ההליך נפתח בעקבות אירוע סייבר חמור בחברה טכנולוגית, שנגרם על ידי תוקף זדוני שפעל מטעם מדינת אויב של ישראל סמוך לאחר ה-7 באוקטובר וכחלק ממלחמת חרבות ברזל. מתקפת הסייבר חסרת התקדים הובילה להשמדת כ-98% מכלל המידע שהיה ברשות החברה. בעקבות האירוע, ייחסה הרשות להגנת הפרטיות לחברה הפרות של שלל הוראות לפי חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), ואף שקלה להטיל עליה קנס מנהלי בגין האירוע.
המצב שנוצר הציב אתגר משפטי ורגולטורי מורכב במיוחד. הרשות להגנת הפרטיות מופקדת, בין היתר, על אכיפת חוק הגנת הפרטיות ותקנות אבטחת המידע, ולשם כך מחזיקה בסמכויות פיקוח ואכיפה. בהתאם לכך, בנסיבות מסוימות אירוע סייבר חמור עלול לחשוף ארגון לסנקציות מנהליות משמעותיות בשל אי-עמידה בדרישות הדין. יתרה מזו, תיקון מספר 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, חיזק עוד יותר את סמכויות האכיפה של הרשות להגנת הפרטיות בכך שהעניק לה, בין היתר, סמכות להטלת עיצומים כספיים בסכומים גבוהים על מפרי הוראות חיקוק.
אל מול איום הסנקציות, נקטה עו"ד דנה עסיס-שנער בגישה אסטרטגית מקיפה, ששילבה מומחיות משפטית, רגולטורית וטכנולוגית. כבר בתחילת ההליך, ניווטה עו"ד עסיס-שנער את הליך האכיפה ביד רמה, תוך שווידאה כי יתאפשר לחברה להציג את טענותיה בכתב ובהמשך גם בעל-פה במסגרת שימוע פרונטלי בפני הרשות. עו״ד עסיס שנער הקפידה שכל טענה ונימוק ייתמכו בראיות מוצקות, לרבות ממצאי חקירה פורנזית שהוזמנה במיוחד. במהלך ניהול המשבר, עו"ד עסיס-שנער פעלה בשלבים סדורים: איסוף וניתוח ראיות המאששות כי החברה נפלה קורבן למתקפה מתוחכמת ואין המדובר בכשל או מחדל רשלני מצידה. כמו כן עו"ד עסיס-שנער גיבשה טיעונים מבוססים ומקיפים מטעם החברה בנוגע להפרות שייחסה לה הרשות. במסגרת הטיעונים בכתב של החברה, הופרכו אחת לאחת שלל ההפרות שיוחסו לחברה. בין השאר, הוצגו הוכחות לכך שהמערכות הקריטיות בחברה היו מוגנות באמצעי אבטחה מתקדמים וכי לא נמצא כשל מערכתי בהתנהלות החברה, זולת תחכום המתקפה הזדונית שהצליחה לחדור את כלל ההגנות.
מעבר למענה הכתוב, התעקשה עו"ד עסיס-שנער כי הרשות תאפשר לחברה להשלים טיעוניה גם בעל פה במסגרת שימוע פרונטלי שנערך לחברה בפני נציגי הרשות. בשימוע זה עו״ד עסיס שנער הציגה באופן את הראיות והטיעונים המשפטיים, השיבה לשאלות הרגולטור, והדגישה את מאמצי החברה לעמידה בדרישות החוק. יכולתה לתקשר במקצועיות מול גורמי האכיפה סייעה לשכנע כי החברה פעלה בתום לב וברוח החוק. כצעד פרואקטיבי נוסף, הצליחה עו"ד עסיס-שנער לשכנע את הרשות לאפשר הגשת מענה משלים בכתב נוסף מטעם החברה לחיזוק והשלמת נקודות מפתח שעלו בדיון. המענה המשלים כלל ניתוחים משפטיים וטכניים נוספים שהעמיקו עוד את הראיות לחפות החברה. צעד זה, שאינו שכיח בכל הליך, ביטא את נחישותה לוודא שלרשות תהיה תמונה מלאה וברורה לפני קבלת החלטה סופית.
אחד הגורמים המכריעים בהצלחת ההליך היה המומחיות הרב-תחומית של עו"ד דנה עסיס-שנער. במסגרת השימוע וההתכתבויות עם הרשות, הציגה עו"ד עסיס-שנער ידע רגולטורי מעמיק וייחודי, הנשען בין היתר על ניסיונה כיועצת משפטית בשירות המדינה. היכולת שלה לחשוב הן מנקודת מבט המפוקח והן מנקודת מבט הרגולטור נבעה מהניסיון העשיר הזה, ואפשרה לה לגשר על פערי הציפיות מול הרשות. בקיאותה היסודית בתקנות הגנת הפרטיות (אבטחת מידע) ובכל הדרישות הטכניות והארגוניות שהן מטילות באה לידי ביטוי מובהק. היא הפגינה שליטה בהנחיות הרגולטוריות הרלוונטיות, ובהן הנחיית רשם מאגרי מידע 03/2018. הנחיה זו קובעת כי ארגונים המוסמכים לתקן אבטחת מידע ISO/IEC 27001 ייחשבו כמקיימים את הוראות תקנות הגנת הפרטיות במלואן, ובלבד שאותם ארגונים עומדים בדרישות שנקבעו בהנחיה. החברה במקרה זה הייתה מוסמכת לתקן זה ועמדה בדרישות ההנחיה, עובדה שהודגשה כמענה ישיר לטענות הרשות.
עו"ד עסיס-שנער הראתה שלחברה הייתה תשתית אבטחה נאותה בהתאם לסטנדרטים מקובלים, וכי האירוע ארע למרות מאמצי הציות. בנוסף, היא הדגישה את ההתעדכנות המתמדת של החברה בהתפתחויות הרגולטוריות, כולל תיקון 13 לחוק הגנת הפרטיות. שילוב הידע המשפטי עם הבנה טכנולוגית סייע בגיבוש מענה שמצליח להדוף את טענות הרשות ושמוכיח כי החברה לא הפרה כל הוראה. הישג זה ממחיש באופן חד את יכולותיה המשפטיות והאסטרטגיות של עו"ד עסיס-שנער כעורכת דין מובילה בתחום הגנת הפרטיות ואבטחת המידע. ניסיון העבר העשיר שלה בניהול הליכי אכיפה אפשר לה לנווט בין דרישות הדין לבין צרכי הלקוח בביטחון ובמקצועיות. עו"ד דנה עסיס-שנער הצליחה להעניק ללקוחותיה את השקט והיכולת להמשיך להתמקד בעשייה המקצועית שלהם, בזמן ועל אף הליך האכיפה המורכב שהתנהל נגדם באותה העת.
קרדיט תמונה: עורכת הדין דנה עסיס - שנער (צילום:אנדה יואל)
