ייצוגית: 10 תובעים נגד 4 בנקים, 7 חב’ ביטוח ו- 4 חב’ אשראי [“הגופים הפיננסיים החזקים במשק”]: העברה לכאורה של מידע פרטי, אישי וסודי של הלקוחות ללא הסכמתם – לצדדי ג’

לבית-המשפט המחוזי בתל אביב הוגשה תביעה (ובקשה לאשרה כתובענה ייצוגית לפי חוק הבנקאות) נגד 4 בנקים, 7 חב’ ביטוח ו- 4 חב’ אשראי. זאת בגין “עוולות חמורות מועבר מידע פרטי, אישי וסודי של לקוחותיהם, ללא הסכמת הלקוחות, ותוך פגיעה קשה וחסרת תקדים בזכות הלקוחות לפרטיות  — לצדדים שלישיים”.

התובעים בתיק זה הם: עו”ד אריה שטרן, עו”ד עודד יצחקי [שניהם במשרד עו”ד מישר], רועי תורג’מן [סמנכ”ל תוכן במשרד פרסום], דניס רוזנשטיין [מהנדס כימיה וכלכלן], רוני וטלמכר [מהנדס אלקטרוניקה], נורית רונן [עובדת סוציאלית קלינית], עו”ד ליעד מרציפרו [שותף במשרד עו”ד מישר], בועז אליאס [חוקר פרטי], עו”ד עידו נגר, רונית שמחי [שכירה] ופבל גורביץ [מהנדס מכונות].

הנתבעים הם: בנק לאומי לישראל, בנק מזרחי טפחות, בנק אוצר החייל, הבנק הבינלאומי הראשון לישראל, הראל השקעות בביטוח ושירותים פיננסיים, הפניקס חברה

לביטוח, אלטשולר שחם,  מגדל חברה לביטוח, מנורה מבטחים פנסיה וגמל, מיטב דש גמל ופנסיה, פרימיום אקספרס, מקס איט פיננסים, כרטיסי אשראי לישראל וישראכרט.

בכתב הטענות נאמר בין היתר כי “עניינה של הבקשה בשורה של עוולות חמורות שמבצעים המשיבים, הגופים הפיננסיים החזקים במשק, במסגרתן מועבר מידע פרטי, אישי וסודי של לקוחותיהם, ללא הסכמת הלקוחות, ותוף פגיעה קשה וחסרת תקדים בזכות הלקוחות לפרטיות ובחובות המוטלות על המשיבים עפ”י דין, לצדדים שלישיים”.

לכתב התביעה צורפה חוות דעת מפורטת מטעם  פרופ’ אמיר הרצברג, “פרופסור למדעי המחשב ומומחה בינלאומי בתחום אבטחת המידע והפרטיות”. הוא החל עבודתו על חוות הדעת בחודש אפריל 2020.

בכתב התביעה נאמר בין השאר כי “המבקשים הינם לקוחות המשיבים, אשר עשו שימוש בשירותים הדיגיטליים באתרי האינטרנט וביישומונים שמפעילים המשיבים. מפעם לפעם נדרשים המבקשים להיכנס לחשבון ו/או לאיזור האישי שלהם באתרי האינטרנט וביישומונים לצורך נקיטת פעולות מסויימות ו/או לשם בירור וקבלת מידע אישי המצוי בחשבון האישי. הגישה לחשבון האישי מתאפשרת אך ורק לאחר הקלדת שם משתמש וסיסמא אישיים וסודיים הניתנים באופן דיסקרטי לבעל החשבון הרלבנטי בלבד ו/או לאחר נקיטת אמצעי אבטחה אחרים שנקבעו ע”י המשיבים (למשל קוד סודי באמצעות הנייד, טביעת אצבע וכו’). הטעם לכך ברור – מדובר בחשבונות אישיים המכילים מידע פרטי, רגיש ואישי ביותר המחייב רמת אבטחה גבוהה לאור ההשלכות האפשריות של זליגת מידע לגורמים לא מורשים”.

“ודוק, למבקשים נודע כי גם בעת הגלישה באיזור האישי, הכולל כאמור מידע אישי, פרטי וסודי, עובר מידע שכזה לצדדים שלישיים. למבקשים אף נודע כי בזמן השימוש בשירותים הדיגיטליים המוצעים ע”י מרבים הגופים הפיננסיים הגדולים במשק, מידע פרטי מתוך חשבונותיהם עובר לצדדים שלישיים, כמובן ללא ההסכמה  המפורשת של הלקוחות”.

לדברי כתב התביעה, בהתבסס על חוות דעת מומחה, “מידע פרטי של לקוחות המשיבים ובהם המבקשים מועבר ע”י המשיבים לצדדים שלישיים, ובפרט לחברת גוגל ולשירות הפרסומות שלה. זאת, בין היתר, במסגרת השימוש שעושים המשיבים בשירות האנליזה של גוגל (Google Analytics), שירות חינמי לניתוח פעילות לקוחות באתרי אינטרנט”.

