ת"צ 47153-05-20 קופרשמידט ואח' נ' חברת החשמל לישראל בע"מ ואח'

פרטיות וסייבר
מאת‏ עו"ד טל קפלן

שותף וחבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"
עיון במסמך

פשרה בייצוגית על פגיעה נטענת בפרטיות המשתמשים באתר חברת החשמל (פסק-דין, מחוזי ת"א, השופטת הדס עובדיה):

העובדות: בקשה לאישור הסדר פשרה בבקשה לאישור תובענה כייצוגית, בין המבקשים למשיבה 1 - חברת החשמל. בבקשת האישור המבקשים טענו כי חברת החשמל והמשיבה 2 - רכבת ישראל, הפרו את פרטיות משתמשי הפלטפורמות הדיגיטליות שלהן, כשאפשרו זליגת מידע לגוגל ופייסבוק, כך שחברות אלה יכולות היו לאסוף מידע אישי ומזהה של משתמשי הפלטפורמות של המשיבות, ללא הסכמתם. המשיבה 1 כפרה בטענות המבקשים וטענה כי הנתונים שנטען כי הועברו כלל אינם "מידע" לפי חוק הגנת הפרטיות, וכי היא פועלת כדין, לפי מדיניות פרטיות שהיא מפרסמת באתר, ותואמת את הדין ואת המלצות הרשות להגנת הפרטיות. בהמשך להליך גישור, הגיעו הצדדים להסכם פשרה.

נפסק: יש לאשר את הבקשה ולתת להסדר תוקף של פס"ד. הסדר הפשרה משקף פתרון ראוי, הוגן ומאוזן לתובענה. ההסדר יחסוך את המשך ההתדיינות וגלומה בו תועלת ראויה ללקוחות המשיבה ולאינטרס הציבורי. בשים לב לכך כי עיקרו של ההסדר נוגע לאימוץ נורמות וקביעת אמצעים לאבטחת מידע ולהגנת פרטיות הלקוחות, בנוסף לחובות המוטלים על המשיבה לטובת לקוחותיה והציבור; ובשים לב לתיקון 13 לחוק הגנת הפרטיות שכדבר המובן מאליו חברת החשמל תקיימו; יש לבחון את תועלת הסכם הפשרה שמבוקש לאשר במועד הגשתו, בנטרול איחור הגורמים המקצועיים במדינה שהגישו עמדה מקיפה ונרחבת באיחור גדול. 

הסדר הפשרה משיג תועלת ראויה ומידתית לחברי הקבוצה ולציבור. בהסדר המשיבה התחייבה לעדכן את מדיניות הפרטיות שלה ולהציגה באתר באופן נגיש ונהיר, גם לנעדרי אוריינות דיגיטלית גבוהה. חברת החשמל העלתה לאתר "באנר יידוע בדבר שימוש בעוגיות" ונקבע מנגנון opt-in לשימוש ב"עוגיות", לפיו משתמשים יוכלו לבחור להשתמש באתר ללא "עוגיות" שאינן נחוצות לתפעולו. חברת החשמל תמנה בעל תפקיד שהצדדים כינו קצין אבטחת מידע - DPO, שיפעל לפי עקרונות רגולציית ההגנה על מידע האירופית, מעבר לחובה לפי הדין כיום ומבלי לגרוע מחובותיה לקיים את הדין גם לאחר תיקון 13 לחוק הגנת הפרטיות. לפי ההסדר בעל התפקיד יהיה אחראי לציית להוראות הדין בתחום הפרטיות; לבצע סקרי סיכון וביקורת אבטחת מידע והגנת הפרטיות; לייעץ להנהלת החברה על להוראות החוק; ויהווה איש קשר של החברה מול הרשויות.

בנוסף, נקבע בהסדר כי חברת החשמל תבצע מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים בתדירות גבוהה יותר מזו הקבועה בדין, וכי תשלח ללקוחותיה עם החשבונית מידע בעניין פרטיות והגנת סייבר למשך שנה. מבלי לקבוע דבר לעניין הטענה כי במינוי ה-DPO חברת החשמל ממלאת אחר הוראות חוק הגנת הפרטיות החדשות לאחר תיקון 13, לעמדת ביהמ"ש אין משמעות קרדינאלית לצורך אישור ההסדר לכינוי של בעל התפקיד, בין אם יכונה "קצין אבטחת מידע" או "ממונה על הגנת הפרטיות", כל עוד בעל התפקיד ימלא אחר הוראות ההסדר והוראות החוק. ההסדר, הכולל את הצעדים שנקטה המשיבה בעקבות בקשת האישור, והתחייבויותיה בעניין התנהלותה לעיל, וכן ההתחייבויות שנטלה לנקיטת צעדים שהם הסדרה עודפת מעבר למחויבויותיה לפי דין, מגלמים תועלת ראויה לחברי הקבוצה ומשקפים קניית סיכון ראויה במשקפי חברי הקבוצה וטובתם.