משרד המשפטים: הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות

הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות בפרשת דליפת המידע החמורה של בוחרים פוטנציאליים מפנקס הבוחרים לקראת הבחירות הקודמות לכנסת – כך קובעת הרשות להגנת הפרטיות שבמשרד המשפטים בהודעה ששלחה היום (ד') לאמצעי התקשורת. ברשות טוענים כי הם העבירו את ממצאי הבדיקה שלהם לשתי המפלגות, אולם מהליכוד נמסר כי הם טרם קיבלו אותם, וכי ההודעה נשלחה לאמצעי התקשורת לפני שהגיעה למפלגה.

תחילת הפרשה בדליפה שאירעה ב-8 בפברואר אשתקד, במהלך מערכת הבחירות לכנסת ה-23, במערכות המידע של אפליקציית אלקטור, שסיפקה לליכוד ולישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות האפליקציה שפיתחה. כחלק מאירוע זה דלף לרשת קובץ שמכיל מידע מפנקס הבוחרים אודות כ-6.5 מיליון בעלי זכות בחירה ונחשפו נתונים אישיים שלהם, לרבות כתובות. מקומות הצבעה, מספרי טלפון, כתובות מייל ומידע אודות המצב האישי והרפואי של אנשים שביקשו הסעה אל הקלפי. בחלק מהמקרים אף נכתב אם אותו אדם תומך במפלגה או לא.

בעקבות מידע שהגיע לרשות על האירוע, היא נקטה בפעולות לעצירת דליפת המידע ופתחה בהליך בדיקה, שאת מסקנותיו פרסמה היום. כמו כן, 19 אזרחים, בראשות האקטיביסט עו"ד ברק כהן, הגישו תביעה נגד המפלגות והחברה שמפעילה את האפליקציה, שבה הם דרשו מהן מיליון שקלים – כ-50 אלף שקלים לכל אחד מהם.

הדליפה נמשכה – גם לאחר התיקון הראשוני

ברשות מצאו ליקויי אבטחת מידע חמורים כבר בחקירה הראשונית של האירוע וכי גם לאחר שאלקטור תיקנה אותם תיקון ראשוני, עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע לפנקס הבוחרים ולמידע האישי. לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, אחרי שהרשות וידאה שהחברה טיפלה בליקויים, היא עלתה בחזרה לאוויר.

הליכוד

הרשות הטילה אחריות על הליכוד וישראל ביתנו מתוקף הקביעה שלה שברגע שמפלגה מורידה מאגר מרשם האוכלוסין ליצירת עותק של פנקס הבוחרים, היא הופכת ל-"בעל מאגר" כקבוע בחוק ובתקנות הגנת הפרטיות. על פי החוק, גם אם מפלגה מעבירה את הגישה למאגר לצד שלישי, היא נושאת באחריות שלא יופרו הוראותיו. זאת ועוד, ברשות ציינו כי חל איסור להשתמש במידע על אדם ללא הסכמתו, באופן "תקף ומספק" – וגם זה לא התקיים כאן.

הליכוד וישראל ביתנו: האחריות לא חלה עלינו

באשר לאלקטור, הרשות להגנת הפרטיות קבעה כי היא החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שהיא דרשה ממנה לבער אותם. כמו כן, נקבע שהמפלגות לא נקטו באמצעי פיקוח ובקרה מספקים לבחינת עמידתה של אלקטור בהוראות החוק והתקנות, לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן עימה, לא קבעו בהסכמים עימה כיצד ייושמו חובות אבטחת המידע והשמירה על הפרטיות, ולא נקטו באמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם.

כחלק מהבדיקה, הרשות ערכה שימוע לליכוד ולישראל ביתנו, שבין היתר בעקבותיו פרסמה היום את מסקנותיה. אלה טענו כי האחריות לשמירה על המאגרים לא חלה עליהן. הרשות קבעה כי אין לטענות הללו כל אחיזה בדין. כמו כן, המפלגות טענו שאלקטור הצהירה בפניהן שהיא עומדת בהוראות החוק והתקנות. הרשות קבעה שאין די בכך.

ישראל ביתנו

"יש לגלות זהירות יתרה בשימוש בפנקס הבוחרים"

ברשות להגנת הפרטיות מציינים ש-"העובדה שבשנים האחרונות הקשר עם הבוחר מתקיים בעיקר באמצעים דיגיטליים ומדיה חברתית גרמה ליצירת סיכונים רבים וחמורים, שלא התקיימו בעבר, בדיוק בשל כך ולאור דרכי ההתקשרות הנרחבים עם הבוחר בעידן הנוכחי, הוראות הדין קובעות שכל מי שמקבל לידיו את פנקס הבוחרים לצורך התמודדות בבחירות ויצירת קשר עם הבוחר נדרש לגלות זהירות יתרה בכל הנוגע לשימוש בו". לדבריה, "האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן 'בעלי המאגר' שלפי החוק, עלולות לשאת באחריות פלילית או אזרחית, לפי העניין, גם להפרות שיבוצעו באפליקציה בידי ספק שירות חיצוני – עבורן או מטעמן".

עוד קבעה הרשות כי גם אם לא ניתן להבטיח ש-"העולם הרשתי", לדבריה, יהיה חסין לחלוטין מפני אירועים של דליפת מידע או פריצה לא מורשית למערכות, הרי שלפי החוק, על המפלגות ומפתחות המערכות שהן משתמשות בהן לנקוט באמצעים מקובלים להגנה מקסימלית על המידע – מה שהליכוד, ישראל ביתנו ואלקטור לא עשו במקרה זה.

ברשות מציינים כי הם פועלים "מזה שנים וגם בימים אלה לשם קידומם של הסדרים חדשים, שיאפשרו רמת אבטחת מידע גבוהה יותר בגישה למידע שבפנקס הבוחרים. אולם, כל עוד לא נקבעו הסדרים כאלה, חלים דיני הפרטיות במלואם על ניהול מאגרי המידע, לרבות פנקס הבוחרים, אגב מערכת הבחירות ולצורך התמודדות בה".

התגובות

מערכת אנשים ומחשבים פנתה לליכוד, לישראל ביתנו ולאלקטור לבקשת תגובות. מישראל ביתנו נמסר כי "המפלגה רכשה שירותים טכניים מוגבלים מאלקטור ולא עשתה שימוש באפליקציה הייחודית שפותחה על ידי החברה. דליפת המידע לא הייתה בישראל ביתנו ולא בנתוניה. מידע אישי רגיש לא נאסף על ידי ישראל ביתנו ולא דלף ממנה. ישראל ביתנו סיימה לקבל שירותים מאלקטור, ובעקבות ההנחיות המחדשות של הרשות להגנת הפרטיות ננקטו צעדים מחמירים להגנת הפרטיות". תגובות הליכוד ואלקטור לא נמסרו.

ד"ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה, אמרה כי "קביעת הרשות להגנת הפרטיות היא סימן אזהרה וקו גבול למפלגות לקראת הבחירות. האמירה החד משמעית שכל מפלגה נחשבת כמנהלת מאגר מידע לפי חוק הפרטיות והטלת האחריות על המפלגות הן בעלות חשיבות רבה".

"עם זאת", ציינה, "החוק לא מקנה לרשות אפשרות לתת סנקציות כבדות משקל על הפרה חסרת תקדים זו. נדרש לתת לרשות סמכויות משמעותיות, בד בבד עם מתן האפשרות להגשת תובענות ייצוגיות על פגיעה בפרטיות". היא הוסיפה כי "מטבע הדברים, קבועי הזמן של הרשות הם ארוכים, והדבר מחזק את הצורך לצייד את יו"ר ועדת הבחירות המרכזית בכלים של ממש לטיפול בעבירות אלה בזמן אמת, ולכרוך את דיני הפרטיות בתעמולת הבחירות".