רשימה זו נסקור באופן תמציתי את התפתחות האכיפה הפרטית בתחום אבטחת המידע והגנה על מידע אישי, בדגש על אכיפת החוק להגנת הפרטיות והתקנות שהותקנו מכוחו.
בשני העשורים האחרונים חלו התפתחויות טכנולוגיות משמעותיות אשר באות לידי ביטוי כמעט בכל תחומי החיים. לצד היתרונות הרבים שהביאה עימה החדשנות הטכנולוגית, יש בה גם כדי לחשוף את ציבור המשתמשים לסיכונים שונים לרבות סיכוני אבטחת מידע ו"זליגה" של מידע אישי רגיש.
חוק הגנת הפרטיות והתקנות שהותקנו מכוחו מטילים חובות על בעל מאגר הכולל מידע פרטי, ובצדן סנקציות משמעותיות. יחד עם זאת, התפתחויות טכנולוגיות משמעותיות שאירעו מאז שנחקק חוק הגנת הפרטיות בשנת 1981 (עוד לפני עידן ה- Instagram וכאשר חברת פייסבוק הייתה בראשית דרכה), הביאו לכך שהחוק אינו נותן מענה מלא לסיכונים הקיימים בעידן הנוכחי ולשמירה על מידע אישי והזכות לפרטיות. תהליכי החקיקה בתחום הגנת הפרטיות מתקדמים באיטיות, וכתוצאה מכך, החקיקה נותרת מאחור ואינה מותאמת למציאות הטכנולוגית אשר מתקדמת במהירות ומשתנה באופן תדיר.
מציאות זו, יחד עם מודעות הולכת וגוברת אצל הציבור לסיכוני אבטחת מידע והגנה על הפרטיות, הביאה לעלייה משמעותית באכיפה הפרטית בתחום זה, בין היתר באמצעות הגשת תלונות לרשויות ובאמצעות הגשה של בקשות לאישור תובענות ייצוגיות, בטענות להפרה של הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע שהותקנו מכוחו, ולהפרת הוראות של דינים נוספים המשיקים לתחום זה.
זוהי מגמה שכיחה במדינות אחרות ובשנים האחרונות מגמה זו נמצאת בעלייה גם בישראל, והוגשו כבר עשרות בקשות לאישור תובענות ייצוגיות בתחום זה. בעת האחרונה הוגשה בקשה לאישור תובענה ייצוגית, בסכום של כ-2.6 מיליארד ש"ח, נגד קופת החולים "כללית" בטענה לכשל אבטחה חמור שבמסגרתו התאפשר לכל מי שפנה לקופת החולים לקבל בקלות מידע רפואי רגיש של כל מבוטחי הקופה.
בקשות לאישור אחרות הוגשו בעקבות שימועים שהרשות להגנת הפרטיות עורכת לחברות בשל חשש לקיומם של אירועי אבטחת מידע והחלטותיה בעניין. כך למשל, בעניין איתוראן איתור ושליטה בע"מ, הוגשה בקשה לאישור תובענה ייצוגית שהתבססה בעיקרה על הליך פיקוח שקיימה הרשות, אשר ממנו עלה כי באתר האינטרנט של איתוראן קיימות חולשות אבטחה המאפשרות כניסה לדפי המשתמש הפרטיים של לקוחות החברה וצפייה במידע אישי שלהם. במקרים אחרים הרשות נכנסת לתמונה לאחר שהוגשה בקשה לאישור תובענה ייצוגית, בעקבות תלונה שמוגשת לה עקב הגשת הבקשה. במקרים אלו, הרשות פותחת בהליך שימוע לחברה שהוגשה נגדה בקשה לאישור תובענה ייצוגית והחלטת הרשות עשויה להשפיע על תוצאות ההליך בבית המשפט.
מדובר בדרך כלל בתביעות בסכומי עתק שנוגעות לציבור רחב של אנשים, כך שהחשיפה בתביעות אלה גדולה במיוחד. בשל כך, בקשות רבות מסתיימות בהסדרים (לעיתים בסכומים משמעותיים), ולא בהכרעה שיפוטית.
