הבלוג של יורם ליכטנשטיין

תקנות הגנת הפרטיות (אבטחת מאגרי מידע)

תקנות הגנת הפרטיות (אבטחת מאגרי מידע)

פרטיות ואבטחת מידע במאגרי מידע הוא נושא חשוב שנמצא בעצם ימים אלו בלב ליבה של העשייה המשפטית בדיני הטכנולוגיה השונים.

חשוב להדגיש – תקנות אבטחת המידע החדשות אינן סתם שינוי, אלא הן כמעט רעידת אדמה. יש לשים אליהן לב וללמוד אותן באופן אינטנסיבי בשיתוף פעולה של מומחי אבטחה ועורכי דין.

ב-8.5.2017 פורסמו תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 אשר משפיעות על רבים מאיתנו. כמעט לכל חברת הזנק (סטארט-אפ) ועסק אחר יש מאגרי מידע שמומלץ מאוד להגן עליהם כמפורט בתקנות.

האקר ואבטחת מידע

האקר ואבטחת מידע

סוף סוף מגדיר המחוקק בצורה מדוקדקת, יחסית, את הצעדים שעל בעל מאגר מידע לנקוט לשם הגנה על המאגר ומניעת הפרת הפרטיות של נשואי המידע. למשל: אילו מסמכים עליו להכין, אילו תכניות עליו לתכנן מראש, מול אילו תרחישים עליו להתמודד, חובתו למפות את מאגר המידע שלו, חובתו לאתר את האיומים על המאגר ודרכי ההתמודדות שלו עימם, חובתו לעקוב אחר השינויים המתרחשים בנושא, ועוד.

שימו לב שהתקנות יכנסו לתוקפן בעוד שנה ממועד פרסומן, כך שזה הזמן להתחיל ולהתארגן. אל תאמרו "מחר".

מטרת מאמר זה היא סקירה כללית, מתן מידע כללי ואין להסתמך עליו כיעוץ. בכל מקרה שקשור אליכם באופן ספציפי, הרי מדובר בנושא מורכב ביותר ואני ממליץ בכל לשון של המלצה לגשת לעורך דין מומחה בתחום. התקנות מורכבות הרבה יותר מכפי שנראה במאמר זה ולכן זהו סיכום חלקי בלבד.

  • על מי חלות התקנות?

התקנות חלות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים. כל אחד מאלו עשוי להיות חשוף אם לא יפעל כדין לפי התקנות.

  • סוגי מאגרי המידע

התקנות מחלקות את המאגרים לארבעה סוגים, כשרמת האבטחה הנדרשת ביחס לכל אחד מהם הולכת וגוברת.

ראשית, מאגר מידע המנוהל על ידי יחיד. זה הוא מאגר שהגישה אליו נמצאת בידי לא יותר מ-3 אנשים, ובלבד שמטרתו אינה איסוף מידע לצורך מסירתו לאחר (כמו שירות דיוור ישיר), הוא אינו מכיל מידע על יותר מ-10,000 איש ואינו כולל מידע הכפוף לחובת סודיות.

מאגר המידע הבא הינו מאגר מידע ברמת אבטחה בסיסית (זו הגדרה שיורית – מאגר שאינו מוגדר כמנוהל על ידי יחיד ואינו נכנס לאחת הקבוצות הבאות של רמת אבטחה גבוהה יותר).

הרמות הבאות של אופי מאגרי המידע נמצאות בתוספות לתקנות – בתוספת הראשונה (רמת אבטחה בינונית) והשניה (רמת אבטחה גבוהה) לתקנות.

רמת אבטחה בינונית מתייחסת למאגר מידע שמורשי הגישה אליו עולים של עשרה, שהוא בבעלות גוף ציבורי או שיש בו מידע רגיש. מאגר ברמת אבטחה גבוהה הוא כזה שהוא של גוף ציבורי שמטרתו לאסוף מידע לצורך מסירתו לאחר או כזה המכיל מידע רגיש, ובלבד שהוא מכיל מידע על 100,000 אנשים ומעלה או שמספר מורשי הגישה אליו עולה על 100.

מידע רגיש יכלול למשל מידע מהסוגים הבאים: מידע על צנעת חיי האדם; התנהגותו של אדם ברשות היחיד; מידע רפואי או נפשי; מידע גנטי; מידע אודות דעות פוליטיות או אמונות דתיות; על עבר פלילי; נתוני תקשורת; מידע ביומטרי; מידע על נכסיו, חובותיו והתחייבויותיו של אדם; הרגלי צריכה של אדם וכדומה.

תוכן המידע במאגר קובע רק חלק ממידת האבטחה הנדרשת ויש חשיבות רבה גם להיקפו ולמידת הנגישות של אנשים אל המידע שבו. גם הם משפיעים על מידת האבטחה הנדרשת בכל מאגר.

טרם שנמשיך אזכיר רק כי חלק גדול מהחובות המפורטות להלן, כלל אינן חלות על מאגר מידע שבבעלות יחיד, ומומלץ לבחון זאת היטב (החובות העיקריות החלות על מאגרים שכאלו הן חובת ניסוח מסמך הגדרות המאגר, אבטחה פיזית של המאגר, נקיטת אמצעי אבטחה לגישה רק של כח אדם מורשה במידה הנדרשת בלבד, תיעוד ארועי אבטחה וחשש לפגיעה או חריגה מהרשאה, הגבלת התחברות להתקנים ניידים, הפרדת המערכות ואבטחת התקשורת).

  • מינוי ממונה אבטחת מידע

מחזיקי מאגרי מידע מסויימים (למשל חברות ציבוריות, חברות פיננסיות, חברות המחזיקות בחמישה או יותר מאגרי מידע החייבים רישום) צריכים למנות ממונה אחראי לתחום אבטחת המידע, שיהיה כפוף ישירות למנהל המאגר עצמו.

ממונה אבטחת המידע יכין נוהל אבטחת מידע וידאג לאישורו. הממונה אף יכין תוכנית לביקורת שוטפת על העמידה בתקנות, יבצע אותה ויודיע לבעל המאגר על התוצאות והממצאים.

התקנות מסדירות מספר חובות וזכויות נוספות של הממונה כמו הכפיפות הישירה לבעל מאגר המידע, האיסור על המצאות במצב של ניגוד עניינים והחובה להכין תכניות ולבדוק אותן באופן שוטף.

  • מסמך הגדרות מאגר המידע

התקנות מחייבות כל בעל מאגר מידע לבדוק את עצמו ולהכין מסמך הגדרות מאגר, כבסיס לשאלת היקף הצורך באבטחת מידע.

מסמך הגדרות המידע יכלול, בין היתר:

  1. תיאור כללי של פעולות האיסוף והשימוש במידע שנאגר אצלו.
  2. תיאור מטרות השימוש במידע.
  3. סוגי המידע השונים הנכללים במאגר.
  4. פרטים על העברת המאגר או חלק מהותי ממנו אל מחוץ לגבולות המדינה (שימו לב. גם אחסון בשרתי ענן נכנס בגדר רכיב זה).
  5. פעולות העיבוד המבוצעות במידע.
  6. סקירת סיכוני האבטחה העיקריים וקביעת מדיניות התמודדות.
  7. שם מנהל המאגר, מחזיק המאגר וממונה האבטחה בו.

אין המדובר בפעילות חד פעמית אלא יש חובה לעדכן את המסמך בכל עת בו נעשה שינוי מהותי בנושאים הנכללים בו. כלומר, הארגון חייב לדאוג שיהיה אצלו אדם שתפקידו להיות מודע לנושא זה של אבטחת מידע, לעקוב אחריו ולבדוק את שינויים (במאגר או בחוק).

  • נוהל אבטחת מידע

בעל מאגר המידע חייב להכין מסמך נוהל אבטחת מידע, שיוכן על בסיס מסמך הגדרות המאגר ויתאם לתקנות אבטחת המידע. נוהל האבטחה יכלול בין השאר גם –

  1. הוראות בדבר אבטחה פיזית של אתר המאגר וסביבתו.
  2. פירוט הרשאות הגישה למאגר ולמערכותיו.
  3. תיאור אמצעי הגנה על מערכות המאגר ואופן הפעלתם.
  4. הוראות למורשי הגישה למאגר ולמערכותיו לצןרך הגנה על המידע שבמאגר.
  5. הסיכונים להם חשוף המידע שבמאגר במסגרת הפעילות השוטפת של בעל המאגר (לרבות סוגי סיכונים שונים), אופן קביעת הסיכונים ואופן הטיפול בהם (כולל מנגנוני הצפנה מקובלים, ועוד).
  6. אופן התמודדות עם ארועי אבטחה.
  7. הוראות ניהול ושימוש בהתקנים ניידים.

