ארה"ב: מעסיק חב בחובת זהירות משפטית לאבטח מידע אישי של עובדיו

מעסיק שאוסף מעובדיו מידע אישי מקים עליו חובה משפטית לנקוט באמצעי אבטחה סבירים כדי להגן על המידע מפני פריצה ושימוש לרעה, אפילו אם המחוקק קבע בספר החוקים רק חובה פוזיטיבית ליידע במקרים של פריצת מידע (data breach) - כך פסק בית המשפט העליון במדינת פנסילבניה שבארה"ב.

ההחלטה ניתנה במסגרת תובענה יצוגית שהגישו עובדי המרכז הרפואי באוניברסיטת פיטסבורג נגד מעסיקם בטענה כי התרשל באבטחת המידע אודותם במה שהוביל לפריצת מידע במהלכה זלג מידע אישי על כל 62,000 עובדי המרכז בעבר ובהווה. התביעה היצוגית טענה כי רשלנות המרכז הרפואי גרמה נזק ממשי, בין היתר כאשר המידע שזלג שימש את הפורצים להגשת דו"חות לקבלת החזר מס בהתחזות לעובדים שפרטיהם נגנבו.

בית המשפט העליון בפנסילבניה הפך את החלטת הערכאה הנמוכה שדחתה את התביעה. הוא קבע כי חובת הזהירות המשפטית של המעסיק כוללת גם חובה לאבטח באופן נאות מידע אישי שהוא אוסף מעובדיו כתנאי להעסקתם, וזאת אפילו שהנזק הנובע מהפריצה נגרם בשל מעשים פליליים של גורמים אחרים - האקרים. הטעם לכך הוא שהמעסיק עצמו יצר את הסיכון לכתחילה כשאחסן את המידע במערכות מחשוב, ובשל אופיו הצפוי של הסיכון והסבירות להתממשותו.

עוד קבע בית המשפט כי אופיו של הנזק הנתבע במקרה הזה הוא כלכלי-טהור (שאינו מערב נזק לגוף או לרכוש מוחשי) בעוד שהמשפט המדינתי בפנסילבניה - כמו במדינות רבות אחרות בארה"ב - מגביל את היכולת של תובע להיפרע נזקים כלכליים טהורים במקרים של תביעות רשלנות. עם זה, בית המשפט קבע כי החריג לכלל הקיים בפנסילבניה חל גם בנסיבות אלה: כאשר חובת הזהירות לאבטח את המידע מתקיימת בנפרד ובמנותק מכל התחייבות חוזית בין המעסיק לעובדיו.

בית המשפט העליון בפנסילבניה החזיר את הדיון בתיק לערכאה הדיונית כדי שתכריע בתביעה על בסיס העקרונות שהותוו בפסק הדין.