דליפת מידע כבר אינה רק אירוע טכנולוגי
בעידן ה-Big Data, כמעט כל חברה מחזיקה מידע אישי: שמות, טלפונים, כתובות, נתוני רכישה, מידע רפואי, פרטי תשלום, העדפות צרכניות או היסטוריית שימוש. כאשר מתרחשת דליפת מידע, גם אם היא נראית קטנה, היא יכולה להפוך במהירות לאירוע משפטי רחב. הנזק אינו נמדד רק במספר הרשומות שדלפו, אלא בסוג המידע, ברגישות שלו, בדרך שבה החברה התנהלה ובשאלה האם ניתן היה למנוע את האירוע.
עו"ד דורון לוי מסביר כי דליפת מידע יוצרת קרקע נוחה לתביעות ייצוגיות משום שהיא משפיעה על קבוצה גדולה של אנשים בבת אחת. גם כאשר כל אדם נפגע לכאורה בסכום קטן או בנזק שקשה לכמת, ההליך הייצוגי מאפשר לרכז את הטענות לתביעה אחת משמעותית.
מה הופך דליפה קטנה לסיכון גדול?
הסיכון המשפטי גובר כאשר החברה החזיקה מידע רגיש, לא יישמה נהלי אבטחת מידע מתאימים, לא דיווחה בזמן, לא עדכנה את הלקוחות או לא תיעדה את פעולותיה לאחר האירוע. גם ניסוח הודעה לא מדויקת לציבור עלול לשמש בהמשך כראיה לכך שהחברה ניסתה לצמצם או להסתיר את חומרת המקרה.
דורון לוי עורך דין מדגיש כי השעות הראשונות לאחר גילוי האירוע קריטיות. חברה חייבת להבין מה דלף, מי נפגע, האם יש חובת דיווח לרשות להגנת הפרטיות, האם נדרש עדכון לקוחות, ומהו הסיכון לתביעה אזרחית או ייצוגית. טיפול טכני בלבד אינו מספיק.
תובענה ייצוגית כתגובה לאובדן אמון
בתביעות ייצוגיות בתחום הפרטיות, הטענה אינה תמיד לנזק כספי ישיר. לעיתים נטען לפגיעה באוטונומיה, פגיעה בפרטיות, סיכון עתידי לשימוש לרעה במידע, הפרת חובת זהירות או אי עמידה בהוראות הדין. ככל שהמידע רגיש יותר, וככל שמספר הנפגעים גדול יותר, כך החשיפה הכספית והתדמיתית של החברה גדלה.
עו"ד דורון לוי מלווה חברות בבחינת התמונה המשפטית המלאה לאחר אירועי מידע: ניהול תגובה ראשונית, תיעוד החלטות, הכנת עמדה משפטית, בדיקת חובות רגולטוריות והיערכות להתמודדות עם בקשה לאישור תובענה ייצוגית.
איך חברה יכולה לצמצם חשיפה?
הדרך הטובה ביותר להתמודד עם תביעת ענק היא להיערך לפני האירוע: מיפוי מאגרי מידע, מדיניות פרטיות ברורה, הרשאות גישה, הסכמי ספקים, נהלי אבטחה, תרגול אירועי סייבר ותיעוד שוטף. כאשר אירוע כבר מתרחש, חשוב לפעול מהר אך לא בפזיזות, ולוודא שכל הודעה, דיווח או פנייה לציבור נבדקים משפטית.
עו"ד דורון לוי מדגיש כי דליפת מידע אינה מסתיימת בסגירת פרצת האבטחה. בעידן שבו מידע הוא נכס מרכזי, גם דליפה נקודתית יכולה להפוך למאבק משפטי רחב היקף. תגובה נכונה בזמן אמת עשויה להיות ההבדל בין אירוע נשלט לבין תביעה ייצוגית יקרה.
תגובה נכונה מתחילה בתיעוד
אחת הטעויות הגדולות לאחר דליפת מידע היא לפעול מהר בלי לתעד. חברה צריכה לשמור ציר זמן של האירוע, מי גילה אותו, אילו פעולות בוצעו, מה נאמר לספקים, אילו מערכות נבדקו ומה היו השיקולים בכל החלטה. תיעוד כזה עשוי להיות קריטי בהמשך, כאשר בית המשפט בוחן אם החברה פעלה בסבירות. הוא גם מסייע להבחין בין כשל נקודתי לבין כשל מערכתי, הבחנה שיכולה להשפיע מאוד על היקף החשיפה.
כאשר קיימת חשיפה ייצוגית, גם ניסוח שגוי של הודעת עדכון ללקוחות יכול להשפיע על היקף הטענות. לכן רצוי שכל מסר חיצוני יעבור בחינה משפטית, טכנולוגית ותדמיתית לפני פרסום.
