תצ (ת"א) 71271-01-20 יששכר כרמלי נ' בנק דיסקונט לישראל בע"מ

פסק דין

מונחת בפני בקשה לאישור הסדר פשרה לפי סעיפים 18 ו-19 לחוק תובענות ייצוגיות, תשס"ו-2006 (להלן: "החוק"), ביחס לבקשת אישור שעניינה בטענה כי הבנק פגע בפרטיות המבקשים וחברי הקבוצה במסגרת אירוע דליפת מידע אישי מיישומון "פייבוקס" (paybox).
העובדות הצריכות לעניין
1. ביום 23.8.21 הגישו המבקשים (כפי שמפורט בכותרת לעיל) בקשה מאוחדת ומתוקנת לאישור תובענה כייצוגית כנגד בנק דיסקונט לישראל בע"מ (להלן: "המשיב" או "הבנק"), וזאת לאחר המלצת בית המשפט כי התובענות ובקשות האישור הנפרדות שהוגשו על ידי המבקשים יאוחדו לכדי בקשה אחת [המבקשים 1 ו-2 בת"צ 71271-01-20; המבקשת 3 בת"צ 71274-01-20; המבקשים 4 ו-5 בת"צ 73072-01-20; והמבקשים 6 ו-7 בת"צ 71275-01-20 (להלן: "בקשות האישור הנפרדות")].
2. במרכזה של הבקשה המאוחדת עומדת הטענה, כי נוכח אירוע אבטחת מידע מיום 19.1.20 בשרת יישומון פייבוקס (PayBox), שהופעל באותה העת על ידי הבנק והיה בבעלותו, דלף מידע רגיש של משתמשי היישומון, וזאת לאחר שהבנק לא אבטח כנדרש את מאגרי המידע שברשותו. בבקשת האישור המאוחדת נטען, כי על פי הודעת דוא"ל שנשלחה לחלק מחברי הקבוצה, המקור לתקלה היה בהתקנת שרת חדש ובעקבותיה דלף מידע חלקי של המשתמשים (אך לא דלף מידע שעלול להסב נזק, כך על פי הנטען בהודעה).
3. במסגרת בקשת האישור המאוחדת הוגדרו שני תתי קבוצות מיוצגות כדלקמן:
"כלל הלקוחות אשר משתמשים ו/או השתמשו בעבר בשירות העברת כספים באמצעות אפליקציית פייבוקס אשר שייכת לבנק דיסקונט, בין אם המידע שלהם דלף ובין אם לא דלף".
"כלל הלקוחות אשר משתמשים ו/או השתמשו בעבר בשירות העברת כספים באמצעות אפליקציית פייבוקס אשר שייכת לבנק דיסקונט ואשר פרטיהם נשמרו שלא כדין במאגרי המידע של המשיב".
4. המבקשים טענו לעילות מכוח חוק הגנת הפרטיות, תשמ"א-1981, הפרה חובה חקוקה בהתאם לסעיף 63 לפקודת הנזיקין [נוסח חדש], רשלנות מכוח סעיף 35 לפקודת הנזיקין [נוסח חדש]; עשיית עושר ולא במשפט, תשל"ט-1979 וכן הפרה מכוח חוק החוזים (חלק כללי), התשל"ג-1973.
המבקשים עתרו לצו הצהרתי לפיו הפר הבנק את הוראות הדין כמפורט לעיל, וכן לצווי עשה שיחייבו את הבנק להפעיל מערך ביקורת מוגן העומד בסטנדרטים הנדרשים, וכן להעסיק מערך עובדים מקצועי וראוי. בנוסף, עתרו המבקשים לפיצוי כספי לחברי הקבוצה בגין נזקיהם, הן נזקים ישירים ועקיפים והן נזקים בלתי ממוניים ממשיים.
5. ביום 3.4.22 הגיש הבנק את תשובתו לבקשת האישור, במסגרתה טען, כי אין עדות לכך שנגרם נזק כספי ישיר ללקוחות, וכי לא קיימת עדות לשימוש כלשהו שנעשה בנתונים שדלפו. עוד נטען, כי לא ניתן לוודא הגנה מוחלטת של 100% והוראות הדין אינן דורשות זאת, וכי עצם התקיימות אירוע אבטחת מידע אינו מלמד בהכרח על הפרה כלשהי. נטען, כי הבנק השקיע משאבים רבים לאמצעי אבטחה, והאירוע הוא תקלה נקודתית שתוקנה במהירות וביעילות מרגע הגילוי, וכך גם השקיע לאחר האירוע משאבים נוספים למניעת הישנות התקלה. עוד טען הבנק כי בקשת האישור אינה מעמידה תשתית ראייתית כנדרש ואינה עומדת בדרישות החוק לאישור בקשת אישור, בין היתר נוכח הצורך בבדיקה פרטנית לגבי כל חבר קבוצה, וכי לאור כל זאת יש לדחותה.
