ת"צ 6615-12-20 שור ואח' נ' אר.אפ.אי. גלובל בע"מ (לשעבר – שירביט חברה לביטוח בע"מ)

אחריות ספקים פרטיות וסייבר
מאת‏ עו"ד טל קפלן

שותף וחבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"
עיון במסמך

פשרה בהליכים הייצוגיים נגד חברת הביטוח "שירביט" בעקבות הפריצה לשרתיה (פסק-דין, מחוזי מרכז-לוד, השופט אבי פורג):

העובדות: בקשה לאישור הסדר פשרה (מתוקן) בין המבקשים והמשיבה, במסגרת תובענה ייצוגית. התובענה והבקשה לאשרה כייצוגית עוסקות בטענות בנוגע לאירוע תקיפת סייבר שאירע במערכות המשיבה, שהוביל לדלף מידע ממאגרי המידע שלה ולפרסום מידע שדלף על מבוטחיה ב"טלגרם". הצדדים חילקו את הקבוצה המיוצגת ל-3 תתי קבוצות: הראשונה - כל מי שלגביו פורסם מידע רגיש (צילום של ת"ז, פרטי אשראי, דרכונים, מסמכים רפואיים, תלוש שכר, בקשות להעברה בנקאית, צילומי שיק); השנייה - כל מי שלגביו פורסם מידע שאינו רגיש; השלישית - כל מי שלגביו לא פורסם מידע רגיש או מידע שאינו רגיש, אך קיים חשש שדלף מידע כה לגביהם, העלול להיות מפורסם בעתיד.

הצדדים הסכימו כי הראל, שרכשה את הפעילות הביטוחית של המשיבה, תשלם סך של 4,817,100 ₪ כפיצוי סופי לחברי הקבוצה, באופן הבא: לכל אחד מחברי הקבוצה הראשונה (561 חברים) ישולם פיצוי של 500 ₪; לכל אחד מחברי הקבוצה השנייה (15,683 חברים) ישולם פיצוי של 200 ₪; לחברי הקבוצה השלישית ישולם פיצוי כולל של 1,400,000 ₪ שיועבר לקרן הייעודית לניהול וחלוקה של כספים מכוח חוק תובענות ייצוגיות.

נפסק: הסדר הפשרה עם המשיבה ראוי, הוגן וסביר בעניין חברי הקבוצה ועונה לדרישות סעיף 19(א) לחוק תובענות ייצוגיות. אין לקבל את הטענה שהפיצוי המוצע לקבוצות השונות נמוך מדי וביהמ"ש מוצא שהוא סביר. בעניין סייברסרב [ת"צ 8696-11-21] ובעניין Avid Life [ת"צ 16319-09-15] נפסקו פיצויים בסכומים נמוכים יותר משמעותית, כאשר בשני המקרים היה מדובר בדלף של מידע רגיש מאוד (דלף של פרטים אישיים מאתר היכרויות המכוון בעיקר לקהילה הלהט"בית; ומאתר הכרויות שיועד בעיקר לאנשים נשואים או בקשר זוגי שהתעניינו בבן זוג לקשר מחוץ לקשר הזוגי).

יש מקום לתת משקל לדו"ח הביקורת של רשות שוק ההון, שניהלה הליך ביקורת ממושך נגד שירביט, ושכלל ממצאים חמורים לגבי התנהלותה, כשבסיומו הטילה הרשות על שירביט עיצום כספי משמעותי, ויש ליתן לכך משקל ראייתי, בוודאי בשלב בקשת האישור. עדיין, המשיבה הגישה חוו"ד מומחה ממנה עלתה ההערכה שהתקיפה על מערכותיה היתה מבצע תודעה של קבוצת תקיפה איראנית או קבוצת תקיפה המזוהה עם איראן, על המשתמע מכך לגבי יכולות הפורץ המוגברות לעומת יכולות של חברה אזרחית כמו המשיבה (אפילו מדובר בחברת ביטוח), והאסימטריה המובהקת לטובת התוקף במקרה כזה.

מומחה המשיבה התייחס לאירועי פריצות סייבר בחברות וארגונים בטחוניים, מהמוגנים בעולם לשיטתו, ואף בחברות הגנת סייבר שמערכי ההגנה שלהם משוכללים, כדי להמחיש שלא ניתן להגן על מערכות מחשב באופן שבו קו ההגנה לעולם לא ייפרץ. מחד, אין בכך להמעיט מאחריות המשיבה למלא באופן יסודי את כל חובותיה להיערכות לאירוע כזה, דבר שכשלה בו לפי דו"ח הרשות, ועדיין לא כל אירוע כזה מלמד בהכרח על כשל מהותי באבטחה שהוביל לנזק שנגרם, והמחלוקות הפרטניות טעונות בירור. ממכלול הדברים עולה כי קיים סיכון בניהול ההליך עד תומו ובפרט בסוגיית הקשר הסיבתי בין התנהלות המשיבה ומחדליה לקרות האירוע ולנזק.

סיום ההליך בהסדר הפשרה המוצע הוא הדרך היעילה וההוגנת להכרעה במחלוקת. הסדר הפשרה אף מעניק סעדים ראויים, וניהול ההליך לא היה מביא בהכרח לתועלת גדולה יותר לקבוצה. יש לאשר את ההסדר ולתת לו תוקף של פס"ד. ביהמ"ש אישר את הגמול ושכר הטרחה כמוצע בהסדר המתוקן.