דלגו לתוכן
פרטיות23 בפברואר 202610 דק׳ קריאה

כמה זמן מותר לשמור מידע אישי — ומתי חובה למחוק

ברירת המחדל בכל ארגון היא אגירה: אף אחד לא מוחק. אבל תיקון 13 מחייב מחיקה אקטיבית של מידע שאינו נחוץ, בעוד דיני מס, עבודה ובריאות מחייבים דווקא לשמור. המדריך מיישב בין השניים — עם לוח זמנים לשמירה, תקופות מאומתות בחוק, וטקס ניקיון שנתי.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

פתחו את מערכת ה-CRM של העסק וחפשו את הלקוח הראשון שלכם — זה שקנה פעם אחת ב-2014 ומעולם לא חזר. סביר להניח שהוא עדיין שם: שם מלא, טלפון, כתובת, אולי צילום ת״ז שביקשתם פעם בשביל חשבונית. לצידו יש עוד אלפי רשומות כאלה. תיקיית ״קורות חיים״ עם מאות מועמדים שלא גויסו מעולם; רשימת דיוור עם כתובות שנאספו לפני עשור; גיבויים של מסד נתונים ישן ששוכב על שרת שאף אחד כבר לא נוגע בו. אף אחד לא החליט אי-פעם לשמור את כל זה — פשוט אף אחד לא מחק. וזו בדיוק הבעיה: ברירת המחדל בכל ארגון היא אגירה, לא מחיקה. כל רשומה ישנה שנשארת היא גם משטח חשיפה לאכיפה של הרשות להגנת הפרטיות, וגם עוד שורה שתדלוף ביום שתהיה פריצה. במאמר הזה נסביר כמה זמן באמת מותר לשמור מידע אישי, אילו חוקים דווקא מחייבים אתכם לשמור אותו, ואיך בונים מדיניות שמירה שמיישבת בין השניים.

העיקרון המשפטי: הגבלת מטרה

הכלל שמאחורי כל דיני שמירת המידע הוא הגבלת המטרה (Purpose Limitation): מותר להחזיק מידע אישי כל עוד הוא נחוץ למטרה שלשמה נאסף — או למטרה אחרת שהחוק מתיר. כשהמטרה מסתיימת, מסתיים גם הבסיס החוקי להחזיק במידע. לקוח שלא קנה כלום שמונה שנים כבר לא ״נחוץ״ לצורך שירות; מועמד שנדחה כבר לא נחוץ לצורך גיוס. מרגע זה, המשך ההחזקה אינו רק היגיינה גרועה — הוא הפרה.

החוק אומר: יש לך חובה אקטיבית למחוק

הרבה עסקים חושבים שהמחיקה היא רשות — משהו שכדאי לעשות לניקיון. זו טעות. תקנות הגנת הפרטיות (אבטחת מידע), תשע״ז-2017 מטילות חובה אקטיבית: לפי תקנה 2, על בעל מאגר להפעיל מנגנון — ארגוני, טכנולוגי או אחר — שמטרתו להבטיח שבמאגר לא מוחזק מידע ש״אינו נחוץ עוד למטרה שלשמה נאסף או הוחזק, או למטרה אחרת שלשמה מותר להחזיקו לפי כל דין״. וכשהמנגנון הזה מזהה מידע מיותר — התקנה מחייבת למחוק אותו ״במועד המוקדם האפשרי בנסיבות העניין״.

שימו לב לניסוח: לא ״מותר למחוק״ אלא ״להבטיח שלא מוחזק״ ו״ימחק״. זו חובה של מעשה, לא של הימנעות. ומאז תיקון 13 לחוק הגנת הפרטיות שנכנס לתוקף ב-14 באוגוסט 2025, לחובה הזו יש שיניים: הפרות של תקנות אבטחת המידע נמצאות בסולם העיצומים הכספיים, והמידע העודף שאתם אוגרים הוא בדיוק המידע שמנפח כל קנס — שכן חלק מהעיצומים מחושבים לפי מספר נושאי המידע במאגר. ככל שאתם שומרים יותר רשומות מיותרות, כך גדל גם החשיפה בפריצה וגם הבסיס לחישוב הקנס.

