הדפסה

בית המשפט המחוזי בתל אביב - יפו ת"צ 35278-11-14

לפני
כב' השופטת צילה צפת, סגנית נשיא

מבקש
עדו סולומונוב
ע"י ב"כ עו"ד עמנואל סולומונוב

נגד

משיבות

  1. לאומי קארד בע"מ
  2. לאומי קארד אשראים בע"מ

ע"י ב"כ עו"ד יחיאל כשר ועו"ד עופר שובל

פסק דין

בקשה להסתלק מן הבקשה לאישור תובענה ייצוגית לפי הוראת סעיף 16 לחוק תובענות ייצוגיות, התשס"ו–2006.

עניינה של הבקשה לאישור התובענה הייצוגית (להלן: "בקשת האישור") בטענה כי המשיבות פוגעות בפרטיות לקוחותיהן, מטעות אותם ומפרות הסכם שכרתו עימם לשמירה על פרטיות ועל סודיות.

רקע וטענות הצדדים בתמצית

המשיבות עוסקות בהעמדת אשראי, בהנפקת כרטיסי חיוב ובמתן שירותי סליקה. המבקש, עורך -דין במקצועו ומאז שנת 2001 הוא לקוח של המשיבות, אשר הנפיקו לו שני כרטיסי אשראי.

בבקשת האישור טען המבקש כי המשיבות אינן עושות מספיק כדי למנוע ממידע אישי של לקוחותיהם המצוי בידיהן להגיע לגורמים אחרים באמצעות מערכת מענה קולי אינטראקטיבי שהן מפעילות. המבקש טען שעל פי טופס הבקשה לקבלת כרטיס אשראי (נספח 2 לבקשת האישור) המשיבות התחייבו לשמור בסוד מוחלט את נתוניו על -פי חוק הגנת הפרטיות, התשמ"א–1981. לטענתו, ניתן לקבל מידע כלכלי רגיש אודות הלקוחות באמצעות במענה הקולי, שכן המשיבות אינן מתנות את השימוש במערכת בהקשת סיסמה.
לטענת המבקש, הפגיעה בפרטיות מתבצעת עת לקוח של המשיבות מתקשר אליהן, נענה במענה הקולי ומקבל נתונים אחדים על אודות חשבונו, וזאת לאחר זיהויו במערכת באמצעי זיהוי שונים ומצטברים. המבקש טען, כי כאשר הלקוח מתקשר ממספר טלפון נייד שהמערכת מזהה כמספר של לקוח שלהן, הוא מתבקש להקליד שני אמצעי זיהוי: מספר תעודת הזהות וארבע הספרות האחרונות של מספר כרטיס האשראי. לעומת זאת, כאשר לקוח מתקשר מטלפון נייד שאינו שלו ואשר אינו מזוהה עם הלקוח במערכת של המשיבות, הוא נדרש להקליד אמצעי זיהוי אחד נוסף לשניים שנזכרו לעיל – חודש התפוגה של תוקף כרטיס האשראי. מייד לאחר שהזיהוי בוצע כפי שפורט לעיל, המענה הקולי מוסר נתונים מעודכנים הנוגעים לכרטיס האשראי החוץ -בנקאי של הלקוח. הנתונים שנמסרו במועד השיחה האחרונה עם המשיבות הם: הסכום בו חויב כרטיס האשראי בחודש הקודם; הסכום בו הוא אמור להיות מחויב בחודש הבא; יתרת מסגרת האשראי בכרטיס; מספר ה"פינוקים" שצבר בעל הכרטיס באותו חודש ויתרת ה"פינוקים" למימוש (להלן: "המידע").

המבקש, שהתנסה בקבלת המידע הן בחיוג מהטלפון שלו ו הן בחיוג מטלפון אחר, טוען כי ביקש שוב ושוב מנציגי השירות של משיבה 1 לחסום את מסירת המידע הנוגע לכרטיסו החוץ -בנקאי, אבל נענה כי אפשרות כזאת אינה קיימת.