במאגרים ברמת אבטחה בינונית וגבוהה יכלול נוהל אבטחת המידע גם את –

  1. אמצעי הזיהוי ואימות לצורך מתן גישה למאגר.
  2. אופן הבקרה על השימוש במאגר המידע, והתיעוד שלו.
  3. הוראות לעריכת ביקורות תקופתיות ווידוא קיום אמצעי האבטחה.
  4. הוראות ביחס לגיבוי הנתונים.
  5. הוראות ביחס לביצוע פעולות פיתוח במאגר ותיעודן, כולל גישת אנשי הפיתוח לנתונים עצמם.

נדרשת בדיקה שנתית ובעקבותיה יש לפעול לעדכון הנוהל, אם יש צורך בכך. כלומר, התקנות מחייבות מעקב ונדרש עדכון שוטף. מעבר לכך מחוייב עדכון הנוהל גם כאשר נעשים שינויים מהותיים במאגר או במערכות עיבוד המידע וכן כאשר נודע על סיכונים טכנולוגיים חדשים. מועדי הבחינה של הארועים השוטפים ותדירות עדכון נוהל אבטחת מידע תלויים ברמת האבטחה של המאגר (אחת לשנה או אחת לרבעון, ברמה הבינונית או הגבוהה, בהתאמה).

הנוהל צריך להתייחס לכל מאגרי המידע שבניהול ובבעלות אותו עסק.

  • מבנה מאגר המידע

בעל מאגר מידע חייב להחזיק, נוסף על כל האמור לעיל, גם מסמך מעודכן של מבנה מאגר המידע ורשימת מצאי של מערכות המידע. מסמך מבנה מאגר המידע ורשימת המצאי של מערכות המידע במאגר יכללו גם פרטים אודות:

  1. תשתית ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע במאגר.
  2. מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהולו ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו.
  3. תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן.
  4. תרשים הרשת שפועל בה המאגר, כולל תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי.
  5. תאריך עדכון אחרון של המסמך והרשימה.

מסמכים אלו נחשבים חסויים, ויש למסרם לבעלי התפקידים בחברה רק בהיקף הנדרש לצורך ביצוע תפקידיהם.

  • סקר סיכוני אבטחת מידע ומבחני חדירה

במאגר מידע ברמת אבטחה גבוהה חלה חובה לערוך סקר סיכוני אבטחת מידע, לדון בו, לבחון אותו, לעדכן את המסמכים השונים בהתאם לו ולפעול לתיקון הליקויים שהתגלו בסקר. סקר כזה ייערך כל 18 חודשים לפחות.

במאגר כזה גם קמה חובה לבצע מבדקי חדירות אקטיביים למאגר, לבחינת עמידותו. גם זאת, לפחות אחת ל-18 חודשים. כמובן שחובה לטפל בממצאים ולתקנם.

  • חובת אבטחה פיזית

החובה לאבטח מאגר אינה חלה רק על הצד הדיגיטלי אלא גם על הצד הפיסי שלו, החצרים והחומרה.

בעל מאגר מידע חייב לשמור את מערכות המאגר באתר מוגן, המונע כניסה וחדירה אליו ללא הרשאה, ותואם את רגישות התוכן שבמאגר. למשל – חדר נעול, למשל כספות מאווררות וממוזגות וכדומה, לפי הצורך.

ככל שרמת הרגישות של המאגר גדלה, חלות חובות נוספות על בעל המאגר ביחס לרכיבים הפיזיים, לדוגמא – חובת תיעוד כניסות ויציאות והכנסת ציוד.

בעל המאגר אף חייב להגביל את האפשרות לחבר התקנים ניידים למערכות המידע במידה ההולמת את המידע המאוחסן שם, ולהתקין אמצעי הגנה בפני מצבים שעלולים לצוץ בעקבות חיבור שכזה. בעל המאגר גם חייב להתייחס למידע שהועתק להתקן נייד ולקבוע אמצעי הגנה מתאימים, כמו למשל הצפנה של תוכן כאמור.

צריכה להיות גם הפרדה בין מערכות המאגר המאפשרות גישה למאגר, ליתר מערכות המחשוב של בעל המאגר.

  • חובת אבטחה של המערכת

מערכות המאגר, החומרה והתוכנה, חייבות להיות מעודכנות באופן שוטף, להתאים למטרתן ולאפשר תמיכה של היצרן באבטחה שלהן.

עוד אבטחה של המערכת חייבת להתייחס לתקשורת היוצאת ונכנסת למאגר. אסור למשל לחבר את מאגר המידע לרשת האינטרנט או לרשת ציבורית ללא אמצעי הגנה מתאימים בפני חדירה לא מורשית או מפני נוזקות שונות.

עוד חובה המתייחסת לגישה למאגר היא גם אמצעי זיהוי מתקשרים מרחוק ואימות הרשאות. במיוחד כאשר מדובר במאגרים ברמה בינונית וגבוהה.

  • חובת אבטחה מול כח האדם של המחזיק/הבעלים

אחת מחובות בעל מאגר המידע היא לדאוג לניהול הרשאות הגישה של עובדיו למאגר, באופן שימנע גישה של עובדים מיותרים או חשיפה מיותרת של הנתונים. על בעל המאגר להבין ולנהל את חובת נקיטת אמצעי ההגנה מול עובדיו כבר בשלב שכירת העובדים (ולהתאים לכך את הסכם ההעסקה שלו) וכן בהמשך הדרך בעת קביעת הרשאות הגישה למאגר.

בעל המאגר חייב לנהל את הרשאות הגישה למאגר בצורה מסודרת ובהתאם למטרות כל תפקיד בלבד. מעבר לכך, החובה אינה רק בשלב ההרשאה, אלא גם בשלב זיהוי האדם כשהוא מבקש להכנס למאגר. כשמאגר המידע הרלוונטי הוא ברמת אבטחה יותר גבוהה, מנגנונים אלו של הרשאות וזיהוי הופכים להיות נוקשים יותר, כולל החובה לבטל את ההרשאות במקרים המתאימים.

עוד חובה חדשה הקבועה בתקנות היא החובה להעביר את העובדים הדרכות שוטפות לבעלי הרשאות ביחס לחוק ולתקנות הפרטיות – אבטחת מאגרי מידע. לכל רמת מאגר מידע יש חובה תואמת של הדרכות ברמה הנדרשת.

וכמובן חובת תיעוד הגישות למאגר. ברמות אבטחה גבוהות חובה זו צריכה להיות מנוהלת בצורה אוטומטית ולכלול את כל הנתונים הרלוונטיים (כמו זהות המשתמש, תאריך ושעת נסיון הגישה, הרכיב אליו בוצע הנסיון, סוג הגישה, היקפה ומידת הצלחתה). נדרש למנוע עד כמה שניתן אפשרות לעקוף מנגנון זה ולאפשר שליחת הודעה בזמן אמת לאחראים.

  • מה קורה כשמתרחש ארוע אבטחה?

 hacking the internet.

hacking the internet.

כל ארוע שיש בו משום חשש לגישה לא מורשית, לפגיעה בשלמות המידע או לשימוש לא מורשה בו נחשב ארוע אבטחה ויש ליצור תיעוד שלו.

בעל מאגר מידע חייב להכין בנוהל אבטחת המידע גם סצנריו של התייחסות לארועי אבטחה שונים לפי מידת החדירה ("חומרת הארוע") ולפי רגישות המידע הנפגע. הנוהל צריך לכלול, למשל, ביטול מיידי של הרשאות, דיווח לבעל המאגר וכל צעד מיידי אחר הנדרש בנסיבות.

במקרה של ארוע אבטחה חמור, חייב בעל מאגר המידע ליידע את הרשם מיידית אודות הארוע ואף על הצעדים שנקט בעקבותיו. הרשם רשאי להורות לבעל המאגר גם לדווח על הארוע לנשואי מאגר המידע.

  • מיקור חוץ

בנושא זה נעמיק פחות,אך רק נזכיר כי בעל מאגר מידע שמתכוון להעזר בשירותי מיקור חוץ חייב לבחון מראש את סיכוני האבטחה של ההתקשרות ולקבוע סטנדרטים שיחולו עליה ויאפשרו אבטחה ראויה (כמו היקף המידע הנחשף, המערכות שניתן לגשת אליהן, אבטחה והרשאות אצל הקבלן וכדומה).