אבל רגע — חוקים אחרים מחייבים אתכם לשמור

כאן מתחיל הקושי האמיתי של כל עסק, וזו הסיבה ש״פשוט תמחקו הכול״ הוא ייעוץ גרוע. במקביל לחובת המחיקה של דיני הפרטיות, יש שורה של חוקים אחרים שדווקא מחייבים אתכם לשמור מידע לתקופות ארוכות — ולעיתים המידע הזה הוא בדיוק מידע אישי. אלה החובות המרכזיות שכל עסק ישראלי צריך להכיר:

  • דיני מס וניהול ספרים. לפי הוראות מס הכנסה (ניהול פנקסי חשבונות), תשל״ג-1973, יש לשמור את מערכת החשבונות שבע שנים מתום שנת המס שאליה היא מתייחסת, או שש שנים מיום הגשת הדו״ח — לפי המאוחר. חשבוניות, קבלות וספרי הנהלת חשבונות כוללים שמות לקוחות, ולעיתים מספרי זהות — כלומר מידע אישי שאסור למחוק כל עוד רץ המונה של שבע השנים.
  • דיני עבודה. לפי חוק הגנת השכר, תשי״ח-1958 (בעקבות תיקון 24), מעסיק חייב לשמור תלושי שכר ופנקס שכר שבע שנים. פנקס שעות עבודה ומנוחה נשמר גם הוא, ותיקי עובדים כוללים מידע רגיש — נתוני שכר, ניכויים, ולעיתים מידע רפואי מהיעדרויות. גם כאן: המחיקה ממתינה לסיום התקופה החוקית.
  • רשומות רפואיות. תקנות בריאות העם (שמירת רשומות), תשל״ז-1976 קובעות תקופות ארוכות במיוחד: תיק מטופל בבית חולים כללי נשמר 20 שנה מהאשפוז או הטיפול האחרון; תיק במרפאת חוץ נשמר שבע שנים מהטיפול האחרון; גיליון סיכום מחלה נשמר 100 שנה; ולגבי קטין — שבע שנים ממלאת לו 18. קליניקה, מכון או אפליקציית בריאות שאוגרים מידע רפואי כפופים לזמנים האלה.
המידע האישי לא מוחק את המידע החשבונאי

טעות נפוצה: לקוח מבקש שתמחקו את פרטיו, ואתם מוחקים חשבונית מס שהוצאתם לו לפני שנתיים. אל תעשו זאת. זכות המחיקה בדיני הפרטיות נסוגה מפני חובת שמירה על פי דין אחר — תקנה 2 עצמה קובעת שמותר להמשיך להחזיק במידע ״למטרה אחרת שלשמה מותר להחזיקו לפי כל דין״. התשובה הנכונה ללקוח: ״הסרנו אותך מרשימת הדיוור ומהשיווק, אך מסמכים חשבונאיים שאנו מחויבים בהם על פי חוק המס יישמרו עד תום תקופת השמירה החוקית — ואז יימחקו״.

הפתרון: לוח זמנים לשמירת מידע (Retention Schedule)

הדרך לצאת מהסתירה בין ״למחוק״ ל״לשמור״ אינה החלטה גורפת אלא לוח זמנים מפורט לפי קטגוריית מידע. זהו המסמך היחיד שבאמת פותר את הבעיה: הוא לוקח כל סוג מידע שהעסק מחזיק, שואל עליו ארבע שאלות — למה שומרים, מה העוגן החוקי, לכמה זמן, ומה עושים בסוף — וקובע כלל ברור. אחרי שיש לוח כזה, המחיקה מפסיקה להיות החלטה רגשית בכל פעם מחדש והופכת לתהליך אוטומטי. כך נראה לוח שמירה בסיסי לעסק קטן-בינוני טיפוסי:

סוג המידעלמה שומריםעוגן חוקיתקופת שמירהואז מה
חשבוניות, קבלות, ספרי הנהח״שחובת ניהול ספרים ודיווח למסהוראות ניהול פנקסי חשבונות 19737 שנים מתום שנת המסמחיקה מלאה
תלושי שכר ותיקי עובדיםחובת שמירה בדיני עבודהחוק הגנת השכר 19587 שנים מסיום העסקהמחיקה מלאה
לקוח פעיל (התקשרות/מנוי)מתן שירות ותמיכה שוטפיםהגבלת מטרה — המטרה חיהלאורך ההתקשרותמעבר למסלול ״לקוח לא פעיל״
לקוח לא פעילתיעדוף עסקי מוגבל בזמןאין עוגן — המטרה הסתיימהעד 3 שנים מהקשר האחרון*מחיקה או אנונימיזציה
קורות חיים של מועמד שנדחהמשרות עתידיות (בהסכמה בלבד)הסכמת המועמד6–12 חודשים ללא הסכמהמחיקה מלאה
רשימת דיוור שיווקישיווק בהסכמההסכמת הנמעןעד הסרה / חוסר פעילותהסרה ומחיקה
רשומה רפואית (מרפאת חוץ)המשכיות טיפול וחובת דיןתקנות בריאות העם 19767 שנים מהטיפול האחרוןמחיקה מאובטחת

*התקופה ל״לקוח לא פעיל״ אינה קבועה בחוק — היא נגזרת מהמטרה העסקית הסבירה ומהיכולת שלכם להצדיק אותה. שלוש שנים היא ברירת מחדל שמרנית וסבירה לרוב העסקים; אם אתם קובעים תקופה ארוכה יותר, תיעדו למה. הכלל: כל תקופת שמירה צריכה הצדקה כתובה, לא ״ליתר ביטחון״.

