ביום 27.2.2020 הונחה על שולחן הכנסת הצעת חוק, במסגרתה מוצע להוסיף לרשימות העילות שחוק תובענות ייצוגיות מאפשר להגיש בגינן תובענה ייצוגית חלופה נוספת – "תביעה בעילה של הפרת הזכות לפרטיות". לפי דברי ההסבר להצעת החוק, לכאורה לא ניתן כיום בישראל להגיש בקשה לאישור תובענה ייצוגית כנגד גוף המפר את זכותם של פרטים להגנת המידע הנאסף עליהם, למרות אירועים של פרצות באבטחת המידע של ארגונים שונים האוספים מידע אישי, החושפות פרטי מידע של אלפים רבים של אנשים.

 

בדברי ההסבר להצעת החוק נכתב: "ההגנה על הזכות לפרטיות חשובה במיוחד בעידן בו אנו חיים, בו למידע עצמו יש ערך סחיר. סחר במידע או מתן נגישות למידע שנצבר על אנשים בחברות מסחריות הוא חלק מדפוס הפעולה של חברות רבות בעידן האינטרנט. גם היום החוק הישראלי להגנת הפרטיות אינו מספק את ההגנה המתבקשת בעידן המודרני, וישראל מפגרת בחקיקה בוודאי נוכח ה-GDPR האירופי...".

 

כידוע, על מנת להגיש בקשה לאישור תובענה ייצוגיות על ההליך להתבסס על אחת מן התביעות המפורטות בתוספת השנייה לחוק תובענות ייצוגיות, אשר רק בהן ניתן להגיש בה בקשה לאישור תובענה ייצוגית. 

 

על אף שבתוספת השנייה לחוק תובענות ייצוגיות לא נכללת תביעה בעילה של הפרת הזכות לפרטיות, הוגשו בעבר לבתי המשפט בישראל בקשות לאישור תובענה ייצוגית בתחום זה, כאשר נעשה שימוש בפרט 1 לתוספת השנייה לחוק תובענות ייצוגיות, העוסק ב"תביעה נגד עוסק, כהגדרתו בחוק הגנת הצרכן, בקשר לענין שבינו לבין לקוח, בין אם התקשרו בעסקה ובין אם לאו". היתכנותה של פרקטיקה זו טרם הוכרעה ע"י בית המשפט העליון, אך בקשות שהוגשו לסילוק על הסף של תביעות מעין אלה נדחו.

 

עוד יצוין, כי ספק אם הדרך הראויה להוספת פרט לתוספת השנייה היא באמצעות הצעת חוק, כאשר חוק תובענות ייצוגיות עצמו קובע בסעיף 30 לחוק כי שר המשפטים רשאי, באישור ועדת החוקה חוק ומשפט של הכנסת ולאחר התייעצות עם שר האוצר, להוסיף פרטים נוספים לתוספת השנייה. הגם שכאמור יש ספק אם יש צורך בתיקון החוק בהתאם להצעת החוק הפרטית, לאור חשיבות הנושא, נתייחס בקצרה להליכים ייצוגיים שהוגשו לאחרונה בחו"ל לעניין זה.

 

תקנה 80 לתקנות הגנת הפרטיות האירופאיות (ה-GDPR) מאפשרת למי שפרטיותם נפגעה להסמיך גוף סטטוטורי העוסק בהגנה על זכויות הפרטיות של אנשים, לייצגם בהגשת תובענה כנגד המפר, וזאת בהתאם לחוקי כל מדינה אירופאית. בנוסף, גופים אלו, רשאים לפעול אף ללא הסמכה של פרטים שנפגעו. עם כניסת ה-GDPR לתוקף הסברה הייתה כי תקנה זו תביא עמה גל של הליכים משפטיים. בפועל, תקנה 80 מגבילה את הגופים הרשאים לתבוע מכוחה לגופים שאינם למטרות רווח, פעילים בתחום הגנת הפרטיות ומטרתם הגנה על האינטרס הציבורי. יש לשער שהטלת מגבלות אלה על הגופים שמורשים לפתוח בהליך ייצוגי, היא הסיבה לכך שלא ראינו עד לאחרונה הליכים מסוג זה באירופה.

 

עם זאת ניתן לציין כי לאחרונה נפתח בהולנד הליך ייצוגי על ידי מלכ"ר בשם קולקטיב הפרטיות (“The Privacy Collective”) כנגד התאגידים אורקל וסיילספורס, בגין הפרה לכאורה של תקנות ה-GDPR בנוגע לשימוש ב-Cookies. תביעה דומה הוגשה בלונדון על ידי מרטין בריינט, יועץ טכנולוגי, כנגד תאגיד רשת בתי המלון מריוט, בהמשך לפרצת אבטחה שדווחה על ידי מריוט לפני כשנתיים, ובה נתבעים נזקים בשם לקוחות מריוט.

 

יש לציין כי בארצות-הברית אישר בית המשפט הפדרלי בספטמבר 2019 את ניהולן של תובענות ייצוגיות נגד פייסבוק, בגין הפרת פרטיות המשתמשים.

בפסיקתו, דחה תחילה בית המשפט את טענת פייסבוק כי לאנשים אין זכות לגיטימית לפרטיות במידע שהם מעמידים לרשות חבריהם ברשת החברתית. נפסק כי כאשר אדם משתף מידע רגיש עם קהל מוגבל בהיקפו הוא שומר על זכותו לפרטיות ויכול לתבוע אחרים על הפרת הזכות.

בית המשפט דחה גם את טענת פייסבוק כי אף אם יש למשתמשים זכות לפרטיות על המידע שמשתפים עם חבריהם ברשת החברתית, הרי שלא נגרם להם כל נזק ממשי מהפצת המידע. בעניין זה, קבע בית המשפט, כי הפלישה לפרטיות היא עצמה פגיעה אשר ניתן להגיש בגינה תביעה, גם אם זו לא הביאה לפגיעה כלכלית דוגמת גניבת זהות. לבסוף, קבע בית המשפט כי גם טענת פייסבוק כי המשתמשים הסכימו בעת השימוש להפצה רחבה של המידע הרגיש ששיתפו, אין בה כדי למנוע לחלוטין ניהולן של תובענות ייצוגיות נגדה בהקשר זה אלא רק להגביל את היקפן. בין היתר, עמד בית המשפט על כך, שהמשתמשים מעולם לא הסכימו לכך פרקטיקה הרווחת שפייסבוק מאפשרת לחברות ולאנשים הפרטיים למכור את המידע שחולקים המשתמשים או לנצלו לרעה בדרך אחרת.