וחד-כיווני, פלטים אלה אינם אישיים. הם אינם משתנים כשמגיעה בקשת מחיקה.
מבנה זה פועל רק אם שלב המיסוך עומד בשלושה מבחנים.
ראשון: חד-כיווני. אסימונים הפיכים והחלפות מוצפנות אינם מתאימים.
שני: שלם. כל סוגי המזהים חייבים לקבל טיפול. שמות בלבד אינם מספיקים.
שלישי: מתועד. הארגון חייב להיות מסוגל להראות לרשות הגנת מידע כיצד השיטה פועלת.
קמעונאי שמחליף שמות לקוחות באסימונים מוצפנים ביצע pseudonymization — לא מחיקה אמיתית. שכבת האנליטיקה עדיין מחזיקה פריטים אישיים. בקשות מחיקה עדיין חלות.
מדריך הציות ל-GDPR מכסה את הבסיס המשפטי לכל גישה. סקירת ציות האבטחה מפרטת את הבקרות הנדרשות. לעזרה שלב-אחר-שלב, ראו מדריך ביקורת אנונימיזציה GDPR.