«  העיתונאי אלי לנדאו נפטר – מייסד אתר זה – READ IT NOW
  • Read IT Now
  • חדשות
  • אבטחת מידע/סייבר
  • ייצוגית נגד הראל חברה לביטוח בשל פגיעה קשה לכאורה בזכות לסודיות המידע הרפואי האישי הרגיש שמסרו לקוחותיה בעת רכישת שירותיה; היקף התביעה הקבוצתית: 500 מיליון ש”ח

ייצוגית נגד הראל חברה לביטוח בשל פגיעה קשה לכאורה בזכות לסודיות המידע הרפואי האישי הרגיש שמסרו לקוחותיה בעת רכישת שירותיה; היקף התביעה הקבוצתית: 500 מיליון ש”ח

14:29 19.08.2022

קטגוריות: אבטחת מידע/סייבר בריאות/רפואה משפט

לבית-המשפט המחוזי בת”א הוגשה תביעה (ובקשה לאשרה כתובענה ייצוגית, תובענה בעניין ביטוח ו/או קופות גמל) נגד הראל חברה לביטוח בשל פגיעה קשה לכאורה בזכות לסודיות המידע הרגיש שמסרו לקוחותיה בעת רכישת שירותיה. היקף התביעה הקבוצתית: 500,000,000 ₪ [אומדן בלבד עד שיתקבלו נתונים בדבר כמות המבוטחים אצל הנתבעת].

התביעה מבקשת “לחייב את המשיבה לפצות את חברי הקבוצה בגין הפרת פרטיותם ומתן צו עשה אשר יגדיר את חובתה של המשיבה לנקוט בצעדים הנדרשים לשם שמירת פרטיות חברי הקבוצה שהם כלל לקוחות החברה”.

בכתב הטענות נאמר בין היתר כי “עניינה של הבקשה דנן הוא פגיעה חמורה בפרטיות חברי הקבוצה. הנתבעת הינה גוף ביטוחי מהגדולים בישראל אשר במסגרת מכירת שירותים ללקוחותיו אוגר מידע רגיש דוגמת פרטי זהות, היסטוריה רפואית, פרטי כרטיסי אשראי וכיוצ”ב – נתונים אישיים ורגישים”.

“חוק הגנת הפרטיות מחייב גופים כדוגמת הנתבעת, המנהלים מאגר נתונים, לרשום את המאגר אצל רשם מאגרי המידע ולאבטח את המידע בהתאם לתקנים המחמירים ביותר הן פיזית והן דיגיטלית”.

“התובע [יריב עזרן] מבוטח אצל הנתבעת בביטוח חיים מזה מספר שנים. במסגרת רכישת הביטוח מסר התובע לנתבעת את פרטיו האישיים, פרטי כרטיס האשראי לצורך תשלום, וככל הנראה חתם על כתב ויתור סודיות רפואית”.

“ביום 15.3.2022 קיבל התובע באמצעות דואר ישראל (בדואר רגיל) את הדיווח התקופתי מאת הנתבעת. המעטפה נפתחה לראשונה ע”י שותפו לדירה של התובע אשר היה הוגן מספיק להבין כי המידע אינו נועד לעיניו והעביר מייד את המעטפה לידיו של התובע”.

“התובע קיבל לידיו את המעטפה ונחרד לגלות כי כל פרטיו האישיים הודפסו על גיליון נייר לרבות מספר כרטיס אשראי מלא (ללא הסתרה באמצעות כוכביות), תוקף הכרטיס, מספר הזהות שלו, גיליון רפואי מלא לרבות מחלות קודמות, מצב רפואי נוכחי, תרופות שהוא נוטל, אבחנות רפואיות ועוד”.

* יצויין כי הדו”ח צורף כנספח לכתב התביעה “כשהוא מושחר בחלקים הרלבנטיים לצורך שמירה על המידע הרגיש אולם יוגש במלואו לעיון בית-המשפט בשעת הדיון”.

“עצם הדפסת המידע על נייר רגיל מגלה כי הנתבעת אינה שומרת על המידע הרגיש של לקוחותיה עפ”י סטנדרט שמירת מידע רגיש כלל ובוודאי שאינה עומדת בתקנים מחמירים כדוגמת תקן PCI DSS בדבר שמירה מוצפנת של פרטי כרטיס אשראי. בנוסף, הנתבעת לא טרחה לשלוח את המידע הרגיש באמצעות דואר רשות אלא הסתפקה במשלוח בדואר רגיל אשר יכול להגיע לידיו של כל אדם”.

“הנתבעת העבירה את הדיווח להדפסה אצל גוף חיצוני, חסרת ‘מסר’, המעסיקה כ- 650 עובדים אשר כל אחד מהם היה יכול ליטול את המידע ולעשות בו שימוש הפוגע בתובע ובכלל חברי הקבוצה”.

בהמשך כתב הטענות נאמר כי  “[…] המבקש רכש ביטוח מאת המשיבה. במסגרת רכישת הביטוח נתן המבקש למשיבה פרטים אישיים אשר בלעדיהם לא הייתה מסכימה המשיבה למכור לו כיסוי ביטוחי”.

“בשום שלב לא נתן המבקש את הסכמתו לשמירת המידע האישי שלו באופן שלא מוצפן כראוי ובוודאי שלא נתן לה הרשאה להדפיסו ולשלוח אותו באמצעות הדואר כשהוא גלוי לחלוטין”.

“[…] רוב החברות המחזיקות במאגר מידע הכולל פרטי אשראי, עושות שימוש ב- TOKEN המצפין את פרטי האשראי ומשאיר רק כוכביות וארבע ספרות אחרונות של מספר הכרטיס. עינינו הרואות כי במסגרת הדו”ח שנשלח למבקש מצויין המספר המלא ללא כוכביות ומכאן ללמדנו כי המידע לא הוצפן כלל מלכתחילה”.

“המידע הרפואי האגור על שרתי החברה צריך להיות מוגן ומוצפן ועצם הדפסתו ושליחתו באופן כה גלוי מהווה פירצת אבטחה חמורה אשר מסכנת את המידע באופן שלא מאפשר לדעת מי נחשף אליו ומה השימוש שניתן לעשות בו”.

“[…] המבקש שומר לעצמו את הזכות להגיש תביעה אישית נזיקית ככל שייגרם לו נזק ממוני עקב הפרות החברה את חובותיה המפורטים בתביעה זו”.

** יצויין כי בראש הדו”ח שנשלח ע”י חברת הראל לתובע (וצורף כאמור כנספח לכתב התביעה) נכתב מתחת לכותרת פוליסה לביטוח חיים: “מסמך זה מכיל מידע רגיש”. כאמור, מסמך זה נשלח בדואר רגיל לנתבע.

התביעה הוגשה באמצעות עוה”ד חופית מזור וגיל מזור.