עוד חובה היא ליצור חובה משפטית מול צד שלישי שנחשף, למידע. בעברית שאינה משפטית משמעות הדבר היא החתמת הנחשפים למידע והקבלן על מסמכים מתאימים כמו למשל הסכמי סודיות הכולל גם סעיפי שימוש מוגבל במידע.

בתקנות קיימות חובות נוספות ביחס למיקור חוץ, ומומלץ לעיין בהן היטב טרם שכירת קבלן חיצוני.

  • ביקורות תקופתיות

במאגר מידע ברמה בינונית או גבוהה, החוק מחייב ביקורות תקופתיות שייערכו על ידי בעל מקצוע שאינו הממונה על האבטחה במאגר. ממצאי הביקורת צריכים להיות מדווחים לבעל המאגר ועליו לעדכן את מסמכי המאגר בהתאם להם ולנקוט פעולות לתיקון הפגמים.

  • אחריות אישית

אמנם מרבית החובות לעיל חלות על "בעל המאגר"  בלבד, אך סעיף קטן בתקנות מטיל על מנהל המאגר אחריות כמעט זהה לבעל המאגר. משמע – גם בעל המאגר וגם מנהלו – כפופים אישית לחובות הקבועות בתקנות.

  • סוף דבר

ארוך, מייגע וחשוב.

התקנות החדשות מחילות סטנדרטים מאוד חשובים של אבטחת מידע והגנה על מאגרי נתונים. אנא שימו לבכם אליהן ופעלו לפיהן.

קחו בחשבון שעל אף אורכו של מאמר זה, הוא מהווה סקירה כללית ראשונית בלבד, הוא אינו מלא, אינו מחליף יעוץ משפטי ואין להסתמך עליו בכל מקרה של שאלה ספציפית ביחס למאגר שלכם. חשוב שתתייעצו עם עו"ד מומחה בתחום שיסייע לכם, ולא על המאמר.

מי בעליה של חנות באתרים דוגמת איביי (Ebay) ואטסי (Etsy)?

34587702 - lisbon - january 22, 2014: photo of etsy homepage on a monitor screen through a magnifying glass.

34587702 – lisbon – january 22, 2014: photo of etsy homepage on a monitor screen through a magnifying glass.

מי מחזיק בזכויות (הבעלות והקניין הרוחני) בחנות מקוונת באתרי מסחר מקוון דוגמת אטצי (Etsy) ואיביי (Ebay)? כשהצדדים מחליטים להפרד – מי יקבל את סיסמת הגישה לחנות ואת רשימת הקונים שלה? מי ימשיך להשתמש בחנות?

האם היצרן, בעל המוצרים הנמכרים (בעל זכות היוצרים והקניין הרוחני) או מפעיל החנות, המשווק, האפיליאט (מי שהשקיע מאמצים רבים בקידום החנות)?

אתם חושבים שאתם יודעים את התשובה? בואו נראה.

בימים אלו ניתן פסק דין בבית המשפט המחוזי בתל אביב בשאלה הזו ממש – מי מחזיק בזכויות קניין רוחני ובעלות בחנות מקוונת שנפתחה באתרי פלטפורמה דוגמת Etsy ו- Ebay ?

מקריאת פסק הדין שמחתי לראות שההמלצות שאני נותן בהרצאות שאני עורך לאנשי מסחר מקוון ורשתות חברתיות בהרצאה הן מדוייקות, ולכן אתחיל בהמלצה שאני נותן בהרצאות אותן אני עורך –

למה בכלל להשאיר את הקביעה מי הבעלים של חנות מקוונת בידי בית המשפט?

עדיף פשוט לחתום מראש על הסכם מסודר שפותר בעיות אפשריות רבות וביניהן גם מסדיר את השאלות אודות זכויות בעלות וקניין רוחני בחנות מקוונת ובתכנים שבה.

במאמר זה לא אתייחס ספציפית לפסק הדין אלא אראה את התמונה בכללותה ואכוון אתכם לפתרון הנכון ביחס לחנות "שלכם".

נקודת המוצא היא כי חנות מקוונת אינה "נכס" ולא חפץ פיזי. מדובר באוסף של זכויות חוזיות יחד עם זכויות חוקיות הגלומות בדיני הקניין הרוחני וכן זכויות שימוש בנתוני הגישה לחנות – שם משתמש וסיסמא. הפעילות בחנות נחלקת בין בעל המוצרים לבין האפילייאט, המשווק.

אם לא תכינו מראש הסכם שיכסה את הנושאים הרלוונטיים יצטרך בית המשפט להפעיל את שיקול דעתו בשאלה מי בעליה של החנות ולמי שייך כל אחד ממרכיביה?. התשובה עלולה לאכזב אתכם אם לא תתכוננו מראש.

לדוגמא (ושימו לב. ישנם נושאים רבים אחרים. אלו ניתנים רק כדוגמא שאין להסתמך עליה) –

·        החנות עצמה. האם זו יצירת לקט? האם היא מוגנת בדרך אחרת?

·        המשתמשים שביקרו בחנות. האם הם "שייכים" לבעל הסחורה או למפעיל החנות? הרי היסטוריית הרכישות של המשתמשים ופרטי הקשר שלהם הם נתונים חשובים ביותר.

·        הפרטים המאפשרים גישה לחנות ולניהולה (שם משתמש וסיסמא, למשל). למי הם שייכים ומי רשאי להוסיף ולהשתמש בהם?

·        המוצרים הנמכרים בחנות. האם רשאי מפעיל החנות למכור אותם ללא הסכמת היצרן? האם נרשם על המוצרים עיצוב/מדגם או שהם מוגנים בזכות יוצרים או זכות אחרת?

·        התמונות והטקסטים הנלווים למוצרים בחנות. למעשה, אלו הם עיקר הרכיבים המוגנים בפועל במסגרת דיני הקניין הרוחני (אלא אם נזהרתם ורשמתם גם מדגם על המוצרים, דבר שבדרך כלל לא קורה אבל חוק העיצובים החדש הצפוי בקרוב יקל מעט בנושא זה).

·        וכמובן – המוניטין הנצבר בחנות ובמוצרים. למי הוא שייך? למפעיל החנות, המשווק או לבעל המותג שמוצריו נמכרים בה? התשובה לשאלה זו פעמים רבות תהיה תלויה בנסיבות הספציפיות של תפעול כל חנות.

–         חשבונות השיווק והאפיליאט השונים. למי הם שייכים? האם למשווק או שמא גם להם זכאי בעל המוצרים?

עינינו הרואות שמדובר כאן ברכיבים רבים שצריך להתייחס אליהם, ולכן הפתרון החכם והזהיר שיקטין את הנזקים שלכם בצורה משמעותית הוא להגדיר את כל הנושאים האלו ונושאים חשובים אחרים מראש, בהסכם כתוב וחתום.

לאחר שקראתם את המאמר, אני ממליץ לפעילים באתרי מסחר מקוון וחנויות מקוונת (אטסי, איביי ואחרים) אנא התייעצו עם עורך דין טרם כניסה למיזם המשותף, ועירכו חוזה המסדיר את יחסיכם מראש, לפני שאי ההסכמות יתעוררו.

11 המלצות לעסקים שרוצים לשלוח פרסומות חוקיות ולא ספאם

איך עסק יכול לשלוח מסרים פרסומיים לפי "חוק הספאם"?

כולם יודעים שחוק הבזק (תקשורת) אוסר על עסקים לשלוח ספאם ופרסומות ללא קבלת הסכמת הנמען.

למרות זאת, עיון מעמיק יותר בחוק ובפסיקה מגלה כי המחוקק הכיר גם בזכותם של עסקים להתפרנס, וקבע כללים אשר בהתקיימם, מותר לשלוח דברי פרסום ומסרים מסחריים, דואר זבל בשמם העברי.

המדריך מטה נועד לכוון אתכם ולהדגים את דרך ההתנהלות הנכונה כאשר אתם מחליטים לשלוח דואר זבל באופן חוקי על מנת לפרנס את עצמכם.

מתי מותר לשלוח פרסומות

מתי מותר לשלוח פרסומות

שימו לב שמדריך זה הינו קצר ובהחלט אינו מכסה את כל הניואנסים של החוק והפסיקה הרבה בעקבותיו. לכן, אנא אל תסתמכו עליו במקרה הספציפי שלכם, שכן יתכן שהפתרון המוצע בו אינו מתאים לכם.

