פלוני נ' פרטנר: פיקוח על עובדים עם גישה למאגרי מידע, וקצת על PBD.

במשפט יש אמירה: "עובדות רעות יוצרות הלכות רעות". כלומר, הרבה מאוד פעמים אתה מגיע לבית המשפט כאשר משפטית אתה צודק, אבל העובדות כל כך נגדך שבית המשפט יפסוק נגדך גם אם החוק לצדך. במשפט הישראלי ראינו לא מעט דוגמאות לכך, כאשר לדוגמא בית משפט הטיל אחריות על מפעילי פורום אינטרנטי כאשר החוק אמור להטיל עליהם חסינות, רק בגלל שהם שינו את העובדות והתערבו בתכנים (תא 176992-09 אתי טל אברמוב נ' אביב פרנקל); כאשר בית המשפט מאמץ את דעתו של מומחה שטוען שתוכנה מסוימת מסוגלת לעשות משהו למרות שהוא לא בדק את קוד התוכנה (ת"א 1386/06 ז'קונט אמנון נ' האפרתי ואח') ולא חסרות עוד דוגמאות.

לכן, המקרה בו עובדות רעות מייצרות הלכה טובה הם נדירים במיוחד. והמקרה של א 8238-05-11 פלוני נ' פרטנר הוא מקרה כזה. המקרה של פלוני פשוט מאוד: נציגת מכירות הגיעה לבית משפחת פלוני ודיברה עם הגברת פלוני, והציעה לה להצטרף לחברת פרטנר. במהלך ההצעה, היא הציגה לגברת פלוני את חשבון הטלפון של אדון פלוני, שכלל גם את "המספרים המובילים" שלו: חמישה המספרים אליהם מחייג אדון פלוני בצורה תכופה.

מכאן, אדון פלוני, לדברי בית המשפט, הפריז בדבריו: לטענתו, המקרה גרם לכך שבני הזוג פלוני חוו משבר, עמדו בפני הליכי גירושין ועסקיו קרסו. כמו כן, אדון פלוני הגיש את התביעה באיחור ניכר: בעוד שתקופת ההתיישנות על פי חוק הגנת הפרטיות הינה שנתיים, פלוני הגיש את התביעה בשנת 2011 (אחרי שפעמיים ניסה לתבוע את פרטנר, והתביעה נמחקה בהעדר תשלום אגרה וכדומה).

היפה במקרה הזה הוא שבית המשפט לא נותן לטענות הלא רלוונטיות של פלוני לבלבל אותו ולפסוק פסיקה רעה. כב' השופטת יעל בלכר נוטלת צעד אמיץ וקודם כל מנתחת האם יסודות העוולה של פגיעה בפרטיות מתקיימות, וקובעת שכן. רק אחרי שקבעה שהתקיימה פגיעה בפרטיות, היא מסבירה כי לא תוכל להושיט סעד עקב ההתיישנות. אגב, זו לא הפעם הראשונה שמכשול השנתיים בפגיעה בפרטיות מונע מתביעות מעניינות להתברר (תא 69548/07 הנהלת בתי המשפט נ' חסיד עדנה טל).

אבל, לאחר כל הקביעה של התיישנות, בית המשפט דן בנושא נוסף, והוא האחריות של פרטנר על פגיעה בפרטיות שבוצעה על ידי עובדיה במסגרת עוולת הרשלנות. בית המשפט פוסק כי בצורה אקטיבית על פרטנר לצאת מנקודת הנחה שעובדיה עומדים להפר את החוק, ולכן עליה לפקח על הפעילות של העובדים במאגרי המידע:

"היה על פרטנר לצפות בגדר הסביר אפשרות לשימוש לא-מורשה של עובדיה במידע ותוך חריגה מהוראותיה (והוראת הדין). פרטנר לא הציגה הכשרות הספציפיות שניתנות לעובדי "מדלת לדלת" בכלל, אם היו כאלה, ומהן ההכשרות שקיבלה הנתבעת, בפרט. לא הוצגו גם אמצעי פיקוח ובקרה שמפעילה פרטנר, אם בכלל, על נציגי "מדלת לדלת", לרבות הנתבעת. הכל בשים לב למיוחדות המאפיינת את תפקידם שמתבצע מחוץ לנקודות השירות של פרטנר, שלא תחת עינם הפקוחה של מנהלים בדרגות שונות, מבלי שיש תיעוד לפניות וכו', כשבידם מחשב נייד הכולל מאגר מידע ביחס ללקוחות"

בעצם, בית המשפט מאמץ את הפרשנות שמופיעה בטיוטאת תקנות אבטחת מידע, לפיה כל גישה במאגרים רגישים תהיה מתועדת (תקנה 10) וכי יש לקיים הדרכות שוטפות לעובדים כנגד שימוש לרעה במידע.

אבל, צריך להזהר: דווקא כאן, בית המשפט לא פוסק כי פרטנר התרשלו כיוון שלא יזמו מנגנון של Privacy By Design. כלומר: לטעמי, הקביעה צריכה היתה להיות שהרשלנות היא בעיצוב המערכת, לא בהעדר הפיקוח. אם פרטנר היו מעצבים את המערכות שלהם בצורה שלא תאפשר לעובדים גישה למידע לא נחוץ, הרי שבעצם כל התביעה היתה מתייתרת, כי לעובדים לא היתה אפשרות לפגוע בפרטיות.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *