סגור
גג דו"ח טכנולוגי עומר כביר דסקטופ

דו"ח טכנולוגי
המקרה של סטודיו C: כשרשת פושטת רגל ומידע על לקוחות עובר ידיים

המכירה של רשת מכוני הכושר לנשים לחברה של רונית רפאל כללה העברת מידע על לקוחות בחסות בית המשפט אבל ללא הסכמתן: "המאגר כולל את שמות הלקוחות, מצבן הבריאותי, תדירות האימונים שלהן ועוד״. ככה זה כשגופי הממשלה שאמונים על הגנת האזרחים כושלים בתפקידם

הופיעו כאן כבר לא מעט סיפורים גדולים על פגיעה בפרטיות ועל הכשלים של הרשויות והרגולטורים להגן אזרחים מתאגידים שהופכים את המידע שלהם לחפץ לסחור בו ולהרוויח ממנו (הנה אחד מהם, ממש מהבוקר). הפעם, זהו דווקא סיפור קטן ולא בהכרח שערורייתי, שממחיש היטב עד כמה ההגנה על פרטיות אזרחים בישראל פרוצה.
הסיפור הזה מתחיל בפשיטת הרגל של רשת מכוני הכושר לנשים סטודיו סי, תוצאה של קשיים והפסדים שספגה בתקופת הקורונה. אחרי כמה הליכים ודיונים משפטיים, סוכם שהרשת תמכר ל"רונית רפאל מדע היופי", תמורת 1.06 מיליון שקל, לצד התחייבויות כמו חודש חינם ללקוחות עבר והעסקת 25% לפחות מהעובדים. הרכישה עצמה כללה מגוון נכסים, מרביתם רוחניים דוגמת סימני מסחר ומוניטין, וגם זכויות במאגרי המידע של סטודיו סי (שכוללים, סביר להניח, מידע רב על לקוחות הרשת).
וכאן, אומרת ל"דו"ח טכנולוגי" מנכ"לית עמותת פרטיות ישראל, עו"ד נעמה מטרסו, מתחילה הבעיה. "להערכתי מדובר פה בתקדים מדאיג שמידע של אנשים (מידע דמוגרפי ורפואי), הופך להיות נכס כלכלי של חברה, שנסחר בין חברות בחסות בית המשפט", היא הסבירה. "ניכר שבית המשפט לא שקל את היבטי הפרטיות בעסקה. בראש ובראשונה - האם הלקוחות הביעו את הסכמתם להעברת המידע לרונית רפאל? שנית, למה המידע יכול לשמש: האם רונית רפאל רשאית כעת להציע ללקוחות סטודיו סי שירותי יופי על ניתוח תפיסת הגוף של מנויות לסטודיו? שלישית, האם מאגר המידע כולל מידע של לקוחות עבר, שאינן לקוחות פעילות ומשכך צריכות להיגרע מהמאגר (למעט לצרכים משפטיים מוגבלים)?"
3 צפייה בגלריה
סטודיו סי סטודיו C קמפיין יאנה יוסף
סטודיו סי סטודיו C קמפיין יאנה יוסף
סטודיו סי
(צילום: גבע טלמור)
לדברי מטרסו, מאגר המידע של הלקוחות היה אחד הנכסים העיקריים בעסקת הרכישה: "המאגר כולל את שמות הלקוחות, מצבן הבריאותי, תדירות האימונים שלהן ועוד. מתגובתה של רונית רפאל לעסקה ניתן להבין כי רכש המידע הוא המניע העיקרי לרכישה, ומהווה חלק נכבד בסכום העסקה. עסקיה של רונית רפאל משיקים במידה רבה לעסקי רשת סטודיו סי, הן בקהל הלקוחות: נשים ונערות, והן בשירותים שעוסקים בדימוי גוף ואסתטיקה רפואית.
"ההתייחסות לנכס המידע של סטודיו סי כנכס סחיר, היא טעות ומנוגדת לחוק. המידע על לקוחותיה של סטודיו סי, בהן נערות, נאסף לצורך מתן שירותי כושר גופני על-ידי הרשת. העברת המידע לרונית רפאל כפופה להסכמת הלקוחות ולצורך המשך מתן השירותים לשמם נאסף המידע. כל שימוש אחר במידע של לקוחות הרשת על ידי רונית רפאל מהווה פגיעה בפרטיות והפרה של הוראות החוק".
