ארגונים באירופה מיישמים באופן לקוי את הזכות למחיקת מידע תחת ה-GDPR. כך חושף דוח של מועצת רשויות הגנת המידע הלאומיות במדינות האיחוד האירופי (EDPB), בעקבות הליך אכיפה משולב שביצעו 32 רשויות פיקוח מרחבי האזור הכלכלי האירופי (EEA) ביחס לכ-760 גופים.
הדוח מזהה שבעה כשלים מרכזיים ביישום הזכות:
- היעדר נהלים פנימיים. ארגונים רבים לא מחזיקים בנהלים לטיפול בבקשות מחיקה, מה שמוביל לטיפול סובייקטיבי ובלתי עקבי, ולבלבול בין מימוש הזכות לבין מחיקת חשבון משתמש. הדוח מדגיש כי הארגונים נדרשים לגבש נהלים מסודרים, שיתייחסו בין השאר ללוחות הזמנים למחיקה, הקצאת האחריות ביחס לזכות ומיפוי מערכות המידע של הארגון.
- הכשרה לקויה של עובדים. הארגונים מסתפקים בהדרכות כלליות ושנתיות בלבד, ללא הכשרה ייעודית בנושא. הדוח קובע שהארגונים נדרשים לקיים הכשרות ממוקדות-תפקיד החל ממועד קליטת העובד ובאופן תקופתי לאחר מכן.
- מסירת מידע חלקי לנושאי המידע. הארגונים אינם מיידעים כראוי את נושאי המידע על הזכות ואופן מימושה. הדוח מבהיר כי על הארגונים לעדכן את מדיניות הפרטיות שלהם כך שתפרט באופן מספק על הזכות, להנגיש ערוצי פנייה ולהכין מסמכי תבנית למענה לתרחישים שונים.
- שימוש מוטעה בחריגים לדחיית בקשות מחיקה. כשליש מהרשויות הבוחנות מצאו כי ארגונים מיישמים את החריגים בחוק באופן אוטומטי מבלי לבחון כל בקשה לגופה וללא תיעוד כנדרש. הדוח מדגיש כי הארגונים נדרשים לבחון את קיום החריגים בכל מקרה לגופו בשיתוף הצוות המשפטי, ולתעד בכתב את הנימוקים לדחייה.
- קשיים בהגדרת תקופות שמירת מידע. ארגונים רבים (בעיקר קטנים) מתקשים לקבוע תקופות שמירה מתאימות לכל סוג עיבוד, ולעיתים מיישמים באופן שגוי את תקופת השמירה הארוכה ביותר ביחס לכולם. הדוח קובע כי הארגונים נדרשים לתעד במסגרת לנהל מדיניות שמירת מידע מפורטת ועדכנית, לפי סוגי עיבוד המידע שזוהו ב-RoPA.
- מחיקת מידע מקבצי גיבוי. מחצית מהרשויות זיהו שהארגונים לא מחזיקים בנהלים ייעודיים למחיקת קבצי גיבוי, ונוקטים לרוב במחיקה אוטומטית כללית בלבד. הדוח דורש שהארגונים יפעלו לפי סטנדרטים מוכרים למחיקה מאובטחת, יתעדו את ביצועה וישקלו ביצוע פסאודונימיזציה של מידע המיועד למחיקה.
- יישום לקוי של אנונימיזציה. ארגונים רבים מעוניינים להשתמש באנונימיזציה כתחליף למחיקת המידע, אך בפועל מבצעים פסאודונימיזציה בלבד, באופן שמאפשר את זיהוי נושאי המידע. הדוח מבהיר כי על הארגונים להכיר את הנחיות ה-EDPB בנושא ולוודא שהטכניקות שהם מיישמים שוללות בפועל אפשרות לזיהוי מחדש של נושאי המידע.
מספר רשויות הודיעו על כוונתן לפתוח בחקירות פורמליות נגד מספר ארגונים, וחלקן כבר הטילו על הארגונים קנסות בסכומים של עד 70,000 אירו. ה-EDPB הודיעה כי תגבש ותפרסם הנחיות פרטניות בנושאים שזוהו כבעייתיים.