6. ביום 19.10.22 הגישו המבקשים את תגובתם לתשובת הבנק לבקשת האישור, במסגרתה דחו את טענותיו ועמדו על כך שנסיבות גילוי האירוע והפעולות שננקטו לאחריו, כמו גם פרק הזמן עד לעדכון הלקוחות, מצדיקות את קבלת בקשת האישור.
7. יצוין, כי ניסיון ראשון למו"מ בין הצדדים לא צלח, ואולם בהמשך, בהמלצת בית המשפט, פנו הצדדים להליך גישור, אשר בסופו, ומבלי שאף צד מודה בטענות הצד שכנגד, הגיעו להסכמות שעוגנו במסגרת הסדר פשרה שהובא לאישור בית המשפט, כמפורט להלן.
הסדר הפשרה שבפניי
8. הקבוצה: הסדר הפשרה יחול על כל המשתמשים אשר נרשמו ליישומון עד לתאריך 19.1.20 (כולל), בין אם היו במועד זה משתמשים פעילים ובין אם לא.
9. התחייבות הבנק: הבנק הצהיר, כי אירוע האבטחה טופל ותוקן תוך שעות ספורות מהרגע שנתגלה, וכי הוא נוקט באמצעי זהירות מתקדמים למניעת הישנות מקרים דומים בעתיד. הבנק ציין כי הוא פועל ומשקיע משאבים רבים, כל העת וגם ללא קשר לאירוע ובקשת האישור, כדי להפחית ככל הניתן את הסיכון לגישה בלתי מורשית למידע תוך עיבוי והקשחת מערך ההגנה ואבטחת המידע של היישומון.
כמו כן, צוין, כי החל מיום 1.7.21, היישומון אינו מופעל על ידי הבנק, ולכן אין באפשרותו להעניק סעדים צופי פני עתיד במקרה דנן.
10. פיצוי בגין העבר: במסגרת הסדר הפשרה התחייב הבנק להעביר סך של 3,020,000 ₪ לקרן שהוקמה לפי סעיף 27א לחוק, וזאת תוך 60 יום מהמועד בו פסק הדין יהפוך לחלוט. הצדדים הסכימו כי הקרן תייעד את הכספים לקיום פעילויות הקשורות לאבטחת מידע, ביניהן חינוך לפרטיות, הגנה על הפרטיות, פיתוח טכנולוגיות לשיפור הפרטיות ואבטחת מידע וכיוצא באלה.
בהתייחס לגובה הפיצוי - צורף נספח ה' להסדר הפשרה אשר מתייחס למספר חברי הקבוצה, כאשר הוטל על מסמך זה חיסיון, נוכח העבודה כי הוא מהווה סוד מסחרי. בנסיבות העניין, נוכח גודל הקבוצה, ונוכח עמדת הבנק כי לא נגרם נזק של דליפת מידע לצדדים שלישיים, וכי היה מדובר באירוע נקודתי שתוקן לאלתר, סבורים הצדדים כי גובה הפיצוי הינו ראוי, ונועד בעיקר לפצות בגין התחושות השליליות שיתכן וחלק מחברי הקבוצה חוו נוכח החשש שמא מידע אישי שלהם נמצא בידיים זרות.
בהתייחס למתן הפיצוי בדרך של העברתו לקרן ולא בדרך של פיצוי ישיר לחברי הקבוצה, טענו הצדדים כי היישומון אינו מופעל עוד על ידי הבנק, כך שאין לו גישה ישירה אל חברי הקבוצה המיוצגת, וכי נדרשות הוצאות גבוהות באופן שאינו פרופורציונלי על מנת לאתר את חברי הקבוצה ולהעביר את החלק היחסי בסכום הפשרה לידיהם.
עוד טענו הצדדים, כי יש ליתן הדעת לכך שהמגשר סבר כי תנאי הפיצוי הקבועים בהסדר מהווים פתרון הוגן וסביר בנסיבות המקרה.