טבלת דוגמה ללוח זמנים לשמירת מידע בעסק קטן-בינוני, לפי סוג מידע, עוגן חוקי ותקופת שמירה
לוח שמירה לדוגמה לעסק קטן-בינוני. תקופות המס והעבודה מעוגנות בחוק; תקופות הלקוח והמועמד נגזרות מהגבלת המטרה.

מחיקה בפועל: מחיקה, ארכוב או אנונימיזציה?

״למחוק״ נשמע פשוט, אבל בשטח יש שלוש אפשרויות שונות שלא כולן שוות מבחינה משפטית. חשוב להבין מתי כל אחת מספקת את חובת המחיקה:

  • מחיקה אמיתית. הרשומה נמחקת מהמערכת התפעולית ואינה ניתנת לשחזור. זו המחיקה שתקנה 2 מתכוונת אליה, וזה מה שמצופה ברוב המקרים כשהמטרה הסתיימה ואין חובת שמירה אחרת.
  • ארכוב. המידע מוצא מהמערכת הפעילה ומועבר לאחסון קר, נפרד ומוגבל-גישה. ארכוב אינו מחיקה — המידע עדיין קיים ועדיין דולף בפריצה. הוא לגיטימי רק כשיש עוגן חוקי אקטיבי לשמירה (מס, עבודה, בריאות), ומחייב אותה רמת אבטחה כמו המערכת החיה.
  • אנונימיזציה. המידע מעובד כך שכבר לא ניתן לשייך אותו לאדם מזוהה או ניתן לזיהוי — ואז הוא יוצא מגדר ״מידע אישי״ ואפשר לשמור אותו ללא הגבלה (למשל לצורכי סטטיסטיקה ומגמות). זהירות: פסאודונימיזציה (החלפת שם במזהה) אינה אנונימיזציה — אם אפשר לחבר בחזרה, זה עדיין מידע אישי לכל דבר.
בעיית הגיבויים — הטיפול הכן

מחקתם רשומה מהמערכת התפעולית, אבל היא עדיין חיה בגיבוי מלילה שעבר, ובגיבוי מלפני חודש, ובעותק הענן. זה קורה בכל ארגון, וזו לא הפרה בפני עצמה — כל עוד יש לכם מדיניות מסודרת. הגישה המקובלת: מחיקה מיידית מהייצור, ומחיקה מהגיבויים במחזוריות הרגילה של דריסת הגיבויים (למשל גיבויים שנשמרים 90 יום ״שוטפים״ החוצה את הרשומה מעצמם). התיעוד הוא המפתח: קבעו בכתב מהי מדיניות שמירת הגיבויים, ודאו שהגיבויים עצמם מוצפנים ומוגבלי-גישה, ואל תשחזרו רשומה שנמחקה בכוונה מגיבוי ישן חזרה לייצור.

שני הכשלים הקלאסיים: קורות חיים ורשימות דיוור

אם יש שתי קטגוריות מידע שכמעט כל עסק ישראלי מפר לגביהן את הכללים, אלה קורות חיים ורשימות דיוור. שתיהן נאספות בקלות, אף אחד לא זוכר להיפטר מהן, ושתיהן צוברות שנים.

קורות חיים של מועמדים שנדחו הם ההפרה השקטה ביותר. המטרה שלשמה נאספו — איוש משרה ספציפית — הסתיימה ברגע שהמשרה אוישה. מרגע זה אין לכם בסיס להחזיק במידע, אלא אם קיבלתם הסכמה מפורשת מהמועמד לשמור את קורות החיים למאגר לצורך משרות עתידיות. הכלל המעשי: אם ביקשתם והמועמד הסכים — שמרו לתקופה סבירה ומוגדרת (למשל שנה) ואז מחקו; אם לא ביקשתם — מחקו את קורות החיים תוך פרק זמן קצר לאחר סגירת המשרה. תיקיית ״קורות חיים 2019״ שעדיין פתוחה במחשב היא בדיוק מה שמפקח יבקש לראות.

רשימות דיוור שיווקי צריכות היגיינה שוטפת. כל נמען שביקש הסרה חייב לרדת מהרשימה — וגם למחיקה יש כאן ממד של זכות: הלקוח רשאי לדרוש שתפסיקו לפנות אליו ותמחקו את פרטיו מהשיווק. חשוב להבין את זכות המחיקה של נושא המידע ואיך מטפלים בפנייה כזו נכון; פירטנו את זה במדריך על זכות העיון, התיקון והמחיקה. רשימה שאספתם ״פעם״ בלי הסכמה תקפה, או שמלאה בכתובות מתות מלפני עשור, אינה נכס — היא התחייבות.

