רשות הפרטיות קנסה חברה על הפרות של מיליוני שקלים - ב-320 אלף שקל בלבד
רשות הפרטיות קנסה חברה על הפרות של מיליוני שקלים - ב-320 אלף שקל בלבד
חברת מאגרי המידע דאטה אונליין נקנסה לאחר שעברה שורה של עבירות. בין היתר, היא החזיקה במאגרי מידע ללא רישום, אספה מידע באופן לא חוקי וניצלה לקוחות כדי לטייב נתונים. לפי החוק, רשות הפרטיות יכולה לקנוס עברייני פרטיות בסכום של עד 25 אלף שקל להפרה. הקנס הסופי הוא למעשה אוסף של מספר קנסות
רשות הפרטיות קנסה את חברת מאגרי המידע דאטה אונליין (הרשומה כחברת בי.אמ.סי ליאן גרופ בע"מ) ב-320 אלף שקל בלבד. זאת, על אף שהעבירות שהחברה ביצעה גרמו נזק למיליוני ישראלים בסכומים של מיליוני שקלים.
על פי חוק הפרטיות של מדינת ישראל, שמקורותיו בתחילת שנות ה-80, רשות הפרטיות יכולה לקנוס עברייני פרטיות בהיקף של עד 25 אלף שקל להפרה. על פי הודעת רשות הפרטיות אתמול (א'), הקנס הסופי הוא למעשה אוסף של מספר קנסות שכל אחד מהם הוא על עבירה ספציפית.
חברת דאטה-אונליין שעליה הושת הקנס אינה חדשה בתחום הפרות הפרטיות. החברה עשתה שימוש במידע רב שברשותה וסחרה בו, זאת על אף שמעולם לא רשמה את מאגרי המידע אצל רשם מאגרי המידע, מה שהוביל לקנס ראשון בסך 10,000 שקל. היא החזיקה במאגרי מידע רבים החייבים ברישום, וחמור מכך - המידע הכלול בהם לא נאסף על ידה אלא הושג ממקורות שונים באופן בלתי חוקי. בחלק מהמקרים היא ניצלה לקוחות שפנו אליה, כגון קופת חולים גדולה, כדי לטייב נתונים - כלומר לוודא שהמידע שמופיע במאגר נכון.
החברה ניצלה את המאגר של הלקוחה שלה כדי לטייב מאגרים שכבר היו ברשותה. את המאגרים האלה, שחלקם כוללים מאות אלפי ואף מיליוני פריטי זהות ודרכי התקשרות (מספרי טלפון, כתובות מייל או כתובות מגורים), היא מכרה הלאה למשתמשי קצה כמאגרי לידים לפרסום, ספאם ופנייה לאזרחים להצעה של שירותים או מוצרים. כלומר, החברה הוסיפה למאגר שהעתיקה מהלקוחות מידע נוסף המצוי כבר בחזקתה, סידרה ופילחה אותו מחדש. הפעולה הזו מוגדרת בחוק הפרטיות כהקמה של מאגר מידע חדש המוחזק על ידה ושמעולם לא נרשם או שהחברה מעולם לא הגדירה את מטרתו.
הרשות מצאה כי החברה עשתה שימוש בעשרה מאגרי מידע החייבים ברישום בניגוד למטרה שלשמה הוקמו. בגין כל הפרה, כזו הוטל קנס בסך 25 אלף שקל, ובסה"כ 250 אלף שקל. מעבר לכך, כשפנתה החברה לאזרחים או לחברות לקבלת מידע עליהם לצורך החזקתו או שימוש בו, היא כמובן הסתירה את מטרת איסוף המידע, ועל כך הוטל עליה קנס בסך 15 אלף שקל. אבל היא לא הסתפקה בכך - היא גם ביצעה עבור לקוחותיה פניות לנושאי מידע כדי שירכשו מוצרים הנמכרים על ידי לקוחותיה.
הפניות שלה לבעלי המידע נעשו דרך "דיוור ישיר". גם כאן, היא ניהלה והחזיקה במאגר מידע המשמש לשירותי דיוור ישיר, בלי לרשום את מאגר המידע ולקבוע כי אחת ממטרותיו הרשומות היא שירותי דיוור, מה שתורגם לקנס בסך 15 אלף שקל נוספים.