המבקש טוען, כי במערכת האוטומטית של המשיבות קיים מאגר מידע על לקוחותיהם שאינו מאובטח כנדרש בהנחיות רשם מאגרי מידע. נטען כי ההזדהות שהמשיבות דורשות אינה מספקת, ומאפשרת לכל מי שמזדהה בכמה פרטי מידע בסיסיים לקבל מידע כלכלי רגיש. מכאן שהמשיבות פגעו בפרטיותו ובפרטיות חברי הקבוצה בניגוד להוראות חוק הגנת הפרטיות. כן נטען כי המשיבות הטעו לפי הוראת סעיף 3 לחוק הבנקאות (שירות ללקוח), התשמ"א–1981 את המבקש והקבוצה, בכך שהן מציגות מצג שווא של הקפדה על סודיות ועל פרטיות לקוחותיהם. עוד ביקש המבקש לקבוע כי המשיבות הפרו הסכם מפורש או מכללא, על-פיו התחייבו כלפיו וכלפי הקבוצה להקפיד לנהוג כאמור, ועברו בכך על הוראת סעיף 10 לחוק החוזים (תרופות בשל הפרת חוזה), התשל"א–1970. המבקש הוסיף וטען לנזק בכך שהשחית זמן רב על הפניות הטלפוניות אל המשיבות ועל השיחות עם נציגי השירות שלהן – מלבד הנזק שאינו ממוני אשר נגרם לו ולחברי הקבוצה בחשיפת הפרטים של חשבונותיהם, על עוגמת הנפש שנלוותה לכך. המבקש עתר לסעד כספי ולצו עשה שיחייב את המשיבה לחדול מהפרת הפרטיות של חברי הקבוצה, מהטעייתם ומהפרת ההסכם עימם.

המשיבות טענו מנגד כי לא מסרו לאיש זולת המבקש פרטים כלשהם הנוגעים לו. הן הצביעו על כך שהמבקש אך העלה חשש מפגיעה בפרטיות הלקוחות, ולא הראה ולו מקרה בודד שבו התחזה מאן דהוא לאחד מלקוחותיהן והצליח לקבל מידע על לקוח. על כן המבקש לא הוכיח כי ניזוק, ולא קמה לו עילת תביעה אישית. יתרה מזו, לא עלה בידי המבקש להוכיח קיומה של קבוצה. בכל מקרה גרסו המשיבות כי המידע מאובטח כהלכה והטעימו שכל שנמסר הוא מידע מינימלי בלתי רגיש, כך שלכל היותר מדובר בפגיעה קלת ערך בפרטיות שאינה בת תביעה לפי סעיף 6 לחוק הגנת הפרטיות. יתר על כן לטענת המשיבות הן לא הטעו את לקוחותיהן באשר שמרו על סודיות ועל פרטיותם. המבקש לא ביסס קשר סיבתי בין ההטעיה ובין עשיית העסקה והנזק שכביכול נבע ממנה, כך לתפיסתן.

עמדת הפיקוח על הבנקים

ביום 22.9.16 הוגשה עמדת הפיקוח על הבנקים באשר לאופן זיהוי הלקוח בטרם מסירת מידע. הפיקוח הפנה להוראת ניהול בנקאי תקין 357 "ניהול טכנולוגיית המידע" (30.1.2011), אשר חלה על משיבה 1 (נספח 1 לעמדה). "בנקאות בתקשורת" הוגדרה בסעיף 19(א) להוראה באלה המילים:

"[...] אחזור מי דע על חשבונותיו של לקוח התאגיד הבנקאי או ביצוע פעולות או מתן הוראות לביצוע פעולות ביוזמת לקוח התאגיד הבנקאי, באמצעות מערכות תקשורת המקושרות למחשב התאגיד הבנקאי והעושות שימוש ברשת תקשורת (כגון: טלפוניה, אינטרנט, סלולרית) או שילוב בין רשתות תקשורת, למעט פעולות שהוראת ניהול בנקאי תקין מספר 435 (הוראות טלפוניות) חלה עליהן."