המלצה 1: בכל בעיה ספציפית יש לפנות לעורך דין מומחה בתחום ולהתייעץ עימו כיצד אתם יכולים לשלוח מסרים פרסומיים מבלי לעבור על חוק הספאם.

מה הוא ספאם אסור?

חוק התקשורת (בזק ושידורים), תשמ"ב-1982 (ובשפה יותר קלה – חוק הספאם) מגדיר דבר פרסומת כ "מסר המופץ באופן מסחרי, שמטרתו לעודד רכישת מוצר או שירות או לעודד הוצאת כספים בדרך אחרת וכן מסר המופץ לציבור הרחב שמטרתו בקשת תרומה או תעמולה". הפסיקה הרחיבה הגדרה זו והחילה אותה גם על מקרים בהם הוצאת הכספים אינה פועל ישיר של דבר הפרסומת אלא ההצטרפות לשורת לקוחות השולח תוביל להוצאת כספים.
עליכם להבין, כי גם מסר שאינו קורא להוצאת כספים ישירה עלול, במקרים מסויימים, להחשב כספאם אסור.
החוק אינו אוסר משלוח דבר פרסומת, אך זאת בתנאי שעמדתם בדרישות המפורטות בו וחלקן מוסבר מטה.
חוק הספאם מתייחס להודעות אלקטרוניות מסוגים שונים, אך אינו מתייחס במישרין לשיחות טלפון אישיות או לקטלוגים מודפסים ודומיהם. עם זאת, במקרים הנדרשים הפסיקה יצרה אנלוגיה מחוק הבזק והחילה אותו, למשל, גם על שיחות מכירה טלפוניות טורדניות שהלקוח ביקש להפסיקן.

מי הוא שולח המסר הפרסומי?

גם אם תבקשו מספק שירות כזה או אחר לשלוח עבורכם הודעות פרסומיות, לא תוכלו להתגונן בטענה כי העסק שלכם לא היה זה ששלח את ההודעה; החוק מגדיר מפרסם הן כשולח ההודעה והן כמי שההודעה מקדמת את עסקיו.
המלצה 2: וודאו שההתקשרות עם המפרסמים מטעמכם אוסרת משלוח ספאם לא חוקי ובידקו שהם אינם מפרים את החוק בהתנהלותם היומיומית עבורכם. אחרת – אתם תהיו אחראים.

ההסכמה לקבלת מסרים פרסומיים שלא יהיו ספאם

ברירת המחדל של החוק היא שבכל מקרה בו שלחתם דבר פרסומת לנמען, עליכם מוטלת החובה להציג את הסכמתו.

המלצה 3: יש ליצור פעולה אקטיבית לאישור ההסכמה של כל נמען לקבלת מסרים פרסומיים, ולוודא תיעוד שלה ("בכתב", לרבות בדוא"ל או באמצעות מערכת שאינה ניתנת לשינוי לאחר התיעוד).

שימו לב שההסכמה חייבת להיות מדוייקת ומפורטת. לדוגמא, נניח שאני הסכמתי לקבל מאתר מסויים דוא"ל פרסומי, אך קיבלתי ממנו "הודעה קצרה" (ס.מ.ס.) פרסומית. מכיוון שלא נתתי את הסכמתי לקבלת אותה ס.מ.ס., הרי השולח – עיוול. ומכאן חשוב להבין – הסכמה אינה הסכמה, כל עוד לא הובהר בה בדיוק למה הלקוח מסכים.
מהפירוט מטה – מה לדעתכם נחשבת הסכמה ומה לא?
• הראשונה – "אני מסכים".
• השניה – "אני מסכים לקבל מכם מסרים פרסומיים"
• השלישית – "אני מסכים לקבל מכם מסרים פרסומיים בס.מ.ס ובדוא"ל בנושא מכשירי חשמל ביתיים".
מה דעתכם. איזו הסכמה תחשב כהסכמה ואיזו לא? התשובה די ברורה, לא?
המלצה 4: יש לנסח את ההסכמה באופן שיעיד על תוכנה של ההסכמה  ויכלול גם "מסויימות" (כל הפרטים הנדרשים) וגם "גמירות דעת" (הסכמה להסכים).

האם אפשר לשלוח דואר פרסומי ללא הסכמה?

אחד מהחריגים בחוק שאינם מחייבים הסכמה הינו החריג של לקוח או לקוח פוטנציאלי, וזה סעיף שחשוב להכיר. כאשר מגיע אליכם, לאתר או לעסק, אדם אשר מתעניין במוצרים או בשירותים שלכם (ובוודאי אם אותו אדם רכש מכם מוצר או שירות), החוק קובע חריג המאפשר לשלוח אליו מסרים פרסומיים. במצב כזה – ורק במצב כזה – אין צורך כלל בהסכמה אלא די בהודעה.
עליכם כמובן מוטל הנטל להוכיח שאתם עומדים בכל דרישות החריג האמור במלואן (הן לגבי הדרך, הן לגבי ההודעה בזמן ההתקשרות והן לגבי הדרישות הצורניות של הדין ממסרים פרסומיים).
המלצה 5: יש לוודא שלקוחות ולקוחות פוטנציאליים מיודעים באשר למשלוח פרסומות בהתאם לחוק, ולתעד זאת.
עוד חריג למשלוח מסר ללא הסכמה הוא בפניה לבית עסק (להבדיל מאדם פרטי) בה אתם מציעים לו להסכים לקבל דברי פרסומת מטעמכם. מצב כזה אפשרי, אך רק במגבלות הקבועות בחוק
המלצה 6: הזהרו. אין היתר חוקי גורף לשלוח ספאם או דואר זבל רק פעם אחת בלבד. אנא בידקו את נסיבותיכם.

הודעת סירוב לקבל דואר זבל ותוצאותיה

מי שהסכים לקבל מכם מסרים פרסומיים רשאי בכל עת להודיע לכם כי הוא מסרב להמשיך ולקבל אותם. אין לשולח זכות לגבות תשלום על הודעת הסירוב ויש לכבד אותה.
הודעת סירוב ניתן למסור לכם, המפרסמים, בכתב (למשל בדואר או בכתב תביעה) או בדרך שבה שוגרה הפרסומת. אם למשל, הפרסומת שוגרה בדוא"ל, הדרך הטובה ביותר היא מתן אפשרות "השב" וניטור של התיבה השולחת. אולם שימו לב שגם פניה אליכם במייל, שלא באמצעות "השב" חייבת להיות מנוטרת ומפוקחת.
המלצה 7: אל תשתמשו בדוא"ל או מספר טלפון שלא ניתן להשיב לו. דבר זה כשלעצמו עלול להוות בעיה.
המלצה 8: פיקחו עיניים. גם אם קיבלתם בקשת הסרה בדרך אחרת, יש לכבד אותה בהקדם (תלוי בנסיבות).

הדרישות שעל המסרים לעמוד בהם

לאחר שקיבלתם את ההסכמה או שאתם כפופים לאחד החריגים, ושמרתם תיעוד מסודר של ההסכמה, גם אז על המסרים הפרסומיים אותם אתם שולחים לעמוד בכמה דרישות על מנת שלא יחשבו ספאם, וביניהן (ורשימה זו אינה ממצה, אז אנא אל תסתמכו עליה):
1. המילה "פרסומת" (או "בקשת תרומה") חייבת להופיע בתחילתו (או בדוא"ל – בשורת הנושא)
2. שמכם, כתובתכם ודרכי יצירת הקשר עמכם חייבים להיות מפורטים (כתובת אינה חייבת להופיע בהודעת מסר קצר – ס.מ.ס.).
3. ציון זכותו של הנמען לשלוח בכל עת הודעת סירוב, יחד עם דרך אפשרית לעשות כן כשהיא פשוטה וסבירה בנסיבות. אם נשלח בדוא"ל, יש לכלול בתובת מקוונת לצורך מתן הודעת סירוב.
המלצה 9: יש לעמוד בכל הדרישות הצורניות הקבועות בחוק.

