דעה: פירצה באבטחה - הציבור ישלם

מכשיר התובענה הייצוגית אינו הדרך הנכונה והיעילה לשמור על הפרטיות במאגרי מידע ציבוריים

פרטיות באינטרנט / צילום: שאטרסטוק
פרטיות באינטרנט / צילום: שאטרסטוק

בימים אלה הוגשה בקשה לאישור תובענה ייצוגית נגד חברת החשמל בסך של למעלה ממיליארד שקל, בגין פירצת אבטחה באתר שירות הלקוחות. לפי הנטען, נפגעה פרטיותם של מיליוני אזרחים, ובהם אנשי ציבור כדוגמת בני גנץ ושר המשפטים היוצא אמיר אוחנה. באתרי הרשת אף הופצו חשבונות החשמל של אותם נבחרי הציבור. אכן, אין ספק כי אם הטענה נכונה, מדובר בפגיעה של ממש בצנעת חייהם של רבים.

תביעה זו מצטרפת לגל תובענות ייצוגיות המוגשות נגד גופים ציבוריים המנהלים מאגרי מידע. במשרדם של הכותבים מתנהלות כיום תובענות ייצוגיות בגין מאגרי מידע המכילים, במצטבר, פרטים אודות מיליוני אזרחים.

לדעתנו, מכשיר התובענה הייצוגית אינו הדרך הנכונה והיעילה לשמור על הפרטיות במאגרי מידע ציבוריים.

רוב פירצות האבטחה ברשת נחשפות על-ידי האקרים, המשתמשים בכישורים טכניים מורכבים על-מנת לפרוץ למערכות מידע, שלרוב אינן נגישות לאדם מן היישוב. בעבר הלא רחוק הדבר היה משמש להתרעה על הפירצות שנועדה להביא לתיקון הבעיה. אולם לאחרונה, אותם גורמים אופורטוניסטים משתפים פעולה עם עורכי דין ומגישים תובענות ייצוגיות שמטרתן היחידה היא הפקת רווח כספי.

אלא שכאשר מדובר בתובענה ייצוגית נגד גופים המספקים שירותים ציבוריים, בסופו של דבר עלויות ההתדיינות המשפטית והפיצוי לטובת הציבור בכללותו, תגולגל בחזרה אל אותו ציבור. כך, לקוחות חברת החשמל ייאלצו לסבול העלאת תעריפים, שכן אלה מבוססים על הוצאות החברה; ומבוטחי קופות-החולים, אם יזכו בפיצוי על חשיפת פרטיהם, יישאו בו בעקיפין בדרך של העלאת מחירי שירותי הבריאות. נראה אפוא כי היחידים שיצאו נשכרים מתביעות אלה הם התובע הייצוגי ובאי-כוחו הצפויים לקבל גמולים נכבדים, אשר גם בהם יישא הציבור.

נראה כי בעייתיות זו הופנמה על-ידי בית המשפט העליון, אשר דחה לפני מספר חודשים תובענה ייצוגית בגין דליפת מידע ממאגר של גוף המעניק שירותי למידה מרחוק (ע"א 4110/18). אף שדובר בגוף פרטי, בית המשפט קבע כי פעילותו היא פעילות שלטונית (שירותי חינוך), ועל כן לא ניתן לתבוע ממנו פיצויים בגין דליפת שמות תלמידים ומורים. תוצאה זו, בכל הכבוד, היא גם התוצאה הנכונה מבחינה ציבורית, שכן הטלת עלויות הפיצוי על הגוף המספק את שירותי הלמידה תייקר אותם בעתיד ותעשיר אך את התובע המייצג ועורכי הדין.

אך האם דינם של פרטינו השמורים בידי הרשויות הוא הפקר? ודאי שלא. לדעתנו, ההסדרים החוקיים הנוגעים למאגרי המידע והסנקציות הכלולות בהם כלפי בעלי המאגרים, מספיקים בהחלט.

הרשות להגנת הפרטיות היא הגוף החוקי שתפקידו לפקח ולאכוף את הוראות חוק הגנת הפרטיות על מאגרי המידע. לצורך כך קיימת חובה לרשום במרשם המנוהל על-ידי המדינה את מרבית מאגרי המידע המוחזקים בידי גופים. הרשות להגנת הפרטיות היא בעלת סמכויות אכיפה מינהליות ופליליות על כל גוף בישראל המחזיק במאגר מידע, ולפני כשנתיים הורחבו מאד החובות והכללים בהם מחויב בעל המאגר.

בשנת 2018 הקימה הרשות להגנת הפרטיות מערך פיקוח מיוחד, במטרה לאתר הפרות פרטיות במאגרי המידע ולבצע אכיפה מוגברת של אבטחת המידע. כפי שעולה מדוח פיקוח רוחב שפרסמה הרשות בינואר 2020, בשנתיים האחרונות ביצעה הרשות לא פחות מ-233 הליכי פיקוח בקרב תשעה מגזרים שונים המנהלים מאגרי מידע, במסגרתם ניתנו הנחיות לתיקון ליקויים ולעמידה בדרישות החוק. במקרה שאותם גופים נמנעים מלקיים את הדרישות, מוטלות עליהם סנקציות מינהליות קיצוניות, דוגמת התליה או שלילת הרישיון לניהול מאגר מידע, וכן סנקציות פליליות היוצרות כשלעצמן הרתעה ממשית בקרב הגופים ומנהליהם.

ומה יקרה אם בכל זאת ידלוף מידע ממאגרי הרשות? במקרה כזה החוק עדיין מעמיד בפני האדם הנפגע סעד משמעותי לקבלת פיצוי, בלא הוכחת נזק, בסך של עד 50,000 שקל. פיצוי זה מופנה במישרין למי שנפגע מדליפת המידע, ובשל היותו פיצוי אישי, הוא לא יביא לגידול כולל בעלויות השירות. 

עו"ד עופר דורון הוא בעל משרד עורכי דין המתמחה בהגנה על בעלי מאגרי מידע. עו"ד דניאל מלצר מתמחה באבטחת מאגרי מידע. 

יומן קורונה:
ניוזלטר יומי על כל מה שצריך לדעת
הרשמה
הרישום נכשל
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988