לעמדת הפיקוח העניין שלפניי מתאים להגדרה "בנקאות בתקשורת", הואיל והמבקש יצר קשר עם המשיבות ונענה במענה הקולי. בסעיף 19(ב) להוראה הוגדרו ארבע רמות שירות: רמת שירות (1) ("[...] העברת מידע מן התאגיד הבנקאי ללקוח על חשבונותיו (תנועות ויתרות)" ) הייתה הנמוכה ביותר מבחינת הסיכונים בשמירה על המידע, ואילו רמת שירות (4) הייתה הגבוהה ביותר מהיבט זה.

סעיף 22(א) להוראה קבע כי "בהתאם לאמור בסעיף 12(א), תאגיד בנקאי יקבע אמצעי זיהוי אישיים לכל לקוח מורשה גישה בחשבון". לדברי הפיקוח, לפי סעיף 12(א) יש לערוך זיהוי אישי חד-ערכי של כל גורם בעל גישה למערכת מידע כתנאי מוקדם למתן הגישה.

מסמך נוסף אליו הפנה הפיקוח על הבנקים הוא הנחיית רשם מאגרי מידע 1-2010 "דרישת מינימום לתהליכי אימות זהות של נושא מידע לצורך מתן גישה למידע שעליו במאגר מידע" (20.5.2010) (נספח 2 לעמדה). סעיף 4.2.2 הורה: "כאשר ניתנת גישה למידע במאגר מידע מרחוק, [...] יש לבצע אימות זהות של נושא המידע ברמה ובאמצעים התואמים את מידת רגישות המידע אליו מתבקשת הגישה או אליו מתאפשרת גישה באמצעות יכולת הגישה" (ההדגשה במקור). וכאמור בסעיף 4.2.3 לאותה הנחיה, "לשם קיום חובות אבטחת המידע והסודיות לעניין מתן גישה לנושא המידע, [...] יש לבצע את אימות זהות נושא המידע תוך שימוש בלפחות נתון אחד אשר אמור להיות ידוע אך ורק לנושא המידע [...]".

במקרה דנן, כפי שציינו המשיבות בתשובתן לבקשת האישור, מספר הטלפון ממנו התקשר הלקוח מבקש המידע , שימש לזיהויו אם היה מעודכן במערכותיהן, והוא נדרש להוסיף גם את מספר תעודת הזהות שלו ואת ארבע הספרות האחר ונות של מספר כרטיס האשראי שלו. לפי מדת הפיקוח על הבנקים, כאשר התקשר הלקוח ממספר הטלפון שלו, היה זיהוי אישי וחד-ערכי כקבוע בהוראה 357. אולם, הפיקוח לא הביע עמדה קיים זיהוי חד ערכי עת לקוח התקשר ממספר טלפון שאינו מעודכן במערכת המשיבות , התבקש הלקוח להקליד את מספר תעודת הזהות, את ארבע הספרות האחרונות של מספר כרטיס האשראי ואת תוקף הכרטי ס. יחד עם זאת, ציין הפיקוח על הבנקים, כי גם אם אמצעי הזיהוי הללו חלשים, הוראה 357 הנחתה את המשיבות להגדיר אמצעי זיהוי בהתאמה להערכת הסיכון שלהן (סעיף 11 לעמדה).

הפיקוח על הבנקים צירף לעמדתו (כנספח 3) את הוראת ניהול בנקאי תקין 367 "בנקאות בתקשורת" (21.7.2016), שפורסמה ביום 29.12.19 בד-בבד עם ביטולו של הפרק הרלוונטי בהוראה 357.

ככל שהדברים אמורים בהסכמת הלקוח למסירת מידע בעניינו במענה הקולי, עמדת הפיקוח על הבנקים היא שעל המשיבות לאפשר ללקוח לחזור בו מההסכמה ולחסום בפניו ערוץ תקשורת זה (סעיף 16 לעמדה).

דיון

לאחר הגשת בקשת האישור תיקנו המשיבות את אופן הזיהוי ,כך שעל מנת לקבל מענה קולי יש להקליד את שש הספרות האחרונות של מספר כרטיס האשראי במקום ארבע בלבד (עמ' 19 לפרוטוקול הדיון, שורות 20–21; סעיף 3 בעמ' 4 לסיכומים מטעם המבקש). כמו כן כיום, בעקבות התפתחות שחלה באסדרה, המשיבות מאפשרות ללקוחות להפסיק לקבל מידע במענה הקולי (סעיף 35 לסיכומים מטעמן). רשמתי לפניי שהמשיבות בצעו את התיקונים הללו.