“הממצאים כפי שעולים בחוות הדעת, מקוממים במיוחד משום שמסתבר כי המשיבים, במטרה ברורה לחסוך בעלויות הקמה ו/או רכישה של תוכנות פילוח סטטיסטיות שאינו מאפשר העברה של המידע הפרטי לצדדים שלישיים, בוחרים לעשות שימוש בשירות חינמי, לרבות גוגל אנליטיקס, שמאפשר ניתוח לקוחות בחשבון האישי באתרי האינטרנט וביישומונים שלהם, כאשר בתמורה מוכנים המשיבים ‘לחלוק’ במידע פרטי אודות לקוחותיהם הגולשים והמשתמשים באתר וביישומונים, ולכל הפחות עוצמים עיניים ביחס לעובדה זו”.

“בהקשר זה יודגש כי למבקש 1 אף התברר כי חלק מגופים פיננסיים אלה שנתבעים בהליך זה, מודעים לכך שמידע פרטי עובר מהחשבון האישי של הלקוחות לצדדים שלישיים. אותם גופים אף החלו לבצע ניסיונות לתקן מחדל חמור זה.

“כך, למשל, התברר כי המשיב 1 (בנק לאומי) נקשר עם חברה בשם qprivacy המתמחה בעניין וזאת לשם התמודדות עם זליגת מידע זה. בעניין זה אף נודע למבקש 1 כי בנק דיסקונט, להבדיל מהמשיבים דכאן, כשגילה את סוג והיקף המידע שעובר לצדדים שלישיים, החליט לנתק את החיבור לצדדים שלישיים ולמנוע לחלוטין עברת מידע כלשהו עד שיימצא פיתרון לבעייה“.

בתצהיר שצורף לכתב התביעה מאשר עו”ד אריה שטרן את הדברים וציין כי “[…] הפיתרון של qprivacy מוצג בסלוגן: take back control of data outflow. באמצעות הכלים של החברה, חברות מסחריות יכולות לנהל את מדיניות הפרטיות הרצוייה כלפי צדדים שלישיים כגון גוגל אנליטיקס, באמצעות חסימה ואנונימיזציה של המידע המועבר לצדדים שלישיים”.

“[…] הלקוחות ובכלל זה המבקשים לא מעלים בדעתם כי גם מידע פרטי הנוגע לפעולות המבוצעות על-ידם בחשבון שלהם באיזור האישי עובר לצדדים שלישיים, חיצוניים. הדברים חמורים במיוחד  שעה שהמשיבים לא מתריעים בפני לקוחותיהם כי הם חולקים עם צדדי ג’, גם מידע פרטי שלהם, זאת בפרט כאשר אין מחלוקת שמדובר במידע חסוי ורגיש במיוחד הנוגע, בין היתר, למצבם הכלכלי של הלקוחות”.

“כפי שמפורט בחוות הדעת, המידע שעובר מאתרי ויישומוני המשיבים לגוגל אנליטיקס כולל גם מידע שמאפשר, או לכל הפחות מקל על גוגל אנליטיקס לזהות את הלקוחות – היינו: להתאים בין המידע המועבר מהמשיבים לגבי לקוח מסויים, לפרופיל שחברת גוגל כבר מחזיקה על אותו לקוח. בדרך זו גם לא נשמרת האנונימיות של הלקוח והמידע שעובר הוא מידע של הלקוחות על הלקוחות”.

חוות הדעת המקצועית שצורפה לכתב התביעה: החברות והבנקים שנבדקו פגעו באמון הלקוחות ובפרטיותם

חוות הדעת של פרופ’ הרצברג היא בת 49 עמודים. בסיכום חוות הדעת הוא כותב: “שירותים פיננסיים ובנקאיים כגון אלו שמספקות החברות שנבדקו בחוות הדעת, דורשים את אמון הלקוחות בשמירה על נכסיהם – ועל פרטיותם”.

“החברות והבנקים שנבדקו פגעו באמון הלקוחות, ובחרו להעביר מידע אישי, רגיש ופרטי על הפעילות הפיננסית של לקוחותיהם לצדדים שלישיים, כדוגמת חברת גוגל, תוך פגיעה קשה וחמורה בפרטיות הלקוחות.

“יש חברות אבטחה רבות בארץ, שאם היו מתבקשות לאבטח את פעילות הבנקים והחברות מול צדדים שלישיים לרבות גוגל, היו מצליחות בקלות רבה להזהיר מפני חשיפת הפרטיות ולסייע לחברות ולבנקים לאבטח את המידע כנדרש”.

התביעה הוגשה באמצעות עו”ד שמוליק קסוטו ועו”ד אורי רונן.

[הערה: כל ההדגשות בידיעה זו מופיעות באופן זהה בטקסט המקורי].