מה שהחל כייצוגית (בהיקף קבוצתי של 40 מלש”ח] בנושאי אבט”מ נגד “דן Bubble” [בעקבות כתבות ב”הארץ”], הסתיים בהסתלקות מוסכמת של התובע ללא כל תגמול כספי וללא צו להוצאות

תביעה (ובקשה לאשרה כתובענה ייצוגית) שהחלה במארס 2020 (בהיקף קבוצתי של 40 מלש”ח] בנושאי אבטחת מידע נגד חברת ההסעות השיתופיות “דן Bubble” [בעקבות כתבות ב”הארץ”], הסתיים עתה, במאי 2022, בהסתלקות מוסכמת של התובע ללא כל תגמול כספי אך גם ללא הטלת הוצאות עליו.

על כתב התביעה פירסמתי ידיעה כאן באתר במארס 2020 סמוך לאחר הגשתה. היא התבססה על הפרסום של חוקר אבטחת המידע רן בר-זיק ב”הארץ” בדבר “אירוע אבטחה חמור במסגרתו נחשפו פרטים אישיים וחסויים של לקוחות הנתבעת”.

בפסק הדין כותב בין היתר כבוד השופט דורון חסדאי [ת”צ 15896-03-20]:

■ “המבקש הוא צרכן תחבורה ציבורית. המשיבה היא חברה ישראלית לתחבורה ציבורית המפעילה שירותי אוטובוסים בגוש דן ואשר עיקר עיסוקה הוא מתן שירות היסעים באיזור תל אביב יפו. כמו כן היא הבעלים והמפעילה של מיזם ‘באבל דן’, שירות היסעים שהחל לפעול בסוף אפריל 2019 וניתן בשלב זה באיזור תל אביב, גבעתיים ורמת גן.

“מיזם ‘באבל דן’ עושה שימוש בפיתוח טכנולוגי, כך שמסלול הנסיעה נקבע בהתאם להזמנות המשתמשים ביישומון של המיזם, והוא מתעדכן כל הזמן. לטענת המבקש הוא משתמש רשום ביישומון אשר ביצע רכישה לצורך נסיעה ובסיום הנסיעה נשלחה אליו חשבונית בדואר האלקטרוני.

“במסגרת בקשת האישור נטעם כי ביום 4.3.2020 פורסמה כתבה במגזין האינטרנטי של עיתון ‘הארץ’ במסגרתה פורסם כי מידע אישי ורגיש אודות כל חברי הקבוצה דלף עקב חולשת אבטחה במערכת דיוור החשבוניות של המשיבה אשר בעקבותיה נחשפו שם הלקוח, כתובת הדואר האלקטרוני של הלקוח וארבע הספרות האחרונות של כרטיס האשראי ותוקפו.

“בהתאם לאמור בכתבה, בתום כל נסיעה המשיבה שולחת חשבונית למשתמש. החשבונית מאוחסנת במאגר שירותי הענן של חברת אמזון וההודעה בדבר החשבונית נשלחת למשתמש באמצעות הדואר האלקטרוני. הלקוח יכול להיכנס אל החשבונית באמצעות הקשה על קישור ולצפות בה.

“עוד צויין כי חוקר אבטחת מידע גילה שבכתובת הקישור שנשלחת יש מספר רץ של חשבונית אשר נועד להגן על המידע אבל בפועל,  באמצעות פעולה פשוטה כל אחד יכול לגשת לחשבונית בקלות וללא שום מניעה.

“לטענת המבקש, ובהתבסס על האמור בכתבה, הצלבת המידע שדלף ממערכת המשיבה מהווה מפתח להונאות ולפגיעה כלכלית אנושה ע”י גורמי פשיעה שיכולים לעשות שימוש במידע האמור על-מנת להונות את משתמשי החברה.