בנוסף, הפניות של החברה לא ציינו באופן ברור ובולט כי הפנייה הינה בדיוור ישיר, מהו מספר רישום המאגר, ועל זכותו של מקבל הפנייה להימחק מהמאגר. היא גם הסתירה את זהותו ומענו של בעל מאגר המידע שעל בסיסו הועברה הפנייה, מה שזיכה אותה בעוד קנס בסך 15 אלף שקל. כמו כן, לחברה לא היה מנגנון להסרת פרטים של המבקשים להיות מוסרים ממאגר מידע, ולא אותר אף מקרה בו הוסר נושא מידע ממאגר כלשהו לבקשתו, וזאת על אף שנושאי מידע רבים ביקשו זאת מהחברה, מה שתורגם לקנס בסך 15 אלף שקל.
שוק הלידים וטיוב הנתונים מהווה בוננזה עסקית לאלה שמכירים את מגבלות רשויות האכיפה. זה שוק שבו מוכרים לידים לחברות או מטייבים מידע ולאחר מכן משתלטים על המאגר ומוכרים אותו הלאה. לשם המחשה, ליד מטויב באיכות גבוהה יכול להימכר גם ביותר משקל וחצי לרשומה, אם כי לרוב המחירים נעים בין אגורות בודדות לפריטי מידע בסיסיים ועד שקל אחד לרשומה ממוצעת. במקרה הנוכחי, למשל, מדובר על מאגרי מידע של קופת חולים עם מיליוני רשומות ששימש באופן לא חוקי את דאטה אונליין ומאגרי מידע שסופקו על ידי מועמדים בבחירות לרשויות המקומיות ושימשו לטיוב נוסף של הנתונים הקיימים.
המקור של מאגרי המידע הופך אותם למאוד רלוונטיים לגורמים מסחריים רבים, למשל חברות שמחפשות לפנות לאוכלוסיות מסוימות. מידע של קופות החולים כולל הרבה פעמים גם דרכי התקשרות מעודכנות בזכות השירות שהן מעניקות. מעטים הם אלה שימסרו לקופת החולים שלהם פריטי מידע שגויים או חסרים. גם המידע של מועמדים מאפשר פילוח של אוכלוסיות, בעיקר אם מדובר במידע שמגיע ממפלגות סקטוריאליות.
כדי להמחיש עד כמה האכיפה על העבריינים בעייתית, די לציין שאת הליך האכיפה הנוכחי החלה רשות הפרטיות ב-2019. זאת ועוד, בהליך חקירת החברה התברר שמעבר לשימוש בלתי חוקי במאגרים, הם גם לא אובטחו כראוי. התגלה כי המידע שהוחזק על-ידי החברה לא אובטח כנדרש בחוק והוחזק בקבצי אקסל השמורים על מספר מחשבים ואמצעי אחסון בצורה לא מאובטחת. במילים אחרות, אם המידע היה דולף לגורם צד שלישי זדוני, מדובר היה באסון, שכן הוא היה מאפשר לאותו גורם לסחוט אחרים או להעביר אותו לגורמים עוינים.
בהליך האכיפה הראשון שנפתח מולה, הרשות קיבלה מדאטה אונליין הבטחה מפורשת כי תפסיק לעסוק בתחום מאגרי מידע, יצירת לידים איכותיים, איסוף נתונים והשבחת מידע, ושהיא אינה מחזיקה במאגרי מידע נוספים מעבר לאלה שנתפסו בהליך הפיקוח. אולם למרות הצהרה זו, החברה לא חדלה ממעשיה, והרשות להגנת הפרטיות חשפה כי החברה ממשיכה בפעילותה הלא חוקית.
עו"ד לינא כמאל טרודי, הממונה על הפיקוח המנהלי ברשות להגנת הפרטיות, מסרה: "מדובר בפרשה חמורה של סחר ושימוש במידע אישי ורגיש של מיליוני אזרחים, על-ידי חברה שהייתה מהגדולות בארץ בתחומה, ושהפרה באופן שיטתי ובוטה את הוראות חוק הגנת הפרטיות ותקנותיו. חמור מכך, החברה עשתה זאת במשך שנים, למרות השהייתה של בקשת רישום מאגר שהגישה בעבר, בעקבותיה היא אף הצהירה על מחיקת המידע הלא חוקי שיש ברשותה והפסקת פעילותה העסקית בתחום".