מתפרסם מאז שנת 1999
הוגשה תביעה (ובקשה להכיר בה כתובענה ייצוגית) נגד לאומי קארד בעקבות קביעת רמו”ט לגבי אבטחת מידע
לבית-המשפט המחוזי מחוז מרכז בלוד הוגשה ב- 13 בספטמבר 2017 תביעה (ובקשה להכיר בה כתובענה ייצוגית) נגד חברת לאומי קארד בע”מ, “חברת אשראי אשר נותנת מגוון רחב של שירותי אשראי ולה כשני מיליון לקוחות המחזיקים בכרטיסי אשראי”.
התובע בתביעה זו הוא לירן יגודה. בכתב התביעה נאמר בין היתר כי “… לתדהמת לקוחות המשיבה, הובהר בתקופה האחרונה כי המשיבה הפרה את חוק הגנת הפרטיות בכך שבשל רשלנותה והפרת חובותיה, איפשרה היא לעובדיה לגנוב את פרטי לקוחותיה לרבות פרטי כרטיסי האשראי של אותם לקוחות אשר היו במאגר המידע של המשיבה”.
“בהתאם לקביעת רשות המדע והטכנולוגיה הרי שהמשיבה לא טיפלה בהתאם לחובתה בנושאי אבטחת מידע הנוגעים לפרטי לקוחותיה, לרבות מספרי כרטיסי האשראי שלהם, לא התמודדה במידה הנדרשת עם סיכוני אבטחת המידע בתוך הארגון, לא ביצעה בקרה מספקת על זרימת המידע בתוך החברה, ולא מנעה את השימוש במידע ע”י העובדים שלה בניגוד לתפקידם ולהרשאות שניתנו להם”.
“… בשל כך תרמה המשיבה לחשיפת מידע בהיקף רחב ביותר וברמות רגישות גבוהות, תוך שהיא התעלמה מסיכון זליגת המידע מתוך החברה ומחוצה לה, וביצוע השימוש במידע מעבר למטרות לשמן נשמר המידע”.
“בכך הפרה המשיבה את חובותיה האמורים בסעיף 17 לחוק הגנת הפרטיות, התשמ”א – 1981, ובכך העמידה בסיכון ממשי את שני מיליון לקוחותיה”.
“כתוצאה ממחדלי המשיבה הרי שעובדיה גנבו את פרטי ומספרי כרטיסי האשראי של המשיבה ואין לדעת, עד ליום זה, מי מחזיק בפרטי הלקוחות ומספרי כרטיסי האשראי, דבר שהסב, מסב ויסב, נזק עצום ללקוחות המשיבה האוחזים בכרטיס אשראי שלה”.
“… למעשה קשה לחשוב על מקרה מובהק יותר, המצדיק הגשת תובענה ייצוגית … דומה כי קשה לחשוב על מקרה מובהק יותר של פגיעה בפרטיות מאשר גניבת מידע כלכלי אישי-פרטי של אדם … לא ייתכן כי חברה המנפיקה כרטיסי אשראי, בהם אדם יכול לרכוש מהונו האישי ומחשבון הבנק שלו … תתרשל כלפי אותו אדם ולא תאבטח באופן מוחלט ובהתאם לדרישות ממנה את אותם פרטים המצויים באותו מאגר מידע”.
התביעה הוגשה באמצעות עו”ד יוחי גבע.
הודעת רמו”ט: “קביעת הפרה לחברת האשראי לאומי קארד”
הערת עורך Read IT Now: הרשות להגנת הפרטיות במשרד המשפטים [לשעבר, הרשות למשפט טכנולוגיה ומידע (רמו”ט)] פירסמה ב- 19 באפריל 2017 הודעה לעיתונות באתר הממשלתי (המוזכרת כאמור בכתב התביעה) בה נאמר כי “בעקבות אירוע אבטחת מידע במסגרתו גנב עובד החברה מידע מהחברה אשר כלל מאות אלפי רשומות של נתונים אישיים אודות לקוחות החברה, לרבות מספרי כרטיסי אשראי מלאים ופרטי חשבונות בנק, נבדקה רמת אבטחת המידע במערכות החברה ויישום נוהלי אבטחת המידע בחברה.
“מממצאי הפיקוח נמצא כי במועד האירוע החברה לא טיפלה בהתאם לנדרש בחוק בנושאי אבטחת המידע הנוגעים לניהול המידע בתוך החברה, לא התמודדה במידה הנדרשת עם סיכוני אבטחת מידע פנים ארגוניים, לא בצעה בקרה מספקת על זרימת המידע בתוך החברה ולא מנעה אפשרות השימוש במידע על ידי עובדי החברה בניגוד לתפקידם ולהרשאות שניתנו להם.
“זאת, תרמה החברה לחשיפת מידע בהיקף רב וברמות רגישות שונות לעובדי חברה רבים בתפקידים שונים, תוך התעלמות מסיכון זליגת המידע מתוך החברה אל מחוצה לה, וביצוע השימוש במידע מעבר למטרות שלשמן נשמר המידע, על ידי עובד של החברה, בניגוד לחובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות התשמ”א – 1981. בנוסף נדרשה החברה לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת.
”אירוע אבטחת המידע בלאומי קארד מדגיש את החשיבות שעל ארגונים לתת בהתייחסות לאבטחת המידע בתהליכים הפנימיים בארגון ולמול הגורם האנושי הפנימי (עובדים בארגון/עובדים לשעבר), שנמצאו כגורם המהותי באירועי דלף מידע רבים. על החברה לפעול להפחתת איומי פנים באותה רמה שהיא פועלת להפחתת איומי חוץ, ולחלק את המשאבים שהיא משקיעה לאבטחת המידע באופן פרופורציונלי ביחס למשאבים המושקעים להתמודדות עם איומי חוץ ובהתאם לסיכונים”.