“המשיבה הגיבה לפרסום וציינה כי הפירצה נבעה מבעייה נקודתית אשר טופלה ואף בוצעו בדיקות לאיתור בעיות אבטחה נוספות. לפי הבדיקה אין בעיות נוספות.

“המבקש טען עוד כי ניסיון המשיבה לצמצום אחריותה מעיד על חוסר אחריות מצידה גם לאחר גילוי הפירצה. עוד נטען כי במסגרת הכתבה הובאו עדויות לכך שאין לקבל את הטענה כי לא נעשה שימוש בפירצת האבטחה בארץ או בחו”ל. הוסיף המבקש וציין כי עד למועד הגשת בקשת האישור, המשיבה לא הביעה התנצלות כלפי המשתמשים ביישומון על האירוע, לא שלחה הודעה על המחדל ולא יידעה את המשתמשים אודות המידע אשר דלף. כמו כן, המשיבה לא דיווחה לרשות להגנת הפרטיות על הפירצה שהתגלתה.

“[…] בנוסף, ביום 5.3.2020 התגלה אירוע אבטחה נוסף, גם הוא באמצעות פרסום כתבה. פירצת האבטחה חשפה צילומי תעודות זהות של אזרחים ותיקים לכל מי שמחזיק בדפדפן. יצויין כי צילומי תעודות הזהות של האזרחים הותיקים היו מצויים בידי המשיבה כמנגנון אימות שנועד לאפשר להם לנצל את הזכאות להנחה של 50% בדמי הנסיעה. בכתבה נטען כי פירצת האבטחה איפשרה לכל משתמש להיכנס לתיקיות שונות בשרת ולהוריד סריקות של סריקות וצילומים של תעודות שונות, בהן תעודות זהות וכן תעודות אזרח ותיק.

“עוד נטען כי עד למועד הגשת בקשת האישור, המשיבה לא רשמה את מאגרי המידע של השירות וכפועל יוצר המשיבה מחזיקה במאגר מידע בניגוד לסעיף 10(ו) לחוק הגנת הפרטיות”.

השופט מציין בהמשך פסק הדין כי המשיבה הגישה תשובה לבקשת האישור וטענה כי יש לדחות אותה. “לדברי המשיבה, הבקשה לאישור נסמכת על כתבה שפורסמה בעיתון ‘הארץ’ אשר ממנה עולה כי משתמש בשירות ‘באבל’, אשר לא צורף תצהיר מטעמו והוא אינו המבקש, גילה שניתן לצפות בחשבוניות של נוסעים אחרים, וזאת על דרך שינוי יישום של כתובת הקישור שנשלח לנוסע אחר לאחר ביצוע נסיעה בשירות ‘באבל’, אשר לחיצה עליו מובילה לחשבונית בגין הנסיעה שבוצעה. מן האמור הסיק המבקש כי המשיבה חשפה את פרטי כרטיס האשראי של לקוחותיה לכל המעוניין בכך.

“המשיבה הודתה כי ביום 3.3.2020 התגלתה תקלה נקודתית בתשתית התומכת במערכת של ספק החשבוניות של המשיבה. המדובר בתקלה שהתרחשה לפרק זמן קצר ונבעה מטעות של ספק החשבוניות. המשיבה התוודעה לעניין בעקבות פנייה של כתב ‘הארץ’. עם קבלת הפנייה פנתה המשיבה אל ספק החשבוניות וזה טיפל בתקלה במיידי. כמו כן, ביום 5.3.2020 דיווחה המשיבה על התקלה לרשות להגנת הפרטיות, כאשר במסגרת הדיווח ציינה כי פנתה לספק החשבוניות על-מנת שזה יתקן את התקלה, והוא דיווח כי היא תוקנה. כמו כן הודיעה המשיבה לרגולטור על התקלה.