מטרסו מסייגת את דבריה, ומציינת שמכיוון שהסכם המכר בין החברות לא פומבי, ייתכן שהוא מכיל סייגים בנוגע להעברת המידע והשימוש בו. ואולם, היא מוסיפה, "ככל שההסכם לא כולל הגבלות על השימוש במידע, ראוי היה שבית המשפט המחוזי שאישר את העסקה יתערב, ויקבע הגבלות ותנאים להעברת המידע, לרבות הודעה ללקוחות סטודיו סי וקבלת הסכמה מדעת לשימוש במידע".
הגנת המשתמשים
אין בשלב זה טענות כלשהן כלפי רונית רפאל. החברה ביצעה עסקה לגיטימית מבחינתה, ורכשה בין היתר נכס שהיא רואה כבעל ערך רב. ובצדק, כי אם יש דבר אחד שהרשת המודרנית לימדה אותנו הוא שמידע אישי שווה הרבה כסף. ובשלב זה, אין כל אינדיקציה שרשת רונית רפאל תעשה או מתכוונת לעשות שימוש לא ראוי במידע.
הבעיה כאן היא עם ההתנהלות של הגורמים שאמורים להגן על המשתמשים, ולהבטיח שהמידע האישי שלהם למוצר צריכה בעבור ארגונים שמעוניינים לסחוט ממנו כל שקל ודולר אפשרי.
בית המשפט, שלדברי מטרסו אישר את העסקה בלי להתייחס בכובד ראש מספק לסוגיית מידע הלקוחות, מעל בתפקידו להגן על כל הצדדים המעורבים. הוא חשב על הנושים, על העובדים, על הלקוחות הקיימים רק בכל הנוגע למנויים שכבר שילמו עליהם.
הסוגיה החשובה של מידע אישי של לקוחות, שנוגע גם ללקוחות עבר, לא זכתה להתייחסות מספקת, לפחות לא בדיונים הפומביים. הלקוחות עצמם לא יודעים מה יעשה במידע שלהם, כנראה גם לא יודעו שהוא עובר לבעלות הרוכשת החדשה, ולא קיבלו הזדמנות לבקש שהמידע עליהם ימחק.
3 צפייה בגלריה
מנכ"לית עמותת פרטיות ישראל, עו"ד נעמה מטרסו
מנכ"לית עמותת פרטיות ישראל, עו"ד נעמה מטרסו
עו"ד נעמה מטרסו, מנכ"לית עמותת פרטיות ישראל
(אולפן כלכליסט)
"משהפך מידע אישי לדלק שמניע תאגידים, הזכות לפרטיות הפכה לא רק לאתגר משפטי, אלא לאתגר עסקי וכלכלי", אמרה מטרסו. "ככזה, צריכים להתייחס להיבטי הפרטיות במידע בכל מופע עסקי: בהסכמים, מיזוגים, רכישות ובפירוק. בעידן שבו דאטה משפיעה על היבטים נרחבים בחיינו - אנחנו לא יכולים להרשות לעצמנו שהמידע שלנו ועלינו יהפוך לנכס סחיר, ככל נכס עסקי אחר".
אחרי שבית המשפט כשל, מטרסו מתעתדת לפנות לרשות להגנת הפרטיות במשרד המשפטים בבקשה שתתערב בסוגיה. לא הייתי מציע לה לעצור את נשמתה, כי אם יש משהו שרשות הפרטיות הוכיחה זה שהיא לא אפקטיבית ומגיבה באטיות ומאוחר מדי. השבוע קיבלנו שתי תזכורות טובות לכך.
רן בר-זיק חשף את הפרצה
ביום שלישי שלחה הרשות הודעה מסעירה לעיתונות, שכותרתה "ההתאחדות לכדורגל הפרה את הוראות חוק הגנת הפרטיות", ובתוכנה סיפרה: "חולשת אבטחה שהתגלתה באתר ההתאחדות אפשרה לכל גולש לבצע שינוי בכתובת האתר ולצפות במידע אישי וצילומי תעודות זהות של שחקנים, שופטים ובעלי תפקידים בקבוצות ובמועדונים". למי שמסקר את התחום הגילוי הזה נשמע קצת מוכר, ולא במקרה. כי המתכנת הבכיר רן בר-זיק חשף את הפרצה הזו בדיוק באפריל 2020 באתר הארץ.