11. דיווח: הוסכם, כי תוך 30 יום מיום התשלום לקרן יגיש הבנק לבית המשפט הודעה בדבר ביצוע התחייבויותיו מכוח הסדר זה.
12. ויתור על תביעות ומעשה בית דין: הוסכם כי ככל שהסדר הפשרה יאושר, מוותרים המבקשים וחברי הקבוצה ויתור סופי ומוחלט על כל טענה, דרישה, זכות או עילה בקשה אם התובענה. עוד הוסכם כי פסק הדין המאשר את הסדר הפשרה יהווה מעשה בית דין כלפי חברי הקבוצה בקשר לכל הטענות והעילות שבתובענה ובבקשת האישור, למעט מי שיצא באישור בית משפט מהקבוצה. עוד הוסכם, כי במקרה בו מספר הודעות הפרישה יעלה על 150, הבנק יהיה זכאי, אך לא חייב, להודיע בכתב תוך 7 ימי עבודה על ביטול ההסדר.
הבנק הדגיש כי אין בהסדר משום הודאה טענה כלשהי שהעולה בתובענה ובבקשת האישור.
13. הסדר ראוי והוגן: הצדדים עמדו על כך שמדובר בהסדר ראוי והוגן, שהושג בהליך גישור ובהמלצת המגשר, וכי יש בהסדר כדי להביא תועלת לחברי הקבוצה, כמו גם לאזן באופן ראוי בין הסיכויים והסיכונים שבניהול ההליך נוכח טענות הצדדים כפי שפורטו לעיל.
14. גמול ושכר טרחה: הצדדים ביקשו כי בית המשפט יאשר תשלום גמול ושכ"ט כדלקמן:
א. שכ"ט לב"כ המבקשים בסך של 755,000 ₪ בתוספת מע"מ כחוק.
צוין, כי שכה"ט יתחלק בחלקים שווים בין ארבעת משרדי עורכי הדין המייצגים את המבקשים בבקשות האישור הנפרדות, כמפורט לעיל, כך שבגין כל בקשת אישור ישולם שכ"ט בסך של כ-188,750 ₪ בתוספת מע"מ כחוק.
עוד צוין כי שכה"ט ישולם בתוך 60 יום מהמועד בו פסק הדין המאשר את הסדר הפשרה יהפוך חלוט.
ב. גמול למבקשים בסך של 170,940 ₪ בתוספת מע"מ כחוק, אשר יתחלק באופן שווה בין ארבע בקשות האישור הנפרדות.
צוין כי הגמול ישולם בתוך 60 יום מהמועד בו פסק הדין המאשר את הסדר הפשרה יהפוך חלוט.
ג. הצדדים ציינו כי בהמלצתם על סכומי הגמול ושכה"ט הובאו בחשבון השיקולים הבאים: בקשת האישור הציפה סוגיה חשובה; הסדר הפשרה השיג את מטרות בקשת האישור והצמיח תועלת של ממש לחברי הקבוצה על דרך של פיצוי כולל לקרן; הזמן והמשאבים שהושקעו בהליך, כולל ניהול מו"מ שהוביל להסדר הפשרה; והסיכונים שנטלו עליהם המבקשים ובא כוחם.
15. מינוי בודק: הצדדים ביקשו כי בית המשפט יאשר את הסדר הפשרה מבלי להורות על מינוי בודק וטענו כי אין במקרה זה לבודק יתרון, בפרט לאור עבודתו של המגשר בגיבוש הסדר הפשרה, וכי הדבר יסרבל את ההליך ויהיה כרוך בעלויות נוספת.
16. תנאי מתלה: הצדדים ציינו, כי אישורו של הסדר הפשרה, מבלי עריכת שינויים בהסכמת הצדדים, על ידי בית המשפט בפסק דין חלוט (למעט סכומי הגמול ושכ"ט), יהווה תנאי מתלה לתוקפו של ההסדר.
17. פטור מאגרה: הצדדים ביקשו כי בית המשפט יפטור את המשיב מתשלום חלקה השני של האגרה בשל השלב המקדמי בו מצוי ההליך.
18. ביום 30.6.24, בהתאם להוראות החוק, הוריתי על פרסום הסדר הפשרה להתנגדויות הציבור וכן על קבלת עמדת היועמ"ש.