“בנוסף, ולפנים משורת הדין, נקטה המשיבה שורה של פעולות במטרה לוודא שהתקלה לא תחזור על עצמה וכי לא נגרם כל נזק למשתמשים. המשיבה אף שכרה את שירויה של חברת אבטחת מידע כדי שזו תוודא כי התקלה אכן תוקנה.

“בדיקת חברת האבטחה העלתה כי התקלה הנקודתית אכן תוקנה וכי המידע שנטען שכביכול דלף, לא פורסם ברשת ולא נמצאו חולשות שיכולות לגרום לזליגת מידע. תוצאות הבדיקה דווחו לרשות להגנת הפרטיות וכן למשרד התחבורה.

“הוסיפה המבקשת וטענה כי בקשת האישור  הוגשה ארבעה ימים לאחר פרסום הכתבה מבלי שהמבקש טרח לבדוק אילו פעולות ביצעה המשיבה בהמשך לתקלה. באם המבקש היה בוחן את התשתית העובדתית הרי שהיה מגלה כי לא קיימת כאן עילת תביעה.

בהמשך לפסק הדין מסתבר כי חברת אבטחת המידע אליה פנתה ‘באבל’ היא חברת סייברלינקס. החברה הזאת ערכה בדיקה כפולה: בעקבות פניית ‘באבל’ אליה לאחר הפרסום בעיתון וקודם שהגישה ‘באבל’ את תשובתה לבית-המשפט.

לגבי הבדיקה השנייה, הנוספת, “[…] חברת סייברלינקס אישרה בפני המשיבה כי גם היום, שנה לאחר התקלה, המידע שנטען אינו דלף ולא מסתובב ברשת”.

ביום 13 באפריל 2022 הגישו שני הצדדים לבית-המשפט בקשה מוסכמת להסתלקות המבקש מבקשת האישור תוך דחיית התביעה האישית של המבקש וללא שיוטלו עליו הוצאות.

השופט גם מצטט בספק הדין מתוך החלטה של הרשות להגנת הפרטיות לפיה היא איפשרה לחברה “להשמיע את טיעוניה העובדתיים והמשפטיים, בטרם קבלת החלטה סופית. בהתאם, העבירה החברה מענה מפורט, ובו עובדות חדשות על האירועים, טיעונים אשר למידת אחריותה לאירועים, בהינתן שאלו התרחשו אצל ספק מישנה של נותני שירותים לחברה, וכן פורטה שורה של צעדים בהן נקטה החברה בעקבות האירועים. בנוסף, לבקשת החברה, התקיים גם שימוע בע”פ בנוכחות נציגי החברה, בו פורטו בהרחבה סוגיות נוספות וניתנו דגשים רלבנטיים לנקודות שהועלו במענה החברה. לאור המידע שנמסר לנו מהחברה, ולאחר שנבחנו כלל הידיעות והמסמכים שנתקבלו [ב]מסגרת הליך הפיקוח, הוחלט על סגירת התיק ללא קביעת הפרה“. [ההדגשה – במקור].

עפ”י נוסח בקשת ההסתלקות מ- 13.4.2022 המופיעה ב”נט המשפט”, החלטת הרשות להגנת הפרטיות הסופית בעניין ניתנה ביום 28.11.2021. הליך האכיפה של הרשות התנהל כאמור מעל לשנה.

= = = = = = = = = = = = = =

ייצוגית נגד אגד לגבי שירות ההסעות ‘תיק תק’ בטענה כי היא “מחייבת לקוחותיה בדמי נסיעה בשיעור מלא, בניגוד לחוק ולהוראות הסכם ההפעלה, במקרה של ביטול הנסיעה על ידי הנוסע, קודם להגעת ההסעה לנקודת האיסוף”

לבית-משפט השלום בראשון לציון הוגשה ב- 6.6.2022 תביעה (ובקשה לאשרה כתובענה ייצוגית) נגד אגד חברה לתחבורה בע”מ לגבי שירות ההסעות ‘תיק תק’ בטענה כי היא “מחייבת את לקוחותיה בדמי נסיעה בשיעור מלא, בניגוד לחוק ולהוראות הסכם ההפעלה, במקרה של ביטול הנסיעה על ידי הנוסע, עובר להגעת ההסעה לנקודת האיסוף והמשיבה מחייבת את לקוחותיה בדמי נסיעה מלאים, כבר מהמקרה הראשון שבו לא הופיעו לנקודת האיסוף, בניגוד לדין ולהסכמי ההפעלה”.