המנהלים עלולים להיות אחראים באופן אישי

גם בהנחה שהעסק שלכם פועל כחברה בע"מ, חוק הספאם מטיל עליכם – מנהליו ואחראי השיווק של העסק – חובת פיקוח ופעולה אקטיבית למניעת משלוח ספאם. אם לא תפעלו כך, זו תהא גם עבירה פלילית וגם התביעה עלולה להיות מכוונת כנגדכם, אישית.
זו הסיבה שעסקים רבים מגיעים אלי ואל חברי עורכי הדין, מבקשים התוויית מדיניות מדוייקת למשלוח מסרים פרסומיים חוקיים שלא יהיו ספאם, ויוצרים תקנון המועבר לעובדים או לקבלנים, שולחי המסרים הפרסומיים. בלעדי פעולה שכזו, קם סיכון משמעותי אישי למנהלים בעסקים השונים וראוי למנוע אותו.
המלצה 10: מנהל חייב להנהיג דרכי פעולה העומדות בדרישות החוק ולעקוב אחריהן. גשו לעורך דין מומחה, לימדו את החוק, קיבעו מדיניות משלוח מסרים חוקיים והנחילו אותה בעסק שלכם.

פיצויים בגין הפרת חוק הספאם

אם כשלתם, ושלחתם הודעות בעקבותיהן נתבעתם, תגלו כי החוק קובע פיצויים סטטוטוריים (ללא הוכחת נזק) בסך של עד 1,000 ש"ח לכל הודעה.
הפסיקה קבעה שזה הוא אינו סכום קבוע, אלא נקודת מוצא בלבד. בתי המשפט מתחשבים באלמנטים שונים בקביעה, האם הפיצוי בעניין שלכם יהיה 1,000 ש"ח להודעה או פחות מכך.
אחד השיקולים החשובים הוא הרתעת המעוול והפסקת העוולה. כלומר, גם אם נתבעתם, הרי אם תוכיחו לבית המשפט שלמדתם את הלקח ואתם פועלים כדי למנוע הפרת החוק – בית המשפט יתחשב בכך בעת קביעת הפיצוי כנגדכם.

אחרון חשוב להזכיר, כי החוק אף מאפשר לנמענים להגיש כנגד "מפרסמים" כהגדרתם בחוק התקשורת תובענה ייצוגית במקרים מסויימים, כך שהצרה שתביאו על עצמכם עלולה להיות גדולה מאשר תיארתם לעצמכם.
המלצה 11: אל תפעלו בלי לאמץ מדיניות מסודרת ומיודעת למשלוח מסרים פרסומיים העומדת בדרישות החוק. הסכנות גדולות מדי.
אם נתבעתם, גשו לעורך דין מומחה בתחום האינטרנט, קבלו ייעוץ מקצועי והגנו על עצמכם.

כיצד נקים סטארט אפ – חברה או שותפות?

אחת הבעיות הראשונות כמעט שניצבות בפני יזמים שמחליטים להפוך את הרעיון שלהם לחברת הזנק (סטארט אפ) היא שאלת התאגדותם המשפטית. אתם שלושה שותפים בסטארטאפ (חברת הזנק) שמפתח אפליקציה חדשה, אבל איך תעשו את זה אם אתם ארבעה יזמים (אחת מתכנתת, אחד מעצב, אחד מנכ"ל ואחד סמנכ"ל שיווק…). הסכם יזמים הוא חובה כמובן, אבל אינו מספיק. האם תרצו להמשיך כאנשים פרטיים (וכך ליצור שותפות, רשומה או לא רשומה) או להתאגד בצורת חברה?

מה תהיה התוצאה של כל אחת מבחירותיכם אלו לסטארט-אפ שלכם?

אפתח במסקנה הסופית: התשובה לשאלה "אם להקים חברה או שותפות?" נגזרת מנסיבות כל מקרה לגופו. במאמר זה אציג בפניכם ב"מעוף הציפור" את היתרונות והחסרונות של כל אחת מהבחירות וכך כאשר תגיעו להתייעץ עם עורך הדין שלכם (שמומלץ שיתמחה בתחום הפעילות של הסטארטאפ שלכם) יהיה לכם יותר קל להבין את דבריו ולספק לו מידע רלוונטי שיעזור לכם.

כעת נבדוק את היתרונות והחסרונות של דרכי ההתאגדות השונות שתבחרו בהסכם היזמים אותו תכינו.

your start up - is it a company or partnership?

הסטארט אפ שלכם – חברה או שותפות?

 

חברה בע"מ

חברה היא ישות משפטית  עצמאית, נפרדת מחבריה, שאינה תלויה באף אחד מהם באופן משפטי. חברה יכולה לתבוע, יכולה להתבע ויכולה להיות בעלי של קניין (רוחני ופיזי גם יחד). חברה היא למעשה ישות משפטית נפרדת, עומדת בפני עצמה וכמוה (במרבית המקרים) כאדם טבעי כאשר מדובר בחובות וזכויות.

כאשר אתם, היזמים, מתאגדים כחברה הרי אתם מקטינים את יכולתם של צדדים שלישיים לתבוע את כל אחד ואחד מהיזמים באופן אישי על חובות שנוצרו כתוצאה מהפעלת העסק המשותף, הסטארט אפ.

החברה במרבית המקרים היא בע"מ ("בערבון מוגבל"), במובן זה שכל אחד מכם, בעלי המניות, לא יחוב במקומה של החברה (אלא אם יתקיימו נסיבות מסויימות שיצדיקו הרמת מסך, אלא שברגיל אלו אינן מתקיימות).

כתוצאה מכך, אם תתקבל תביעה כנגד החברה, מי שיחוב בסכום שיפסק תהיה החברה לבדה, ולא בעלי המניות – היזמים (אתם).

חשוב לשים לב לכך שישנם מקרי קצה בהם גם מנהלים או בעלי מניות יחובו ולא רק החברה, אך מקרים אלו הם נדירים. למשל, תביעות בנושאי קניין רוחני (כמו פטנטים, זכויות יוצרים וסימני מסחר) עשויות לגרום לחיוב בעלי המניות או המנהלים הרלוונטיים, גם אם פעלו בשם חברה.

מאידך, גם נכסי החברה נותרים של החברה ולא של בעלי המניות, היזמים. לדוגמא, אם יצרתי אפליקציה מסויימת והעברתי את כל הזכויות בה לחברה, האפליקציה אינה שלי עוד אלא של החברה. אמנם אני יכול להנות מפירותיו העסקיים של הסטארט אפ שלי, כמו כל יתר בעלי המניות לפי חלקם היחסי באחזקות במניות החברה, אך האפליקציה עצמה אינה שלי.

יתרון נוסף במבנה של חברה הוא קיומו של מנגנון קל יחסית להעברת מניות (שמשמעותו למעשה – החלפת שותף). היה ואחד השותפים-היזמים ירצה לפרוש, יוכל למכור את מניותיו והדבר לא יפגע בקיומה של החברה שתמשיך להתקיים. כאשר היזמים נזהרים וכוללים בתקנון החברה מנגנונים מוסדרים למכירת, העברת או הנפקת מניות, הרי כאשר יקרה מצב זה קיומה של החברה לא יפגע.

יתרונות נוספים שיש בהתאגדותו של סטארט-אפ כחברה עשויים להיות לפעמים יתרונות הקשורים בדיני מיסוי (ובדרך כלל מדובר ביתרונות כאשר ההכנסות מהחברה גבוהות יחסית), אלא שבמסמך זה קצרה היריעה מלדון בהם

פעמים רבות, משקיעים מעוניינים לראות שהם עומדים להשקיע במיזם "רציני", שבעליו מתייחסים אליו ברצינות אף הם, ורישום כחברה בע"מ עשוי לעיתים לאותת על רצינות זו.

אולם, שימו לב שמרגע שהחלטתם על רישום כחברה, אתם כופפים את עצמכם לנהלים מורכבים ולהוצאות לא מבוטלות הכרוכות בהקמתה, התנהלותה, הנהלת חשבונותיה ואף פירוקה. הליך הקמת החברה וניסוח תקנונה אינו דבר של מה בכך כאשר מדובר במספר שותפים שהם בעלי מניות. חברה אף צריכה לשלם מדי שנה בשנה אגרה לרשם החברות (לסכומי האגרות השונות ביחס לחברות ראו כאן). כך גם פירוקה של חברה אינו תהליך טריוויאלי, ויש לנקוט בהליך פירוק חברה מסודר שעלותו בצידו.

שותפות

גם שותפות היא ישות עצמאית אולם רק בנסיבות מיוחדות, למשל, אם אתם – היזמים השותפים – טרחתם ורשמתם אותה אצל רשם השותפויות. אחרת, מדובר באנשים בודדים שפועלים יחד.

באופן עקרוני חבותם של השותפים בשותפות כלפי צדדים שלישיים הינה "יחד ולחוד"; משמע – כל אחד מהשותפים חייב במלוא חובותיה (כלפי צדדים שלישיים,ואז זכאי לתבוע מיתר שותפיו החזר חלקם היחסי, אם יצליח בתביעתו).

