Share
פעילות האקרים טורקים הובילה לגניבת מידע של למעלה ממאה אלף ישראלים ופרסומו ברשת. מחבר המאמר בוחן את סוגיית מאגרי המידע מן הפאן המשפטי לרבות ההשלכות הנוטלות על כתפי בעלי, מחזיקי ומנהלי המאגרים.

לאחרונה פורסם כי האקרים טורקים חדרו למספר אתרי אינטרנט ושאבו מידע המכיל בעיקר כתובות דוא"ל וסיסמאות. התברר גם כי ההאקרים פרסמו ברשת את הנתונים שנגנבו ואפשרו לכל מי שחפץ להעתיקם. אין ספק כי מדובר במקרה חמור ביותר אשר לא היה אמור להתרחש, במיוחד ככל שנוגע לרמת אבטחת המידע באתרים הגדולים. יחד עם זאת, יש בכך ברכה מסוימת. פרסום המקרה יוביל, לכל הפחות, לבדיקה מחודשת של אבטחת המידע באתרי האינטרנט הישראלים, אלה שנפגעו ואלה שעדיין לא נפגעו. כך בפעם הבאה, כאשר יתבצע ניסיון נוסף לפגוע בנו, נהיה יותר מוכנים, כך לפחות אני מקווה. 
 
לאחר שהתברר כי מדובר בגניבה של למעלה ממאה אלף כתובות דוא"ל וסיסמאות, החלו לזרום השאלות ורבים תהו האם יש בידם עילת תביעה נגד בעלי האתרים שנפרצו ואף היו כאלה ששאלו האם ניתן לתבוע את מי שהעתיק את המידע מן הטורקים. עד ליום כתיבת מאמר זה, לא פורסם כי נפתחו הליכים משפטיים נגד מי מבעלי, מחזיקי ומפעילי האתרים. למרות זאת, כדאי לדעת כי מחדל בסדר גודל שכזה עלול להוביל להליכים משפטיים אזרחיים ופליליים אשר בסופם יכולים הנתבעים לשלם פיצוי של מיליוני שקלים והנאשמים עלולים אף לשהות תקופה לא מבוטלת מאחורי סורג ובריח. 
 
זו הזדמנות מצוינת להזכיר לכל אלה אשר מחזיקים מידע לגבינו, כי ליתרונות יש גם מספר חובות. לאור קוצר היריעה נסקור בקצרה רק את ההסדרה הרלוונטית בחוק הגנת הפרטיות, התשמ"א – 1981, והשלכותיה על בעלי, מחזיקי ומנהלי מאגרי מידע. פרק א` לחוק, מתמקד בהגנה על פרטיות אישית וקובע באופן ברור ושאינו משתמע לשני פנים כי אין לפגוע בפרטיותו של אדם ללא הסכמתו. פרק ב` לחוק מסדיר את כל הנוגע למאגרי מידע ובין היתר גם בעניין הגנה על הפרטיות במאגרי מידע.  
 
על פי חוק הגנת הפרטיות, מאגר מידע הינו אוסף נתוני מחשב הכוללים נתון אחד או יותר על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו. משכך, לא כל אוסף נתונים נחשב כמאגר מידע. במידה ומן הנתונים במאגר ניתן לבצע אפיון לגבי אדם באופן שיש בו כדי לפגוע בפרטיות, הרי שמדובר במאגר מידע. החוק ממשיך וקובע כי אוסף נתונים לא יחשב כמאגר מידע אם מדובר באוסף לשימוש פרטי או שהאוסף כולל שם, מען ודרכי התקשרות בלבד. מבחינת החוק אוסף שכזה אינו יוצר אפיון שיש בו כדי לפגוע בפרטיות ולכן אינו נחשב כמאגר מידע.
 
החוק ממשיך ומפרט באילו תנאים חובה לרשום את מאגר המידע אצל רשם מאגרי המידע. כך למשל (1) כאשר מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000 (2) המאגר מכיל מידע רגיש (3) המאגר מכיל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם (4) המאגר משמש לשירותי דיוור ישיר. יש לשים לב כי ככל שנוגע לדיוור ישיר, גם במקרה זה על הנתונים להכיל לפחות מאפיין אחד המשייך את בני האדם ששמותיהם כלולים במאגר לקבוצת אוכלוסין מסוימת. 
 