הרשות לא גילתה את הפרצה מחדש, היא פתחה בהליך פיקוח בעקבות החשיפה של בר-זיק. והליך פיקוח זה, שהעלה ממצאים די חלביים ("התאחדות הכדורגל לא קיימה את נהליה הפנימיים בתחום אבטחת המידע, לא ביצעה סקר לאיתור סיכוני אבטחת מידע ומבדקי חדירות, לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכותיו נעשית בידי בעל הרשאה המורשה לכך בלבד ולא יישמה מנגנון תיעוד אוטומטי") ואפס סנקציות בינתיים, נמשך כמעט שנה וחצי. חקירות רצח אורכות פחות זמן, אפילו במשטרת ישראל. ומה המסר כאן לארגונים אחרים? אם לא תשמרו טוב על מידע, ננהל חקירה אטית שבסופה מסקנות רכות ואולי מכה קלה בגב כף היד. מרגישים שיש מי ששומר עליכם?
הדוגמה השנייה טמונה בחשיפת כלכליסט מהבוקר. במרכז החשיפה, דליפה רחבת היקף של מסמכים עם פרטים רגישים במיוחד של אלפי ישראלים מארגונים שונים. פרטים רגישים ברמות שלא היו כאן קודם לכן, אין מקום להכנס כאן לכל הסיפור אבל ממש שווה לקרוא.
מה שרלוונטי בהקשר הזה הוא התגובה של הגורמים האחראים – מערך הסייבר הלאומי והרשות להגנת הפרטיות – ברגע שקיבלו דיווח על טיב הדליפה (שקשורה, בין השאר, להגדרות גישה רחבות מדי בגוגל דוקס). חוקר האבטחה העצמאי שחשף אותה, ושהסכים להחשף רק בשמו הפרטי יהונתן, דיווח עליה למערך ולרשות לפני כחודשיים וחצי, בסוף מאי ובתחילת יוני. במערך, הגיבו בלקוניות, מבלי לבקש מידע נוסף או להתדיין עם יהונתן, ולא עשו דבר . ברשות הביעו עניין רב יותר, ביקשו פרטים נוספים ואף ניהלו שיחה עם החוקר, אך בסופו של דבר גם הם לא עשו דבר וכלל המסמכים, פרט לאחד, נשארו ברשת עד יום אתמול.
מה השתנה אתמול? יהונתן, שנואש מההתנהלות מול מערך הסייבר ורשות הפרטיות החל לפנות בעצמו לארגונים השונים שמסמכיהם דלפו, והסביר להם מה הבעיה ואיך לטפל בה. כל מי שהצליח ליצור אתו קשר (במקרים מסוימים מקור המסמך לא ברור) השיב במהירות והסיר את המסמך. "מגיע ציון אפס למערך הסייבר ולרשות להגנת הפרטיות וציון 9-10 לשאר הגופים", אמר יהונתן לדו"ח טכנולוגי. "כולם מגיבים ממש מהר. הייתי בטוח שזה בדיוק ההיפך. שגופי ממשלה עירניים בתחום הסייבר, ואילו הארגונים עצמם אדישים".
במערך הסייבר, אגב, טוענים שגם הם פנו לכל הארגונים לפני שבועות, בעקבות הדיווח של יהונתן (הגם שהם אומרים שם שזה בכלל לא אירוע "סייבר". נגיד). האם זה הגיוני שפנייה של מערך הסייבר זוכה להתעלמות בעוד כזו של חוקר פלוני למענה מיידי? תשפטו בעצמכם.
המקרה הזה, הטיפול של רשות הפרטיות בפרצה באתר התאחדות הכדורגל, היחס הלוקה בחסר למידע האישי של לקוחות סטודיו C ועוד מקרים רבים אחרים – כולם ממחישים שבכל הנוגע לפרטיות המידע של אזרחי ישראל, אין מי ששומר עלינו. אין גוף שמוכן לקחת אחריות, או שלוקח אחריות וגם פועל בצורה אפקטיבית. אם המידע שלכם דלף, נמכר או נפרץ, אין לכם על מי לסמוך. לא על בית המשפט, לא על מערך הסייבר, לא על רשות הפרטיות. אתם, כולנו, תלויים בחסדיהם של חוקר אבטחת מידע אידיאולוגי ונחוש וטוב לבם של גופים אלו ואחרים. איש איש לעצמו.