לכן, בשותפות (רשומה או שאינה רשומה) פעולותיו של כל אחד מהשותפים משפיעות אישית על יתר חבריו, היזמים. היה ואחד השותפים התחייב כלפי פרילאנסר שיפתח מוצר עבור השותפות שלכם, כל יתר השותפים מחוייבים כמותו. יתרה מכך, כל עוד לא הסכמתם אחרת ודאגתם לעדכן את חשבון הבנק שלכם, כל אחד מהשותפים רשאי לפעול כבעלים בחשבון הבנק שלה, וכן הלאה.

שימו לב שבמצב כזה, ההתנהלות כשותפות מחייבת (לא מבחינה משפטית אלא מבחינה אנושית) אמון כמעט מלא בכל אחד מהשותפים וראוי לחשוב האם להמנע ממנה במקרים אחרים, בשל הסיכון הכרוך בכך.

גם שיקולי המס כאשר מדובר בשותפות, הינם שיקולים אישיים, ושלטונות המס אינם מכירים בשותפות כגוף הממוסה עצמאית אלא בוחנים אותה בשקיפות. כלומר, הכנסותיה והוצאותיה נחשבים כהכנסות והוצאות השותפים-היזמים עצמם.

יתרון שקיים בהקמתה של שותפות הוא הקלות הרבה בה ניתן לעשות זאת: האגרה השנתית נמוכה מאוד, אין צורך בתקנון ואף הליכי הנהלת החשבונות שלה פשוטים יותר מאלו של חברה.

למרות זאת הייתי מבקש להדגיש שגם במקרה של שותפות, הסכם יזמים (המחליף את התקנון בחברה) הינו הכרח ואם "תחסכו" עליו קיים סיכון שיצא שכרכם בהפסדכם.

גם הליכי פירוקה של השותפות פשוטים הרבה יותר, ומומלץ להגדירם בהסכם השותפות. פעמים רבות גם עזיבתו של שותף מוסדרת בהסכם השותפות, ובהעדר הסכם עזיבתו עלולה לגרום ל"התפוררות" השותפות כולה.

סופו של דבר, בין אם תבחרו בהקמת חברה או שותפות לסטארטאפ שלכם, חשוב לי להדגיש דבר מה אחד – אנא דאגו כי נקודת המוצא שלכם תהיה הסכם כלשהו המסדיר בצורה עניינית ומסודרת את מכלול התחייבויותיכם וזכויותיכם האחד כלפי יתר היזמים. כל התעלמות מהמלצה זו, עשוייה לגרום למריבות מיותרות ולסכסוכים שקשה יהיה ליישב אותם (ובהתאם – להוצאות רבות).

לכן, אל תסתמכו על האמור מעלה כייעוץ מחייב, ושימו לב שישנן נסיבות רבות בהן האמור מעלה לא יתאים לעניינכם.

לאחר שהחלטתם להקים סטארטאפ, גשו כולכם לעורך דין המתמחה בתחום, הבהירו לו את מצבכם, קבלו יעוץ כיצד כדאי לכם להתאגד והכינו הסכם יזמים מסודר שמעלה על הכתב את הסכמותיכם.

שימוש בסימן מסחרי אינו תמיד הפרה

האם מותר לחברה להשתמש בסימן המסחרי של חברה אחרת או שמדובר בהפרת סימן מסחרי?

בית המשפט הפדראלי במישיגן קבע לאחרונה שלא כל שימוש בסימן מסחרי של אחר הוא פסול, גם אם הוא נעשה למטרות מסחריות.

חברת הובלה מסויימת גייסה כוח אדם, והטקסט במודעה שלה אמר (במילים דומות לאלו) –

"פוטרת מחברת קונוויי בעקבות הרכישה שלה? לא נורא. נסגרת דלת אחת ונפתחת דלת אחרת. אנחנו מחפשים כוח אדם. צור קשר".

המודעה הזו פורסמה באתר ששם המתחם שלו הורכב משם החברה והמילה פיטורין (conwaylayoff.com).

Moving Truck

Trademark Truck

בית המשפט האמריקאי קבע שבנסיבות האלו, שם האתר והטקסט המופיע בו לא העלו כל חשש להטעיה באשר לשימוש בסימן המסחרי ולכן לא מדובר בהפרת סימן מסחר.

נקבע גם ששימוש כזה אינו שימוש חסר תום לב בסימן המסחרי ואינו מקים עילת תביעה הן מכוח דיני סימני המסחר והן מכוח חקיקה מקבילה (דגמת ACPA). הנתבעת לא רכשה מספר שמות מתחם הכוללים סימני מסחר של התובעת, הנתבעת לא הציעה למכור לתובעת את שם המתחם בעלות יקרה וסטנדרטים משפטיים נוספים לשאלת תום הלב פעלו לטובת הנתבעת.

המסקנה המעניינת מהליך זה היא שמי שאינו חושש מהליך משפטי, ועושה שימוש מסחרי מושכל בסימן המסחר של מתחרהו, בהחלט יכול לצאת כשידו על העליונה.

אזהרה שלי: שימוש לב שלא מדובר בתשובה כללית אלא בנסיבות ספציפיות, כאשר הנתבעת קיבלה יעוץ משפטי נכון ומדוייק. אל תעשו כאמור מעלה ללא יעוץ משפטי, שכן תביעת הפרת סימן מסחר היא כואבת ומסוכנת.

מצד שני – סימן מסחרי אינו חזות הכל. פעולה זהירה ונכונה יכולה לאפשר גם שימוש בו, אם נזהרתם ופעלתם כדין. סוף מעשה במחשבה תחילה.

7 המלצות שיעזרו לכם להתגבר על וירוסים

בעקבות בהלת ה"כופרות" האחרונות, הוירוסים בפייסבוק ויתר המרעין בישין, אני מבקש להציג בפניכם פוסט מעט אחר, אודות וירוסים.

זהו פוסט שאינו משפטי, וכל כולו נובע מהעיסוק היומיומי שלי בתחום האינטרנט, המדיה החברתית והדיגיטל, כמשתמש. לא כמשפטן. מטרתו – לעזור לכם להתמודד עם מגיפת הוירוסים שתוקפת אותנו.

computer virus

computer virus

וירוס מחשבים הוא סוג של תוכנת מחשב, קוד, מסוג שנקרא Malware (אני נהנה יותר לקרוא לה "תוכרע" מאשר "זדונה", אבל זה הוא השם העברי שלה. אפשר גם "נוזקה"). כלומר, תוכנות שכוונתן זדונית והן מותקנות במחשביכם מבלי שתדעו כלל.

לזדונה מטרות אפשריות רבות. למשל: לשאוב מכם מידע שיאפשר למתקין הזדונה לקבל לידיו כספים או מוצרים אחרים על חשבונכם, לעקוב אחרי המתרחש במחשב שלכם (למשל – מה סיסמת חשבון הבנק שלכם או פרטי כרטיס האשראי), להשתמש במחשב שלכם כתשתית נוספת להתקפות שהוא עורך על מחשבים חיצוניים אחרים או למשלוח ספאם, לגרום לשינויים כלשהם בתוכנות המותקנות על המחשב שלכם (כמו למשל לנעול את המידע שעליו) או סתם גרימת נזק לכם ולמידע שלכם.

הייחודיות בוירוסים, להבדיל למשל מזדונה שנקראת "תולעת" או "סוס טרויאני", הוא ביכולתם להתרבות, לשכפל את הקוד שלהם ולהדביק מחשבים רבים אחרים (וכשאני אומר "מחשב" קחו בחשבון שהמונח הזה כולל גם את מכשיר הטלפון החכם שלכם, המחשב הנישא שלכם, הטאבלט ועם התפתחות ה"אינטרנט של הדברים" גם מוצרים דוגמת המכונית והמקרר שלכם).

אילו הייתם יודעים שאתם מתקינים על המחשב שלכם תוכנה זדונית כזו, בוודאי לא הייתם ממהרים לעשות זאת. נכון?

חלק מהוירוסים המותקנים במחשב שלכם נגרמים "בזכות" אישור או לחיצה שמוטב היה לולא ניתנו. יוצרי הוירוסים משתמשים בהטעיות וב"הנדוס חברתי" על מנת לגרום למשתמשים שונים להתקין את הוירוסים למעשה מבלי ידיעתם.