בין אם מאגר המידע אמור להירשם, נרשם בפועל או לא נרשם כלל, כל עוד אוסף הנתונים שנגנב מאחד האתרים, נכנס בהגדרת מאגר מידע בחוק הגנת הפרטיות, הרי שעל פי סעיף 17 לחוק - הבעלים המחזיק ומנהל מאגר המידע אחראים לאבטחת המידע במאגר ועליהם להגן על המידע מפני חשיפה, שימוש או העתקה של המידע ללא הרשאה.  
 
כאמור, אסור להחזיק, לנהל או להשתמש במאגר שעונה על אחד מן התנאים בחוק. לכן אם מי מן המאגרים שנגנבו על-ידי הטורקים, נכנס בהגדרת מאגר מידע, מתאים לאחד מתנאי החוק ומאגר זה לא נרשם אצל רשם מאגרי המידע, מוטב כי בעלי האתר יפנה ליעוץ משפטי באופן מידי. אי רישום מאגר מידע מהווה עבירת אחריות קפידה ואי רישום המאגר גורר אחריו באופן אוטומטי כמעט, שנת מאסר. זאת גם אם המנהל, המחזיק או המשתמש במאגר בכלל לא ידעו שקיימת חובה לרשום את המאגר.  
 
ככל שנוגע להליכים אזרחיים, הנפגעים יכולים לתבוע פיצוי כספי מכל מן הבעלים ו/או המחזיק ו/או מנהל מאגר המידע. כך למשל, אדם אשר פרטיו הוחזקו במאגר ונתוניו נגנבו, יכול לתבוע בגין פגיעה בפרטיותו (פרק א` לחוק). לרשותו עומד פיצוי סטטוטורי שאינו מצריך הוכחת נזק בסך 50,000 ₪. במקרה זה על הנפגע להוכיח קיומן של שלוש עובדות (1) המידע במאגר נוגע לענייניו הפרטיים של הנפגע (2) קיימת חובת סודיות בין הנפגע לבין בעל המאגר בהסכם מפורש או משתמע (3) בעל המאגר הפר את חובת הסודיות בכך שהתרשל בהגנה על המידע.
 
בעניין ההסכם המשתמע, הרי שגם אם לא נכרת הסכם כלשהו בין בעלי המאגר לבין אלה שנתוניהם נמצאים במאגר, ככל שהמידע יהיה פרטני ואישי יותר, סביר מאוד להניח כי בית המשפט ימצא כי קיימת חובת סודיות. כל שנותר יהיה להוכיח כי אמצעי האבטחה בכדי למנוע זליגתם לצדדים שלישיים לא מורשים אינם ראויים בהתחשב בנסיבות העניין. מאחר והמידע כבר נגנב, סביר להניח כי נטל ההוכחה יעבור לכתפיו של בעלי המאגר ויהיה עליו הוכיח כי לא התרשל בהגנה על המידע. הוכחה זו של היעדר רשלנות, אינה פשוטה כלל ועיקר. בחלק מן המקרים, לבעלי המאגרים אין תיעוד וראיות מספיקים בכדי לעמוד בנטל זה.
 
אפשרות נוספת היא לפתוח בתביעה נזיקית לפיצוי כספי בגין אי רישום מאגר ו/או רשלנות בהגנה על המאגר (פרק ב` לחוק). בכדי לקבל פיצוי כספי, יהיה על התובע להוכיח כי נגרם לו נזק באופן דומה לכל תביעת נזיקין רגילה. גם עגמת נפש, בזבוז זמן וכיו"ב נחשבים כנזק וכל שצריך הוא לכמת את הנזקים ולשכנע את בית המשפט מהו הסכום הראוי  לפיצוי הנפגע בגינם. גם במקרה זה, השאלה המרכזית במשפט תהיה האם בעלי האתרים שמהם נגנבו המאגרים, הגנו על המידע באופן ראוי.
 
לגבי אלה אשר העתיקו את המאגרים שפורסמו על-ידי הטורקים. מבחינת החוק, הם מחזיקים במאגר מידע לכל דבר ועניין וסביר להניח כי גם ברכוש גנוב. לכן, אחזקת מאגר מידע שכזה ו/או שימוש כלשהו בו עלולים להוביל להליכים משפטיים די דומים לאלה שיכולים להיפתח נגד בעלי, מחזיק ומנהל מאגר המידע. בעניין זה נזכיר כי לאחרונה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים הטילה קנסות בגובה מאות אלפי שקלים על מספר חברות שעשו שימוש  בעותק לא חוקי של מאגר מידע המכיל נתונים אודות אזרחי מדינת ישראל.  
 