לאחר חקירת הצדדים על תצהיריהם והגשת סיכומים, מצאתי לנכון לזמנם לישיבת תזכורת שהתקיימה ביום 14.5.20, והמלצתי למבקש להסתלק מבקשת האישור אגב פסיקת גמול ושכר טרחה. ההסתלקות נראית ראויה בעיניי בהתחשב בכך שהמשיבות תיקנו את המחדלים עליהם הלין המבקש, ואף עמדתי על הקשיים שבהוכחת הנזק.

מקובלת עליי עמדת המאסדר כי כאשר לקוח מתקשר ממספר הטלפון שלו שמעודכן במערכת, התקיים לכאורה זיהוי כדבעי, בהתחשב בסוג המידע שהתבקש. אשר לטלפון שאינו מזוהה במערכת, לא קיים מידע כמה אנשים התקשרו שלא מהטלפון שלהם (אם בכלל) , או אם נמסר מידע לכאלו שהתחזו לאחרים.

כאמור, לאחר הגשת הבקשה שינו המשיבות את אופן זיהוי המתקשרים לבקש מידע והוסיפו אמצעי זיהוי הן על ידי דרישה להקלדת שש הספרות האחרונות של מספר כרטיס האשראי ולא הסתפקו בארבע הספרות האחרונות בלבד ( פרט שלעיתים מופיע על גבי חשבוניות של בתי עסק) . כמו כן המשיבות מאפשרות ללקוחות להסיר את עצמם מרשימת מקבלי המידע במענה הקולי. בנסיבות העני ין, לאחר שהתובענה מיצתה עת עצמה על ידי תיקון המחדלים, סברתי שלא יהא זה נכון לנהל את ההליך.

המבקש קיבל את הצעתי והודיע כי הוא מבקש להסתלק מבקשת האישור. מאחר שמדובר בבקש ת הסתלקות אשר באה בעקבות הצעתי לאחר שנראה כי ההליך מיצה את עצמו, המחדלים עליו הצביע המבקש תוקנו וקיים קושי להוכיח נזק, אני מוצאת לנכון לאשרה.

בעניין הגמול ושכר טרחת ב"כ המבקש, המבקש השאיר לשיקול דעת בית המשפט תוך שהתבקש להתחשב בתועלת שהביאה התביעה לקבוצה. המשיבות בקשו לקבוע סכומים ברף הנמוך המקובל , בטווח שבין 10,000 ₪ ל-20,000 ₪. כן ביקשו לנכות מהסכומים שייפסקו את ההוצאות בהתאם להחלטה מיום 22.10.17 בבקשה מס' 19, בגדרה נקבע כי עניין ההוצאות יובא בחשבון בסוף ההליך.

לאחר ששקלתי את השיקולים המפורטים בסעיפים 22(ב) ו-23(ב) לחוק תובענות ייצוגיות, ובהם התועלת שהביא ההליך לציבור, העובדה שההליך נוהל ואף הוגשו סיכומים והקשיים שעוררה בקשת האישור, אני סבורה כי יש להתחשב בתיקון שעשו המשיבות בעקבות ולאחר הגשת בקשת האישור ובתועלת שהביאה בקשת האישור לקבוצה. עמדתי על הקשיים בהוכחת הנזק בתביעה שאישורה נתבקש. לפיכך אני קובעת כי ישולם למבקש גמול שסכומו 7500 ₪ ולב "כ המייצג – שכר טרחה על סך 25,000 ₪.

סוף דבר

בקשת האישור נמחקת, ותביעתו האישית של המבקש נדחית.

גמול ושכר טרחה בהתאם לאמור לעיל ישולמו בתוך 21 יום מהיום.

המזכירות תשלח עותק מפסק הדין לב"כ היועץ המשפטי לממשלה ולמנהל בתי המשפט.

ניתנה היום, כ"ט סיוון תש"פ, 21 יוני 2020, בהעדר הצדדים.