ועכשיו העיקר – איך ניתן להתגבר על כך ולצמצם את הנזק שוירוסים (דוגמת וירוס הכופר ווירוס הפייסבוק) ו"תוכרעות" (זדוניות) אחרות עלולות לגרום לנו?

לפחות חלק משמעותי ממקרי ההדבקות בוירוס מחשבים כזה או אחר נובעים מהחדרה ישירה של קוד התוכנה אלינו למחשב, אלא שפעמים רבות אנו טועים בהבנה של הפעולה שמתבקשת מאיתנו או מוטעים לחשוב שמדובר בפעולה אחרת. לכן אנחנו מאשרים פעמים רבות וירוס מחשבים בלי שנבין בכלל שזאת היתה הפעולה שאישרנו.

כך לדוגמא, אם קיבלנו דוא"ל מהבנק שלנו שמספר לנו כי מסתבר שנפלה תקלה בחשבון הבנק שלנו ועלינו להקליד על הלינק המצורף כדי לתקן אותה, בהחלט סביר להניח שזו היא שיטה לאסוף את פרטינו בלא ידיעתנו (אם כי לא וירוס). אם קיבלנו דוא"ל על סרטון שחשוב ש כוכבנית שפרצו לחשבון הטלפון שלה ואנחנו חייבים לצפות בו, שווה להתאפק ולא לצפות בו.

פעמים רבות נוצרים מצבים בהם מתבצעת השתלטות חיצונית על תיבת דוא"ל של אדם, ובטרם הוא מצליחים להחזירה לשליטתו, נשלחים מסרים פוגעניים או אחרים (דוגמת בקשה לעזרה כספית עקב תקלה בחו"ל או סתם סרטון "שווה לראות!!!1"). לכן, לפעמים יתכן מצב בו גם חבר קרוב לנו עדיין ישלח לנו (שלא מרצונו) מסרים הכוללים בחובתם תוכנות זדוניות ווירוסים.

אנסה לתת מספר עצות בסיסיות ולא ארחיב. שימו לב שאיני בעל מקצוע טכני ולכן  אלו אינן עצות ממצות אלא רק המלצות שמבוססות על דעתי בלבד ובהחלט יתכן שישנן המלצות נוספות או אחרות.

  1. חשוב להתקין תוכנות אנטי וירוס מעודכנות, ולהקפיד על עדכון אוטומטי שלהן.
  2. הזהרו בזמן הפעילות שלכם בכל מרחב מקוון – אל תעשו פעולות שאינכם בטוחים בהן.
  3. אל תפתחו אף אלמנט הצמוד לדוא"ל שקיבלתם (attachment) ואל תקישו על קישור, אלא אם –אתם יודעים מי שלח לכם אותו ומכירים אותו, וכן אתם יודעים שהיתה לו סיבה לכך.
  4. בדרך כלל דוא"לים והודעות עם שמות שנועדו לגרום לכם לרצות מאוד להקיש על הקישור ("הסרטון המדהים של הזמר המפורסם") אולי אפילו יהיו מה שכתוב שם, אבל סביר להניח שיכללו גם נוזקות.
  5. אל תקישו על לינקים בדוא"ל שמבקשים מכם לאשר דבר מה בחשבון שלכם. פשוט תכנסו לחשבון בדרך הרגילה בה אתם נכנסים לחשבון. אם ההודעה היא לגיטימית, היא תמצא גם שם. הניחוש שלי – היא לא תהיה שם…
  6. כשאתם לא בטוחים – חפשו בגוגל את כתובת השולח או טקסט עיקרי מההודעה. בדרך כלל תקבלו הסבר שמדובר בתרמית (scam).
  7. נתקלתם בצרה – כבו את המחשב מהר ככל האפשר, נתקו אותו מהרשת והשתמשו במחשבים אחרים, נקיים, כדי למצוא את הפתרון. במרבית המקרים אחרי זמן קצר, תוכלו למצוא בגוגל פתרון לאותה בעיה.

ועכשיו אחרי הכל, גלישה נעימה וזהירה.

הגנת הפרטיות בעולם המסחרי

הגנת הפרטיות לעסקים

הגנת הפרטיות לעסקים

לפני זמן קצר ניתן פסק הדין של כבוד השופט מני מזוז בענין רמט נ' רמי שמיר שעיקר עיסוקו – שאלת הפרטיות בתיבת הדואר האלקטרוני של שותפים לעסקים, שתי חברות.

העובדות בקצרה: רמי שמיר (האיש והחברה) נשכר לספק שירותי ניהול פרוייקט לחברת רמט. רמט העמידה לרשותו – לצורך ביצוע הפרוייקט – חדר במשרדיה ותיבת דואר אלקטרוני על השרת שלה. היחסים עלו על שרטון והתפוצצו בתביעות הדדיות. לתצהיר העדות של רמט צורפו העתקי תקשורת דואר אלקטרוני מהתיבה שעמידה לרשות שמיר. שמיר כמובן ביקש לפסול את הגשתם ולהוציאם מן התיק, שכן מדובר בהפרת פרטיותו.

בשלום נקבע (וגישה זו אושרה עד פסק הדין הנוכחי של העליון) כי העיון בתכתובות דוא"ל פרטיות מהווה הפרת הפרטיות ומפר את חוק הגנת הפרטיות, וזאת למרות טענת רמט שהשרת בה אוחסנה התשדורת היה שלה והוא הועמד לרשות שמיר אך ורק לצורך ביצוע תפקידו עבורה.

בית המשפט העליון בחן את עניין איסקוב הידוע והשתמש בו כסטנדרט התואם לשאלת הפרת הפרטיות גם במקרה זה, של יחסים מסחריים "רגילים" (להבדיל משאלת פרטיותו של עובד במסגרת יחסי עבודה).

הכלל בהלכת איסקוב: מעסיק רשאי לעיין בתכתובת אישית – פרטית של עובד רק בהתקיים נסיבות חריגות של חשש ממשי לביצוע פעולות לא חוקיות או פעולות שיש בהן כדי לפגוע בעסקו של המעביד מצד העובד, ובהסכמתו של העובד לכך, מראש.

אני מבקש גם להזכיר את האבחנה שערך בית המשפט בעניין איסקוב, לפיה חדירה לתכתובת של עובד על שרת חיצוני לשרת החברה הינה אסורה, להבדיל מהמקרה בו אנו עוסקים כאשר השרת והמחשבים היו של המעסיק, כאשר אז מוטלות על המעסיק אותן מגבלות.

הלכה זו אומצה למעשה אל תוך המשפט המסחרי "הרגיל" באופן ששאלת החדירה לפרטיותם של שותפים עסקיים תידון לפי אותם סטנדרטים.

סופו של יום, בית המשפט העליון מרחיב את הנחיות ההגנה על פרטיותם של אנשים ותאגידים מעבר ליחסי עובד-מעביד כפי שהיה עד עתה, ולמעשה מחזק את עקרון הגנת הפרטיות בצורה ניכרת.

לא כל "לייק" בפייסבוק הוא לשון הרע

בתקופה האחרונה אנו רואים "מגיפת" תביעות בשל תקלות שביצעו אנשים במדיה חברתית כמו פייסבוק. תביעות לשון הרע והוצאת דיבה, תביעות הפרת זכויות יוצרים וסימני מסחר וכדומה. בתי המשפט מצידם החלו תחילה נוקטים בעמדה ש"מה שהיה הוא שיהיה". הדין החל ייושם על האינטרנט בצורה דווקנית.

אלא, שאט אט מסתמנת בפסיקה עמדה החולקת על כך, וניצניה הופיעו למשל בפרשת ברק נ' רמי מור בבית המשפט העליון. עיקריה אומרים – לא כל "שטות" שארעה באינטרנט צריכה להקים עילת תביעה ולעורר סכסוך משפטי שיבזבז את זמנו של בית המשפט. כולנו אנשים בוגרים, אז בואו נשוחח ביישוב הדעת ונתבע רק מקום בו יש בכך הגיון אנושי. ובשפה משפטית – צריך לחוקק חוקים שמתאימים עצמם לסביבת האינטרנט.

לאחרונה התפרסם פסק דין בפרשת נידיילי נ' שאול בו קבע כבוד השופט עודד מאור (שלום תל-אביב), כי עשיית "לייק" או אפילו שיתוף לפוסט בפייסבוק (גם אם הפוסט עצמו הוא הוצאת דיבה) אינו מהווה לשון הרע.

