בעקבות פרצה מורכבת במערכות פייסבוק, בספטמבר 2018 הצליחה קבוצת האקרים לשאוב מידע אישי אודות עשרות מיליוני משתמשים. המידע שנחשף השתנה בין המשתמשים השונים כתלות בגישה שהצליחה הקבוצה להשיג וכתלות במידע ששיתף המשתמש בפלטפורמה.
בין פרטי המידע שנחשפו היו ציר הזמן של המשתמשים (פוסטים, סרטונים, "צ'ק אין" ועוד), מידע ששיתפו תחת אודותיהם (שם, פרטי קשר, מקום עבודה, מגורים ועוד) מידע נוסף כגון סוגי המכשירים שבהם השתמשו כדי לגשת לפייסבוק, "תיוגים", האנשים או הדפים שהמשתמשים "עקבו" אחריהם, 15 החיפושים האחרונים, מיקום, שפה ועוד.
ימים ספורים לאחר שהודיעה פייסבוק לתקשורת על הפריצה, הוגשה הבקשה לאישור תובענה ייצוגית בנושא (אקסלרוד נ' Facebook Inc). התובעים ביקשו לאשר את התובענה על בסיס מספר עילות משפטיות: הפרת סעיף 2 לחוק הגנת הפרטיות, הטעיה על פי חוק הגנת הצרכן, הפרת חובת הגילוי על פי חוק הגנת הצרכן, הפרת חוזה, פגיעה באוטונומיה, תנאי מקפח בחוזה אחיד, הפרת חובה חקוקה על פי פקודת הנזיקין ועוולת הרשלנות.
את מרבית העילות לעיל ביססו התובעים, ראשית, על הטענה כי פייסבוק הציגה את המערכת שלה כבלתי חדירה באופן שהטעה את הציבור, ושנית על כך שפייסבוק לא עשתה מספיק על מנת למנוע את פרצת האבטחה.
על טענות המצגים של פייסבוק, קבע בית המשפט כי זו לא הציגה את המערכת שלה כבלתי חדירה, ההיפך הוא הנכון. בתנאי השימוש היא ציינה באופן ברור כי על אף הניסיונות שלה למגר פריצות אבטחה, אלו עשויות להתקיים, וכי אחריות המשתמש לשתף מידע אישי רק באופן שלוקח את הסיכון בחשבון.
על הטענה כי פייסבוק התרשלה במניעת פרצת האבטחה, הכריע בית המשפט כי עצם קיומה של פרצה אינו מחייב את המסקנה כי הנתבעת פעלה שלא באופן מספק לקידום אבטחת המידע. במילים אחרות, בית המשפט מכיר בכך שאין מערכת חסינה מפריצות, וככל שהחברה פועלת באופן מסור למיגור הפרצות ועומדת בסטנדרטים הנדרשים, אין לראותה כרשלנית.
ביחס לטענות הפרת הפרטיות, בית המשפט קבע כי פייסבוק היא לא זו שהפרה את הפרטיות של המשתמשים, אלא הפורצים הם אלו שהפרו את פרטיותם. ככל שיש לפייסבוק אחריות לפרטיות משתמשיה בסיטואציה כזו, היא כחלק מעוולת הרשלנות. בנוסף קבע בית המשפט כי גם אם הפרה את הפרטיות, קיימת לה הגנה על בסיס ס'18(2)(א) לחוק הגנת הפרטיות משום שמדובר על פרצה מתוחכמת וקשה לטעון שהייתה יכולה לדעת עליה.
הערה מעניינת נאמרה על ידי השופט, ביחס לשאלת הוכחת הנזק האישי של התובע, כאשר קבע כי מידע אישי אשר פורסם בפרופיל פומבי (אשר לא הוגבל לקבוצת אנשים בלבד) הוא אינו מידע פרטי לפי חוק הגנת הפרטיות ולכן חשיפתו אינה יכולה להוות פגיעה בפרטיות. קביעה זו מצטרפת לפסיקות סותרות בסוגיה זו ברחבי העולם, ומעניין לראות כיצד זו תשפיע על אופן האיסוף והשימוש במידע בישראל.
