בית המשפט המחוזי בתל אביב אישר הסכם פשרה בתובענה ייצוגית בין חברת החשמל לבין שני אזרחים שטענו לפגיעה בפרטיותם. התביעה התבססה על כך שלטענת התובעים, חברת החשמל - כמו גם רכבת ישראל - שנגדה ממשיכה להתנהל תביעה, העבירו מידע אישי אודותיהם לחברת פייסבוק (META), בלי לקבל את הסכמתם ומבלי לגלות זאת כנדרש.
מה עומד מאחורי הטענה החמורה הזו? התובעים ערכו בדיקה בעזרת הכלי OFF-Facebook Activity שמאפשר לכל משתמש לראות אילו אתרים ואפליקציות שיתפו מידע עליו עם פייסבוק. הם הופתעו לגלות כי מידע עליהם עבר מחברת החשמל ומרכבת ישראל, בין היתר מידע אישי שכלל אינדיקציות על קבלת שירותים, זמני שימוש באפליקציה, וצפייה בעמודים ספציפיים.
מהעתירה מתברר כי באתר חברת החשמל "מדיניות הגנת הפרטיות" נחבאת אי-שם באתר, ורק בחיפוש הביטוי "מדיניות הגנת הפרטיות" ניתן להגיע אליה. בכך לא מסתיים המחדל, במדיניות נכתב בין היתר כי "האתר משתמש בעוגיות לצורך תפעול השוטף והתקין ... כאשר המבקר משתמש באתר, יתכן ומידע מסוים מושתל במחשב. קצת מאיים? (כך נכתב במקור)".
באתר רכבת ישראל אין כלל מסמך "מדיניות פרטיות" אלא רק "תקנון האתר" .
חשיפה זו מעלה שורה של בעיות משפטיות מהותיות. חוק הגנת הפרטיות מטיל על גופים וחברות חובה להשתמש במידע אך ורק לצרכים שלשמם הוא נאסף, להימנע מהעברתו ללא הסכמה מפורשת, ולנקוט אמצעים למניעת זליגה או חשיפה לא מורשית. על חברות ממשלתיות כמו רכבת ישראל וחברת החשמל, המחזיקות במאגרים ענקיים של מידע רגיש, החובה חלה ביתר שאת.
לפי החוק, לכל אדם יש גם זכויות ביחס למידע - הוא רשאי לדעת איזה מידע נשמר עליו, לבקש תיקון מידע או מחיקה במקרים מסוימים, ולפנות לבית המשפט או לרשות להגנת הפרטיות במקרה של הפרה. כאשר מדובר בחשיפה לגורם מסחרי כמו פייסבוק - הידוע באיסוף המידע הנרחב שלו - המשמעות חריפה אף יותר.
במקרה של חברת החשמל, הסכם הפשרה הביא לשורת צעדי יישום ותיקון: הצגת מדיניות הפרטיות בעמוד הראשי באתר, אפשרות לסירוב לשימוש ב"עוגיות" שאינן חיוניות, מינוי קצין הגנת פרטיות (DPO), הגברת בדיקות סייבר ושליחת חומרי הסברה בנושא ללקוחות. החברה נאלצה גם לשלם גמול ושכר טרחה בסך כולל של 140,000 שקל.
חשוב בהזדמנות זו להזכיר שתיקון 13 לחוק הגנת הפרטיות, אשר ייכנס לתוקף באוגוסט 2025, יחמיר עוד יותר את החובות על חברות וגופים ציבוריים. לא רק זאת, אלא שהפרות של החוק יעלו למפרים הרבה יותר כסף, וזאת בעקבות קביעת עיצומים כספיים שעשויים להגיע למאות אלפי שקלים.
הלקח הוא ברור, על חברות וארגונים ציבוריים להתאים את עצמם למציאות החדשה, שבה פגיעה בפרטיות נאכפת בקפידה, ולהפרות יש 'תג מחיר' משמעותי. יש להבין כי הבסיס לכל עיבוד מידע הוא קבלת הסכמה לפי החוק, וכמו כן שקיפות וגילוי ביחס למטרות איסוף המידע, הגורמים שאליהם עובר המידע, זכויות האנשים ועוד.
אזרחי ישראל זכאים לדעת מה נעשה עם המידע שלהם, במיוחד כשמדובר בגופים שמופעלים בכספי ציבור ולמען הציבור. שקיפות, הגינות ואחריות אינן בגדר המלצה - הן חובה.
הכותב עוסק בהגנת פרטיות, אבטחת מידע, דיני אינטרנט ובינה מלאכותית.