השופט קבע כי החוק מתייחס במידה רבה להגבלה מסויימת על חופש הביטוי הן של כותב התוכן המקורי, הפוסט, והן של "אמצעי התקשורת" (פייסבוק?). החוק אינו מטיל הגבלה אחרת על מי שמבצע פעולה ביחס לטקסט שהוא לשון הרע. בשל חשיבותו של עקרון חופש הביטוי, אין להוסיף לחוק הגבלה שלדעת בית המשפט אינה מצוייה בו.

כך למשל יצירת שיתוף לתמונה של המקומון מושלך לפח ועשיית לייק לתמונות בוטות אחרות ביחס אליו, אינה מהווה פעולה שהיא לשון הרע (וזאת למרות שהפרסום המקורי אכן היווה לשון הרע).

מבלי להכנס למשמעות המשפטית של ההחלטה, החלק שמשך בה את תשומת ליבי היה ההכרה ביתרונות המשמעותיים של רשת האינטרנט והסביבה הייחודית המתקיימת בה, מחד, מול קריאה ברורה למחוקק להתאים עצמו לסביבה המודרנית החדשה בה אנו מצויים מאידך). סף הרגישות של החברה אמנם עולה, אבל גם קולות צורמים באינטרנט מתפוגגים במהירות, לתשומת הלב המוקדשת להם היא מינימלית ומינורית.

במצב כזה, החוק כלשונו כפי שנוסח ב-1965 אינו תואם לחלוטין לעולם המודרני, כך סבור השופט.

לפי קביעתו, מי שאינו הכותב המקורי אלא לחץ על לייק או ביצע שיתוף, אינו מקיים את שני היסודות הנדרשים בחוק: הבעת לשון הרע, ופרסומה והבאתה לידיעתם של אחרים.

"לייק" אינו אלא הבעת תמיכה והזדהות; הבעת רגש והכרה, הנעשית פעמים רבות בצורה ספונטנית ובלי מחשבה מרובה. מעין אמירה כללית על הפרסום ולא ירידה לפרטיו. לכן, לדעת בית המשפט, אמנם רכיב הפרסום מבוצע באמצעות אותו "שייר" או "לייק", אך נעדר מהם הרכיב של ביטוי לשון הרע עצמו. זאת, סבור השופט, מקבל משנה תוקף לאורך מידת החשיפה המינורית הן לפעולת הלייק והן לפוסט שנלווה לה.

הפתרון שמציע בית המשפט למי שנפגע בלשון הרע, מתמקד במאבק במפרסם הראשון, ולא בתומכיו המצטרפים לאחר מכן.

לתבוע את פייסבוק וגוגל בישראל

ב-10.6.16 התקבלה החלטה חשובה בהליך ביניים בתביעה נגד פייסבוק (תביעה ייצוגית בפני השופטת אסתר שטמר) שעיקרה שאלת סמכות השיפוט הישראלית בתביעת תאגיד בינלאומי כמו פייסבוק או גוגל (בעברית: האם אפשר לתבוע בישראל את פייסבוק או גוגל?).

המסקנה ממנה ברורה: ניתן לתבוע את גוגל או פייסבוק בישראל, במקרים המתאימים. אפילו אם תנאי השימוש והתקנון שלהם קובעים אחרת.

ההליך: מספר תובעים הגישו תביעה ייצוגית כנגד פייסבוק אירלנד ופייסבוק האמריקאית בטענה להפרת הפרטיות שלהם. הסיבה: הרשת מבצעת מעקב וניטור של הודעות פרטיות של משתמשים.  פייסבוק מיהרה והגישה בקשה למחיקה על הסף בטענה שתנאי השימוש שלה (שאושרו על ידי כל התובעים), קובעים כי הדין שיחול בעת סכסוכים הינו הדין האמריקאי וסמכות השיפוט מוקנית לבית המשפט במחוז בקליפורניה. לכן, לטענתה, סמכות השיפוט בתיק זה מסורה לבית המשפט האמריקאי ולא לבית המשפט הישראלי ויש למחוק את התביעה על הסף.

אלא שבית המשפט הישראלי סירב להסכים. בית המשפט קבע שכאשר מדובר בתאגיד בינלאומי גדול, אשר לו משתמשים ישראלים רבים, העושה עסקים בישראל, האתר שלו בעברית ואין ספק למידת הקשר האינטנסיבי בינו לבין אוכלוסית הצרכנים בישראל – אתר שכזה כופף את עצמו לדיני מדינת ישראל ולסמכות השיפוט שלה, אף אם בתנאי השימוש שלו נאמר אחרת.

כלומר, איזון בין האינטרס של התאגיד לבין האינטרס של הצרכנים ושל מדינת ישראל, מוביל להחלטה שאפילו שפייסבוק קבעה אחרת בתנאי השימוש שלה (שאושרו על ידי המשתמשים), בתי המשפט הישראלים יכולים לקנות סמכות לדון בסכסוכים הפוגעים באזרחיה, הצרכנים, לקוחותיה של פייסבוק.

הנימוק המשפטי לכך היה חוק החוזים האחידים והיותה של תניה שכזו תניה מקפחת.

המסקנה החשובה ביותר שניתן להסיק מפסק הדין (שהיא גם מוסר השכל לבעלי אתרים מסחריים), היא כי אם בחרת לעשות עסקים בהיקף לא מבוטל במדינה מסויימת? דע כי קיים סיכון שאתה כופף עצמך לדיני אותה מדינה.

מוכרים באמזון? יכולים לתבוע אתכם על הפרת זכות יוצרים

רבים משתמשים באתר Amazon (לא "מאמאזון"…) כדי להניב הכנסות ממכירת מוצרים במחירים זולים. אלא שהשימוש בפלטפורמה פרטית כמו אמאזון יש בה סיכונים משפטיים שונים שטרם הובררו עד הסוף. לפני זמן קצר נתקלתי בהחלטת בית משפט אמריקאי בעניין הקשור לאמאזון ולהפרת זכות יוצרים בדפי המוצרים שלו.

תחילה אסביר את הרקע העובדתי לנסיבות אותו תיק. באמאזון נהוגה שיטה לפיה מוכרים שונים יכולים למכור מוצרים שונים תוך שימוש ב"דפי מוצרים" הנמצאים באמאזון. כלומר, לא כל מוכר מAmazon.com-Logo copyright freeקים דף מוצרים משלו, אלא המוכר הראשון של המוצר מקים דף מוצרים. כל יתר מוכרי אותו מוצר באמאזון עושים שימוש באותו דף מוצר והאלגוריתם של האתר קובע את יכולתם להשפיע על תוכן אותו דף מוצר (אני מתנצל אם "פישטתי" את ההסבר כדי להקל על הבנתו).

חברת Oriental Trading Company, Inc האמריקאית הגישה תביעה כנגד חברת יאגוזון בשל הפרת זכויות יוצרים.

יאגוזון מוכרת מוצרים שגם OTC מוכרת. קונים שעשו שימוש בעמוד אמאזון של יאגוזון (דה…) נחשפו לתמונות ש-OTC מחזיקה זכויות יוצרים בהן. בכך מדובר, לטענתה, בהפרת חוקי התחרות ההוגנת וכן הפרת זכות יוצרים.

OTC ביקשה פסק דין "על הסף" ובקשתה נדחתה. בעניין זה עלתה מחלוקת מי האחראי לשימוש בתצלומים המוגנים בזכות יוצרים בעמוד המוצר. בדיון עלו שאלות עובדתיות שלא הובררו מספיק באשר לזהות יוצר דף המוצר ואחריותה של יאגוזון לתכנים המופיעים באותו דף מוצר.

כאמור, ברגע שנוצר דף מוצר הרי הוא הופך להיות חלק מקטלוג המוצרים הנמכרים באמאזון, ולמוכרים שונים אחרים גם יש מידות שונות של השפעה עליו. ההכרעה בעניין היקף שליטתו של כל מוכר על עמוד המוצר נקבעת באמצעות האלגוריתם של אמאזון. במקרה הזה לא הוכח חלקה של יאגוזון בבניית דף המוצר הרלוונטי.

טענת OTC שדי היה בבחירת דף המוצר הרלוונטי באמאזון על ידי יאגוזון כדי להטיל עליה אחריות תורמת – נדחתה.

כיוון שכך בית המשפט סירב לתת פסק דין מהיר בנושא אחריותה של יאגוזון אלא שלח את הצדדים לשמוע הוכחות.


עוד סיבה חשובה לבדוק היטב לא רק את התשתית הכלכלית לפעולתכם באמאזון אלא גם משפטית, ולהתייעץ עם עו"ד מומחה כדי להבין כמה שיותר פינות בתחום.