לסיכום, קחו לתשומת לבכם כי הטורקים עשו לנו רק טובה והאירו על מצב בעייתי במיוחד בו אתרים גדולים, המחזיקים מידע כזה או אחר על עשרות אם לא מאות אלפי ישראלים, נפרצו והמידע נגנב מתוכם. זה הזמן לעשות בדק בית ואם יש לכם מאגר מידע כלשהו, מוטב כי תבחנו  האם המידע מוגן ותדאגו לשדרג את אבטחת המידע על בסיס קבוע. כמו כן, בדקו היטב את מעמדו המשפטי של המאגר והאם עליכם לרשום אותו על שלל המשמעויות הנובעות מכך. בפעם הבאה זה עלול להתרחש אצלכם ואז אם חס וחלילה בכל זאת הצליחו לחדור לאתרכם, לכל הפחות כדאי שתחזיקו בראיות מספקות כדי לשכנע כי  לא התרשלתם. ראו הוזהרתם.    
25/07/2010חדשות
ארצות הברית  | מנהל התרופות האמריקני מזהיר מפני פריצה לציוד רפואי  
בינלאומי  | האם סין מאחורי גניבת המידע של RSA?  
ארצות הברית  | TJX מגיעה לפשרה עם 41 מדינות  

מאמרים
ארצות הברית  | האם מאגר ביומטרי באמת יפחית את גניבות הזהות?  
ארצות הברית  | האח הגדול בממלכת הילדים  
בינלאומי  | היכן היינו, עכשיו ובעתיד  

פסיקה
ישראל  | ע``פ 4354/07 (מחוזי ב``ש) גבאי שמעון נ` מדינת ישראל – מח``ש  
ישראל  | בש``א 17537/07 (מחוזי ת``א) ארתור פרנק ואח` נ` אולסייל.קום בע``מ  
ישראל  | בש``א 22526/06 (מחוזי ת``א) לשכת עורכי הדין בישראל נ` איילון חברה לביטוח בע``מ  

חקיקה
ישראל  | חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע - 2009  
ישראל  | מאגר מידע שיכלול את פרטיהם האישיים של נהגים שרשיונם נפסל  
ישראל  | הצעת חוק פרסום הרשומות באינטרנט, התשס``ה 2005  

מקורות מקוונים
ישראל  | יומן אבטחה-הבלוג של עומר טרן  
אוסטרליה  | Biometrics Institute -עמותת הטכנולוגיה הביומטרית בדרום הפסיפיק  
ארצות הברית  | NBCP - תאגיד אמריקני לטכנולוגיות זיהוי ביומטרי  


מדורים

 

קניין רוחני

לשון הרע

מידע כללי

הגנת הפרטיות

מסחר אלקטרוני

זכויות יוצרים

לשון הרע

אילון ושות` עורכי דין

דואר זבל

מניות, ניירות ערך

סימני מסחר

תביעת לשון הרע

אודות דיני רשת

משרדי עורכי דין

מונופולין, הגבלים עסקיים

פטנטים

לשון הרע בפייסבוק

ניהול משברים

קניין רוחני

שמות מתחם

 

 

חוקרים פרטיים

סקס פורנוגרפיה

דואר אלקטרוני

סוגיות בזכויות יוצרים

פלילים

מומחים יועצים

שיתוף קבצים

עבודה

זכויות יוצרים בתמונות

עבירות מחשב

עו"ד אביב אילון

מנהל סחר אלקטרוני

ריגול ומעקב

זכויות יוצרים במוזיקה

עבירות אינטרנט

יעוץ משפטי

הימורים

ספקי שירותים

זכויות יוצרים בתוכנה

הונאה

 

סמכות שיפוט

טרור קיברניטי

זכויות יוצרים בוידאו, סרטים וטלויזיה

פלילים

 

בורורות גישור

מנועי חיפוש באינטרנט

זכויות יוצרים בפרסום

 

 

פדופיליה

ילדים

רישום זכויות יוצרים

 

 

אתיקה

נשים

שמירת זכויות יוצרים

אינדקס ויזואלי


בחירות אלקטרוניות

גברים

 

קטעי וידאו


מילון מונחון

משפחה

 

חדשות עיתונות


אנונימיות

פורומים

 

משרדי עורכי דין


נוטריון

חברת המידע

 

משפטים


חוזים הסכמים

ננו טכנולוגיה

 

 


מכשירים חכמים

גירושין

 

 

 

 

 

 

 

 

 

 

          שותפי תוכן 

 

 

פטנטיםתאונת אופנוע | תאונות דרכים | תוכנית עסקית

 

© כל הזכויות שמורות לעו"ד אביב אילון 1999-2019