בארצות הברית לדוגמה, בעקבות מתקפת סייבר נגד מפעילת הסלולר האמריקאית T-Mobile, במסגרתה נגנבו פרטים אישיים של לקוחות, לרבות מספרי זהות, מספרי ביטוח לאומי ונתונים אישיים נוספים, הוגשה בקשה לאישור תובענה ייצוגית נגד T-Mobile, אשר בעניינה הושג הסכם פשרה בחודש יולי 2022, לפיו T-Mobile תשלם סך של 350 מיליון דולר לצורך תשלום פיצויים לחברי הקבוצה וכיסוי ההוצאות המשפטיות של התובעים. בנוסף, T-Mobile התחייבה להשקיע סכום נוסף של כ- 150 מיליון דולר במשך שנתיים לחיזוק אבטחת המידע וטכנולוגיות אחרות.
גם בישראל חלק גדול מהתובענות הייצוגיות שהוגשו לבתי המשפט, לרוב בטענה לקיומו של כשל אבטחה, הסתיימו בהסדרי הסתלקות או בפשרות. הסדרים אלה כוללים בדרך כלל הוראה לתיקון הליקוי הנטען, תשלום של פיצוי לחברי הקבוצה ותשלום גמול ושכר טרחה למבקש ולבאי כוחו. כך למשל, בפרשת Avid Life Media שעסקה בטענה להעתקת והדלפת פרטים אישיים של משתמשי האתר על ידי האקרים, אישר בית המשפט המחוזי מרכז הסדר פשרה שבמסגרתו שילמו הנתבעות לקרן לניהול ולחלוקת כספים סך של כמעט 600 אלף ש"ח, וכן גמול, שכר טרחה ותשלום החזר הוצאות בסך של כמעט 147 אלף ש"ח.
באחד ההליכים היחידים שהגיעו לידי הכרעה שיפוטית, דחה בית המשפט המחוזי בחיפה בחודש יולי האחרון בקשה לאישור תובענה ייצוגית בטענה להפרת חוק הגנת הפרטיות עקב פרצת אבטחה בפלטפורמת הרשת החברתית פייסבוק (כיום, Meta). בבקשת האישור נטען כי פייסבוק התרשלה בנקיטת פעולות המתחייבות לשם הגנה על המידע האישי של המשתמשים בפלטפורמה במסגרת מתקפת סייבר. להגנתה טענה פייסבוק כי המתקפה בוצעה על ידי גורמים עבריינים שניצלו חולשת אבטחה שלא הייתה ידועה קודם לכן, וכי לא ניתן היה לגשת לפרטים אישיים של המשתמשים בפלטפורמה. בית המשפט קבע באותו עניין כי היסוד החוזי ליחסיו של המבקש עם פייסבוק הוא תנאי השירות של פייסבוק, במסגרתם מצהירה פייסבוק כי היא מספקת את שירותיה "As-Is", ללא ערובה כלשהי לכך ששירותיה נקיים מליקויים או שגיאות, וכי המבקש לא הוכיח כי נגרם לו נזק באופן אישי על ידי מתקפת הסייבר או כי למידע שנחשף ישנו ערך כלכלי. עוד נקבע כי פייסבוק לא הפרה את חובת הגילוי על מתקפת הסייבר; וכי לא נעשתה פגיעה בפרטיות המשתמשים ללא הסכמתם, אלא פייסבוק הייתה נתונה למתקפה זדונית.
לאור הדברים שהבאנו ברשימה זו, אנו ממליצים על מספר פעולות מנע ודרכי טיפול, בין היתר:
1.להקדים תרופה למכה ולבצע סקר סיכוני הגנת פרטיות.
2.לאמץ תכנית ציות לעמידה בדרישות דיני הפרטיות, באופן שיתאים לסיכונים שאותרו בחברה במסגרת הסקר.
3.בקרות אירועי אבטחת מידע, מומלץ להיוועץ עם עורכי דין המתמחים בתחום הגנת הפרטיות על מנת לנהוג באופן אשר יעלה בקנה אחד עם דרישות הדין.
4.באותם מקרים בהם הוגש הליך משפטי או הוגשה תלונה בקשר להפרה של דיני הפרטיות, מומלץ לקבל יעוץ משפטי על מנת לנקוט באמצעים שיסייעו לחברה להתמודד עם מצבים שכאלה, בין היתר על ידי הנחיה נכונה ומענה נכון למצב הנתון.
הרשימה נכתבה על ידי עו"ד הדס בקל,שותפה במחלקת הליטיגציה ומנהלת משותפת במחלקת תקשורת המתמחה בתובענות ייצוגיות
ועל ידי עו"ד ליאור אתגר, שותף במחלקה המסחרית, ראש תחום הגנת הפרטיות, ובסיוע של עו"ד נטע פוליאק, עורכת דין במחלקת הליטיגציה.