וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

שיווק ודיגיטל

/

בנק הידע

מתקפת הכופר על שירביט הוכיחה: בתי המשפט מבינים פרטיות - המדינה פחות

עו"ד הדס תמם אברהם

עודכן לאחרונה: 10.4.2025 / 9:46

פרשת שירביט אולי נשמעה לציבור כמו עוד מקרה של כשל אבטחה חמור, אבל בתוך כל הרעש התרחשה נקודת מפנה חשובה בעלת השפעה קריטית על הצרכנים הישראליים

פרטי ביטוח של לקוחות דלפו במתקפת סייבר על חברת שירביט. ראובן קסטרו, עיבוד תמונה
פרטי ביטוח של לקוחות דלפו במתקפת סייבר על חברת שירביט/עיבוד תמונה, ראובן קסטרו

לראשונה בישראל, בית המשפט אישר הסדר ייצוגי מחמיר יחסית בתחום הגנת הפרטיות - פיצוי של 4.8 מיליון ש"ח. זהו סכום גבוה במונחים של תביעות פרטיות בישראל, ובעיקר - הוא מסמן שינוי מגמה חשוב.

ועדיין, כשמרימים את הראש מעל לפסק הדין, קשה להתעלם מהפערים העמוקים בין ישראל לעולם המערבי. בזמן שאירופה מחייבת חברות לדווח על דליפות מידע תוך 72 שעות, ומטילה קנסות של מאות מיליונים, בישראל המחוקק עדיין הרחק מאחור. פרצות מידע זוכות כאן לטיפול תגובתי, לא מניעתי; הרגולטור עדיין חסר שיניים מספקות; והחוקים - שרובם נכתבו בשנות ה-80 - פשוט לא מתאימים לעידן הדיגיטלי חרף התיקונים האחרונים.

רגולציה בלי שיניים, ממונים בלי סמכות

חוק הגנת הפרטיות, תשמ"א-1981, יחד עם תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, אינם ערוכים להתמודד עם היקף המידע, קצב השימושים, והמורכבות של מערכות דיגיטליות מודרניות. בשנים האחרונות הוצגו מספר תיקונים מבורכים - אך גם מוגבלים, ריאקטיביים, וחסרי תיאום רגולטורי.

כך למשל, תיקון מס' 13 לחוק, שצפוי להיכנס לתוקף באוגוסט הקרוב, קובע לראשונה חובה למנות ממונה על הגנת פרטיות (DPO) בגופים מסוימים. זהו עקרון חשוב, ההולך בעקבות ה-GDPR האירופי, המבקש להנכיח אחריות מקצועית בארגון לנושא פרטיות. ואולם, החוק אינו מבטיח עצמאות מבנית לתפקיד, לא מציין חובת כפיפות לדירקטוריון, ואינו מקנה לממונה סמכויות ביצוע או כלים אופרטיביים לבקרה ואכיפה פנימית. כך, דמות ה-DPO עלולה להפוך לסמל, אך לא לשחקן משמעותי בזירה הניהולית.

במקביל, תיקון 16 לחוק תובענות ייצוגיות, המצוי עדיין בשלב תזכיר, מבקש לאפשר הגשת תביעות ייצוגיות בגין פגיעות בפרטיות - אך ניסוחו מצמצם את ההגנות בפועל: הוא דורש רף הוכחה עמום, ואינו קובע בבירור האם עצם דליפת מידע מהווה עילה מספקת לפיצוי. מדאיג עוד יותר הוא המנגנון המוצע לגופים ציבוריים: אם תוך 120 יום "תוקנה" ההפרה - תידחה הבקשה לאישור תובענה, גם אם התקלה הייתה חמורה.

שני התיקונים - 13 ו־16 - מציגים הכרה פרגמטית בחומרת הבעיה, אך מגלמים חשש לגעת בלב הפתרון: אחריות מוסדית, בקרה ממשית, ויכולת פיצוי אפקטיבית לנפגעים. הם מעניקים לגיטימציה לעיסוק בנושא, אך אינם משנים את כללי המשחק.

sheen-shitof

עוד בוואלה

קק"ל מעודדת לימודי אקלים באמצעות מלגות לסטודנטים צעירים

בשיתוף קק"ל

ומה קורה בעולם?

בעולם המערבי, הזכות לפרטיות היא עיקרון יסוד רגולטורי: ה־GDPR באירופה וה־CCPA בקליפורניה יצרו סטנדרטים מחייבים לדיווח, שימוש ואבטחת מידע, כולל חובת דיווח תוך 72 שעות וקנסות של עד 4% מהמחזור.

בארה"ב, דליפת מידע לבדה - גם ללא נזק מוכח - מהווה עילה לפיצוי בתביעות ייצוגיות. בישראל, לעומת זאת, הרגולציה מתקדמת באיטיות, ונוטה להעדיף את טובת הארגון על פני ההגנה על הפרט.

הפתרון: לא רק פיצויים - אלא אחריות

כדי להוביל שינוי אמיתי, נדרשת חקיקה שתחייב מנגנוני בקרה אפקטיביים, ממונים עם סמכויות ואחריות אישית של הנהלות. הנהלות צריכות להבין שאירוע סייבר איננו כשל טכנולוגי בלבד - הוא כשל ניהולי. זהו אירוע שבו הארגון לא הכיר כיאות בסיכונים, לא נקט באמצעי הגנה סבירים, ולעיתים אף לא טרח להבין את חומרת החשיפה.

במציאות זו, שבה בית המשפט מאמץ הסדר מחמיר, הנהלות אינן יכולות להרשות לעצמן להמתין למחוקק. הן מתבקשות לפעול מעבר לדרישות החוק המפורש: להקים ועדות מייעצות פנימיות בתחום פרטיות ואבטחת מידע, לנסח מדיניות שימור ומחיקה אחראית של נתונים, ולקיים הערכות פרטיות שיטתיות (Privacy Impact Assessments) המלוות בתיעוד והצגת מסקנות להנהלה ולדירקטוריון - כל זאת במטרה לצמצם את החשיפה המשפטית ולהבטיח ניהול אחראי ופרואקטיבי בעידן של משברים מתמשכים.

הפרטיות אינה מותרות - היא זכות בסיסית, והיא גם אחריות ניהולית. ארגון שלא יאמץ את הכלים המתאימים, עלול לגלות שהתגובה הבאה תגיע לא רק מכותרת עיתון - אלא מאולם בית המשפט.


הכותבת היא עו"ד הדס תמם אברהם ראש מכון המחקר לסיכוני סייבר בקריה האקדמית אונו וחברת נשיאות לשכת טכנולוגיות המידע

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully