דו"ח: ליקויים והפרות ביישום חוק הגנת הפרטיות בקרב המפלגות

"ליקויים במרבית המפלגות, בין היתר בכל הנוגע לאחזקת מאגרי מידע רגישים מבלי שעמדו בסטנדרטים מחמירים של אבטחת מידע, באופן יישום הוראות תקנות הגנת הפרטיות ובהיעדר רישום וניהול מאגרי המידע שברשות המפלגות", כך עולה מדו"ח שפרסמה הרשות להגנת הפרטיות בפיקוח רוחב שערכה, בראשונה, בקרב כלל המפלגות שהתמודדו בבחירות הכלליות לכנסת ה-23.

מהממצאים עולה, כי "המפלגות מחזיקות מאגרי מידע רגישים ביותר, הכוללים, בין היתר, מידע על דעותיו הפוליטיות של אדם. השילוב של מידע רב ומשמעותי בבעלות המפלגות, ובכלל זה מידע בדרגת רגישות גבוהה, מחייב אותן לעמוד בסטנדרטים מחמירים של אבטחת מידע. הליקויים המשמעותיים באופן יישום הוראות החוק והתקנות בולטים בעיקר על רקע העובדה, שהרשות נוהגת לפרסם לפני כל מערכת בחירות מסמך רענון הנחיות למפלגות בנוגע לשימוש במידע על אזרחים מפנקס הבוחרים, מקיימת כנסים מקצועיים למפלגות ומלווה את תהליך הבחירות במענה לשאלות המועלות על ידי המפלגות והרשימות".

"הפרקטיקה של המפלגות לאסוף מידע ולהטמיעו ביישומים בלא הסכמת נושאי המידע, לרבות העברת פרטים אלה בין המפלגות לבין עצמן והוספת אינדיקציה לגבי תמיכתם או אי תמיכתם במפלגה כזו או אחרת – הינה הפרה לכאורה של הוראות חוק הגנת הפרטיות. המשמעות היא, שמאגר מידע הכולל פרטים אלו, שהוזנו בלא הסכמת נושאי המידע, הוא מאגר שהרשם מוסמך לסרב ויסרב לרשום בהתאם לסמכותו, ניהולו יהיה בלתי חוקי ויחול איסור על המפלגות ועל כל גורם אחר להחזיק בו או לנהל אותו".

"לפני הבחירות, משרד הפנים מנפיק את פנקס הבוחרים. זה נמסר למפלגות לצורך שתי מטרות בלבד: התמודדות בבחירות ויצירת קשר עם ציבור הבוחרים. בהתאם לחוק הגנת הפרטיות, על המפלגות לעשות שימוש במידע אך ורק למטרות אלו, ואין להעבירו לצדדים שלישיים לשימושים אחרים. כמו כן, על המפלגות חלות דרישות אבטחת מידע ברמה הגבוהה ביותר. הרשות סבורה, כי העברת פנקס הבוחרים למפלגות במתכונת הנוכחית אינה הפרקטיקה המיטבית בהיבטי ההגנה על פרטיות האזרחים ואבטחת המידע הרגיש הנכלל בפנקס הבוחרים. לכן, הרשות פועלת בשנה האחרונה לקידום שינוי תהליך הנגשת מידע רלוונטי מפנקס הבוחרים למפלגות במתכונת דיגיטלית אחרת, שתבטיח הגנה ראויה על המידע האישי של הבוחרים ותמנע חשש לזליגת פנקס הבוחרים".

במרבית המפלגות לא קיים מנהל אבטחה של מאגר המידע

בין הליקויים שנמצאו: אי-ביצוע של מבדקי חדירות וסקרי סיכונים תקופתיים; נוהלי אבטחת מידע חלקיים או לא מספקים; ליקויים בניהול הרשאות הגישה למאגרים. נמצא גם, כי במרבית המפלגות לא קיים מנהל אבטחה של מאגר המידע וכי מערך ההרשאות מנוהל ומתופעל במקרים רבים על ידי מנהלי המאגר, או "מנהלים אזורים", או "מנהלי מסעות", המעניקים הרשאות למאגרי המידע ולמערכות המידע של המפלגות מבלי לבצע הערכה להיקף ההרשאה הניתן ביחס לדרישת התפקיד. "מירב המפלגות נוהגות לרכוש מאגרי מידע לצורכי טיוב נתונים, עריכת סקרים, שיווק וכו'. המפלגות נוהגות להתקשר עם גורמים המציעים להם מידע אישי על אנשים, וזאת מבלי לוודא שמקורות המידע אותם הם מקבלים הינם חוקיים. נמצא כי המפלגות לא נוהגות לעדכן את האנשים שאליהם הן פונות מהיכן הגיע לידיהן המידע עליהם, כנדרש בחוק הגנת הפרטיות".

ליקוי מרכזי שנמצא אצל המפלגות, נכתב בדו"ח, "מתייחס לעיבוד מידע אישי בעת הסתייעות שלהן בשירותי מיקור חוץ. ניכר כי המפלגות אינן בוחנות היטב את סיכוני אבטחת המידע הכרוכים בהתקשרות עם ספקי מיקור החוץ, לא נבחנות חלופות ולא מוגדרים נוהלי סיכונים מסודרים. חלק מספקי החוץ שעימם התקשרו המפלגות נמצאו כלא מיומנים דיים בתחום אבטחת המידע. מרבית המפלגות לא עמדו בדרישות החוק והתקנות בבצען התקשרות עם ספקים אלה".

עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות, ציין, כי "המידע האישי והרגיש על אודות כל אחד מאיתנו – שבפנקס הבוחרים – מופקד בידי המפלגות לקראת כל מערכת בחירות. על המפלגות חלה החובה לעמוד בדרישות החוק ולאבטח את המידע כנדרש בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע). האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות, לרבות אבטחתו, מוטלת בראש ובראשונה על המפלגות, גם ובמיוחד כשהן נעזרות בספקי מיקור חוץ. הן עלולות לשאת באחריות פלילית או אזרחית במקרה של הפרת הוראות החוק להגנת הפרטיות. איסוף מידע והטמעתו ביישומים בלא קבלת הסכמתם של נושאי המידע לכך, מהווה הפרה של החוק".