התובעת בתיק זה היא הילה יוכבד סלסקי וולפוב, “צרכנית מן השורה, לקוחה של המשיבה, אשר ביצעה שימוש ביישומון המשיבה לצורכי הזמנת שירות הסעה מותאם המכונה ‘תיק תק’.”

בכתב הטענות נאמר בין היתר כי הזמנת השירות מחברת אגד נעשית באמצעות יישומון ייעודי [אגד תיק תק] “ואשר מהווה חלק מאמצעי התחבורה הציבורית החכמה בעיר חיפה ובעיר ירושלים”.

השירות הושק במארס 2020 “על רקע ההתפתחויות הטכנולוגיות המשמעותיות בעשור האחרון בעולם התחבורה. […] הגודש בדרכים בישראל מהווה פגיעה משמעותית בכלכלה הישראלית ומתבטא באובדן תוצר לאומי, אובדן שעות עבודה ופנאי. מעורבות הממשלה בטיפול בבעיות הגודש כוללת טיפול ניכר בצד ההיצע. בין השאר, הממשלה קידמה ועודנה מקדמת כמה מיזמי תשתית עתירי נוסעים הנמצאים בשלבי ביצוע שונים. נוכח האתגרים הגדולים הקיימים במערך התחבורה הארצי, שמו להם משרד התחבורה ומשרד האוצר, למטרה, להגדיל את ‘מקדם הפיצול’, כלומר – להגדיל את שיעור הנסיעות המבוצעות בתחבורה הציבורית מתוך סך הנסיעות המבוצעות.

“בשנים האחרונות חלה התפתחות טכנולוגית המאפשרת תכנן דינמי של מסלולי הנסיעה ולוחות הזמנים בהתאם לביקוש המשתנה בזמן אמת. על בסיס רקע זה אישרו משרדי הממשלה פרוייקט התחבורה הציבורית החכמה את שירות תיק תק”.

“שירות תיק תק הינו שירות של תחבורה ציבורית גמישה מותאמת ביקוש שאינו מחוייב מסלול קבוע או תחנות מוצא ויעד קבועות ושמסלולו נקבע בהתאם להזמנה שמתבצעת מראש ע”י הנוסעים באמצעות אמצעי טכנולוגי”.

מדובר ב”שירות תחבורה שיתופית המאפשר הזמנת נסיעה שיתופית במונית שירות או באוטובוס, בלחיצת כפתןר דרך יישומון אגד תיק תק. הלקוח/הנוסע מזין ביישומון את היעד אליו הוא רוצה להגיע וזה מייצר עבורו את מסלול השיתופי המתאים”.

התובעת תטען כי “הוראות הרישיון וההסכם להפעלת שירות תיק תק […] אינם כוללים כל הרשאה ו/או רכיב גבייה של ‘דמי ביטול’ ובוודאי שלא דמי ביטול בשווי עלות נסיעה שבוטלה [100%] עובר להגעת ההסעה לנקודת האיסוף”.

“[…] המשיבה גובה את דמי הביטול באמצעות היישומון ובכך היא בעצם פועלת בניגוד להוראות החוק וגובה תשלום שאינו מצוי לא בתקנות התעבורה ולא בצווי הפיקוח, ולא בהסכם ההפעלה שנחתם מול ממשלת ישראל”.

התביעה הוגשה באמצעות עו”ד גליה גרימברג.

= = = = = = = = = = = = = =