טקס הניקיון השנתי

לוח זמנים לשמירה שווה בדיוק כמו התדירות שבה מיישמים אותו. הדרך שעובדת היא מחזור ניקיון שנתי קבוע — יום או יומיים בשנה שבהם עוברים על כל קטגוריות המידע, בודקים מה חצה את תקופת השמירה, ומוחקים בפועל. הכי נוח לתפור את הטקס הזה על מיפוי מאגרי המידע שלכם: אם כבר בניתם מיפוי מאגרי מידע מסודר, הרענון השנתי שלו הוא ההזדמנות הטבעית להריץ גם את סבב המחיקות. ואם אתם מתכננים מערכות חדשות — שווה לבנות את מנגנון המחיקה מראש, כחלק מפרטיות בתכנון, במקום לתקן בדיעבד.

מה מפקח יבקש לראות

כשמפקח מטעם הרשות להגנת הפרטיות מגיע, הוא לא מסתפק במדיניות על הנייר. הוא שואל שתי שאלות: ״הראו לי את מדיניות שמירת המידע שלכם״ — וגם ״הראו לי ראיה שאתם באמת מוחקים״. פרוטוקול של סבב המחיקה השנתי, לוג מחיקות אוטומטי, או צילום מסך של תיקייה שרוקנה בתאריך מסוים — כל אלה הופכים מדיניות מופשטת לעובדה מוכחת. מדיניות בלי ראיית ביצוע היא חצי עבודה.

תרשים זרימה להחלטה: לשמור או למחוק מידע אישי — לפי מטרה, עוגן חוקי בדין אחר, ואופן המחיקה
עץ ההחלטה לכל פיסת מידע: האם המטרה עדיין חיה? האם חוק אחר מחייב שמירה? ואם לא — כיצד למחוק.

צ׳קליסט לשבוע הקרוב

  1. רשמו את קטגוריות המידע. עברו על המערכות (CRM, הנהח״ש, שכר, דיוור, קורות חיים) וכתבו איזה סוג מידע אישי יש בכל אחת.
  2. קבעו עוגן ותקופה לכל קטגוריה. לכל שורה — למה שומרים, איזה חוק (אם בכלל) מחייב, וכמה זמן. השתמשו בלוח לדוגמה שבמאמר כנקודת פתיחה.
  3. סמנו את מה שכבר חצה את התקופה. לקוחות לא פעילים מלפני שנים, קורות חיים ישנים, מסמכי מס שעברו 7 שנים — אלה מועמדים למחיקה מיידית.
  4. מחקו את קורות החיים הישנים. ההפרה הכי קלה לתיקון. מחקו כל מה שנאסף למשרה שכבר אוישה וללא הסכמה לשמירה.
  5. נקו את רשימת הדיוור. הסירו כתובות מתות ומי שביקש הסרה, וודאו שיש מנגנון הסרה תקין בכל דיוור.
  6. החליטו על מדיניות גיבויים. קבעו בכתב לכמה זמן נשמרים גיבויים ומתי הם נדרסים — כך רשומות שנמחקו יוצאות מהם מעצמן.
  7. קבעו תאריך לסבב הניקיון השנתי. שריינו יום בשנה, וצרפו אותו לרענון מיפוי המאגרים. תעדו את הביצוע — זו הראיה שמפקח יבקש.

השורה התחתונה

מידע אישי אינו יין — הוא לא משתבח עם השנים, הוא רק נעשה מסוכן יותר. כל רשומה שאתם שומרים מעבר לזמן הנחוץ היא נטל: משטח חשיפה גדול יותר בפריצה, ובסיס רחב יותר לחישוב עיצום כספי תחת תיקון 13. העיקרון פשוט — כשהמטרה נגמרת, המחיקה מתחילה; והחריג היחיד הוא חוק אחר שמחייב שמירה, ואז שומרים בדיוק את מה שהוא דורש, בדיוק לזמן שהוא דורש, ואז מוחקים. לוח זמנים אחד לשמירה, מחזור ניקיון שנתי אחד, וראיות ביצוע — זה כל מה שצריך כדי להפוך את האגירה מברירת מחדל מסוכנת לתהליך מבוקר.

Cybertis בונה לארגונים לוח זמנים לשמירת מידע שמיישב בין חובת המחיקה של תיקון 13 לבין חובות השמירה בדיני מס, עבודה ובריאות — כולל מנגנון מחיקה מעשי, מדיניות גיבויים וראיות ביצוע לרגולטור. נתחיל במיפוי המידע שאתם מחזיקים היום.

לשירות היערכות לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. תקופות השמירה עשויות להשתנות לפי סוג הפעילות, נסיבות פרטניות ותיקוני חקיקה, ומחייבות בחינה פרטנית מול הדין העדכני.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il