הרשות להגנת הפרטיות במשרד המשפטים קבעה היום (רביעי) כי חברת "אלקטור" ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות בעקבות דליפת המידע במהלך מערכת הבחירות ב-2020. הרשות העבירה היום למפלגות ולחברה את קביעותיה הסופיות בעקבות דליפת פנקס הבוחרים ומידע אישי רגיש שהוזן ליישומון החברה במהלך מערכת הבחירות השנייה.
"אלקטור", נזכיר, סיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות יישומון ייעודי, והמפלגות קיבלו גישה למערכות המידע שלה. ב-8 בפברואר 2020, במהלך מערכת הבחירות השנייה, דלף לרשת קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 אודות כ-6.5 מיליון בעלי זכות הבחירה בישראל.
כך פעל יישומון אלקטור
בהתאם לזאת, נחשף מידע אישי אודות בעלי זכות הבחירה, כמו גם כתובתם, מקום הצבעתם ועוד. בנוסף נחשף מידע אישי רגיש אודות הבוחרים אשר הוזן על ידי גורמים שונים כחלק מהשימוש ביישומון, וכלל בין היתר מספרי טלפון, כתובות דוא"ל, מידע אודות מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי, לעיתים תוך פירוט מגבלותיו הרפואיות ומידע על היותו של אדם "תומך" או "לא תומך" במפלגה.
ברשות אמרו כי ניתן להטיל קנס מנהלי בהיקף של עשרות אלפי שקלים על המחזיק במידע בגין חלק מההפרות - וגובה הסכום ייקבע בהמשך. עם זאת, החוק הנוכחי לא מאפשר לרשות להטיל סנקציות כספיות על רוב ההפרות שבוצעו - ובהן גם מצד המפלגות.
הרשות הדגישה כי חל איסור על שימוש במידע אישי במקרים שבהם לא ניתנה לגביו הסכמה תקפה ומספקת של האדם עליו המידע נאסף, או מבלי שהוסברו לו מטרות השימושים בו ולמי יימסר. איסור זה, כפי שהבהירה הרשות, חל גם על איסוף ושימוש במידע ביישומים או במאגרי המידע של המפלגות.
הודעות על קביעת ההפרה כללו סקירה של הליקויים הרבים שיוחסו לאלקטור ולמפלגות - כל אחת בהתאם לממצאים שנמצאו לגביה. בין הליקויים הללו נכללו: אי-קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו; היעדר מסמך עדכני בדבר מבנה המאגר; מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש; אי-מניעת אפשרות גישה בהרשאה ממספר מזדהים באותם פרטי זיהוי בו זמנית; מתן הרשאות גישה למי שאינו מורשה; קביעת סיסמאות חלשות ללא בקרה; היעדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע; אי-התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית; אי-ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד.
"אין ספק כי פעילות המפלגה אינה עולה כדי דרישות החוק"
בנוסף, קבעה הרשות כי "אלקטור" גם החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שנדרש ביעורם בהתאם לדין. כמו כן, נקבע שהמפלגות לא נקטו באמצעי פיקוח ובקרה מספקים בנסיבות העניין לבחינת עמידתה של אלקטור בהוראות החוק והתקנות, לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן עם המחזיקה, לא קבעו בהסכמים עימה את אופן יישום החובות הרלוונטיות מתחום אבטחת מידע ואף לא נקטו באמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם.
יישומון "אלקטור"
בהקשר זה קבעה הרשות כי "בנסיבות העניין לא היה די בהסתמכות המפלגות על הצהרותיה של המחזיקה במידע עבורן, באשר לעמידתה בהוראות החוק והתקנות לבדן, וכי על המפלגות היה לנקוט פעולות מתאימות, על מנת לוודא כי 'אלקטור' אכן מקיימת את כלל הוראות החוק הרלוונטיות, ולנקוט באמצעי בקרה ופיקוח מתאימים על עמידתה בהוראות ההסכם עם בעל המאגר ובהוראות התקנות".
"לעומת זאת", נאמר עוד, "במקרה שלפנינו, כל שביצעה המפלגה היה הסתמכות על הצהרות מחזיקת המידע, לבדן, ומבלי שאף ניתנה אינדיקציה מקצועית כלשהי כאסמכתא לכך. בנסיבות העניין, ונוכח רגישות המידע, אין ספק כי פעילות המפלגה אינה עולה כדי דרישות החוק".
ממפלגת ישראל ביתנו נמסר בתגובה: "מפלגת ישראל ביתנו רכשה שירותים טכניים מוגבלים מחברת אלקטור, ולא השתמשה באפליקציה הייחודית שפיתחה החברה. דליפת המידע לא הייתה במפלגת ישראל ביתנו ולא בנתוניה. מידע אישי רגיש לא נאסף על-ידי ישראל ביתנו ולא דלף ממנה. ישראל ביתנו סיימה לקבל שירותים מאלקטור, ובעקבות ההנחיות המחדשות של הרשות להגנת הפרטיות, ננקטו צעדים מחמירים להגנת הפרטיות".
מהליכוד טרם נמסרה תגובה.
מטעם חברת אלקטור מסר עורך דינה בכור יאמין: "ב-8 בפברואר 2020, הביאה הרשות להגנת הפרטיות לידיעת חברת אלקטור כי קיימת חולשת אבטחה במערכת. החולשה תוקנה מיידית, ולאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן. מערך הסייבר הלאומי אף קיבל את כל הרשאות החברה לצורך בדיקת עומק, ואף הגיב לבג"ץ בעתירה שהוגשה כנגד החברה, והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה.
"לגבי טענות השווא לפיה המערכת כללה מידע רפואי: מערכת אלקטור, ככל מערכת ניהול מידע, מאפשרת הוספת הערות חופשיות, שאינן חלק מובנה מהמערכת. כלומר, אם פעיל מסוים במטה המפלגה החליט לכתוב על דעת עצמו כי מצביע מסוים נכה ויש לדאוג לו להסעה, אין זה תחת שליטתה או אחריותה של החברה. יתרה מזאת, ביזור ההרשאות במערכת אלקטור, שבו היא מאפשרת חסימת מידע לפי משתמש, בשליטת מנהל המטה המרכזי, אף שיפר את האבטחה באופן דרמטי מהנהוג בעבר. יחד עם זאת, כאמור, חברת אלקטור תלמד את הממצאים ותפעל על פיהם, כפי שנהגה עד היום".
