בעת האחרונה אנו עדים למתקפות סייבר הולכות וגוברות על אתרים. לפי פרסומים, אחד ממשרדי עוה"ד הגדולים בישראל (גולדפרב) הותקף פעמיים, אתר נדל"ן גדול הותקף גם הוא והחשש הוא כי מתקפות כאלה יילכו ויתגברו.
נשאלת השאלה האם יש אחריות לעסק הנפרץ כלפי הלקוחות להם הוא מעניק שירות, בין אם מדובר במשרד עו"ד או בכל עסק שמחזיק מאגר נתונים אחר. באופן תיאורטי, אם נגרם נזק ללקוחות, הם יכולים ועלולים לתבוע את המשרד או החברה שנפרצה. במקרה כזה, בית המשפט יבחן בראש ובראשונה, את עניין הרשלנות: האם ננקטו אמצעי זהירות מתאימים; האם הגנות הסייבר היו נכונות ובטוחות; האם היה מידור של חומרים רגישים; האם לכולם הייתה גישה לחומרים; האם למשל אפשרו לעובדים לבצע עבודה מרחוק, והאם זה לא יצר פרצה; האם פעלו על סמך המלצות מרכז הסייבר או לשכת עורכי הדין; האם היו אמצעי זהירות כדי לאתר את הפריצה מיד לאחר שקרתה או שכלל לא ידעו עליה עד שלא דווח להם ממרכז הסייבר. שאלות אלה ייבחנו במיוחד לאור גודל החברה והנזק שנגרם.
מעבר לכך, יש להניח שתהיה בחינה רגולטורית: האם רשמו מאגרי מידע (נושא שדורש השקעה של כסף וזמן ולא כל החברות עושות את זה); האם היו תקנונים מתאימים לשמירת נתונים והאם העובדים יודעו בעניין זה (למשל, כל מתמחה חדש שהגיע למשרד עוה"ד). צריך לזכור שביחס לעורכי דין יש הוראות של ועדת האתיקה של לשכת עורכי הדין. למשל, לגבי איזה מייל מותר לך להשתמש (יש משרדים שלא יכולים לקבל ג'מבו מייל מטעמי אבטחה).
חשיפה מוגברת
כל תביעה, ככל שתהיה, תסתמך גם על רשלנות, גם על הפרות חובות חקוקות (אם היו) וייתכן גם שבהיבט של אחריות, שהרי אם לקוח שלח מידע לחברה שמחויבת על פי דין לשמור עליו - הרי שמעבר לחוק הגנת הפרטיות יש גם חובות המוטלות על עורכי דין.
הנזקים יכולים להיות אדירים. בחלק מהמקרים יהיה קשה ללקוחות לתבוע כיוון שיצטרכו להוכיח נזקים שנגרמו להם. אבל במקרים אחרים הנזק הוא לא קשה מאוד להוכחה. נניח שאני משתתף במכרז כלשהו ונתתי למשרד עורכי הדין שמייצג אותי מידע על ההצעה שלי. עכשיו, לאחר הפריצה, ההצעה שלי חשופה לשוק ולכן המתחרים שלי מציעים הצעות טובות יותר. או למשל, אם עמדתי לרכוש מפעל במחיר מסוים, שעליו התנהל משא ומתן, אז לאחר הפריצה יידע המוכר שאני למעשה מוכן לשלם יותר ממה שהצעתי.
כמובן גם שיכול להיות מידע (בוודאי אצל עורך דין) על עניינים מאוד אישיים של לקוחות ואפילו תמונות מביכות שלהם. רק לאחרונה פורסם פסק דין שאומר שאישה לא צריכה להודיע לבעלה על כך שהילד הוא לא שלו, ובעבר ניתן פסק דין שגבר לא צריך להודיע לאישה לפני שהוא מתחתן איתה מה הנטיות המיניות שלו. ייתכן שחומר כזה אצל עורך דין, הוא מידע מאוד אישי ורגיש, שכעת נמצא בחוץ.
אני יכול לציין שבמשרד שלי כאשר אנשי המיחשוב טיפלו בנושא הפרטיות, שאלו אותנו אם אנחנו מחזיקים נתונים על נטיות מיניות של לקוחות. התשובה היא שכמשרד שעוסק בנזקי גוף, כמובן שכן. זה עשוי להיות רלבנטי. למשל, יש לנו תיק שאנחנו תובעים שוטר ואת המשטרה, על כך שהפיצו את העובדה שמתלוננת היא טרנסג'נדרית, ועקב הפרסום המשפחה ניתקה את היחסים איתה. בעבר הגשתי תביעה בשם אישה שעברה ניתוח הקטנת חזה בבית חולים הדסה, ומחלקת התה שגרה באותה העיר כמו המנותחת, עיינה בתיק. לאחר מכן מחלקת התה פגשה את אחותה של הלקוחה ושאלה אותה "מה שלום אחותך". האחות, שלא ידעה מהניתוח, ענתה שהיא חולה בשפעת. מחלקת התה גיחכה ואמרה שהיא עברה הקטנת חזה, דבר שגרם שבר משפחתי במשפחת התובעת. הגשנו תביעה כנגד מחלקת התה וכנגד הדסה, ושולמו פיצויים.
הכותב הוא בעל משרד המתמחה בדיני נזיקין ומרצה באוניברסיטה העברית