כ"ד כסלו התשפ"ה
25.12.2024
בתום ההליך נקבע

הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות

בתום הליך אכיפה - הרשות להגנת הפרטיות קבעה כי חברת אלקטור ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות והתקנות מכוחו

הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות
אילוסטרציה צילום: pixabay

הרשות להגנת הפרטיות במשרד המשפטים העבירה אמש (רביעי) למפלגות הליכוד וישראל ביתנו ולחברת אלקטור תוכנה בע"מ את קביעותיה הסופיות, אשר מסכמות את הליך האכיפה המנהלי, שביצעה בעקבות אירוע אבטחת מידע חמור, שאירע במהלך מערכת הבחירות לכנסת ה-23, במסגרתו דלף פנקס הבוחרים ומידע אישי רגיש נוסף שהוזן לאפליקציית אלקטור, לרשת האינטרנט.

בהודעות ההפרה שהועברו קבעה הרשות, כי חברת אלקטור וכן מפלגות הליכוד וישראל ביתנו אשר קיבלו שירותים טכנולוגיים מחברת אלקטור, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. ממצאי הליך האכיפה שקיימה הרשות חשפו הפרות של החוק, לרבות ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי רגיש.
 
אירוע אבטחת המידע החמור התרחש ביום 8 בפברואר 2020, במערכות המידע של חברת אלקטור תוכנה בע"מ, אשר סיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה. כחלק מאירוע זה התאפשרה גישה למערכות המידע של אלקטור ודלף לרשת קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 אודות כ-6.5 מיליון בעלי זכות הבחירה בישראל. בהתאם לזאת,  נחשף מידע אישי אודות בעלי זכות הבחירה, כמו גם כתובתם, מקום הצבעתם ועוד.

בנוסף, נחשף מידע אישי רגיש אודות הבוחרים, אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה, וכלל בין היתר מספרי טלפון, כתובות דוא"ל, מידע אודות מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי, לעיתים תוך פירוט מגבלותיו הרפואיות ומידע על היותו של אדם "תומך" או "לא תומך" במפלגה.
 
בעקבות מידע שהגיע לרשות אודות אירוע אבטחת המידע, נקטה הרשות באופן מידי בפעולות לעצירת הדלף, ופתחה בבדיקת נסיבות האירוע במסגרת הליך פיקוח. כפועל יוצא מפעילותה, הופסקה דליפת המידע ונבחנו הסיבות להתרחשותה, לרבות התחקות אחר ליקויים באבטחת המידע והפרות הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), שלכאורה בוצעו.

כבר בשלביו הראשונים של ההליך נחשפו ליקויי אבטחת מידע חמורים אותם הנחתה הרשות לתקן. בדיקות נוספות שביצעה הרשות העלו כי גם לאחר תיקון הליקויים הראשוני שבוצע על ידי אלקטור, עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת. לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, לאחר שהרשות וידאה כי החברה טיפלה בליקויים, עלתה המערכת שוב לאוויר.
 
בהתאם לקביעת הרשות, מרגע גזירתו של מאגר מרשם האוכלוסין לשם יצירתם של עותקי פנקס הבוחרים, כל אחת מן המפלגות הופכת ל"בעל מאגר" בעותק הפנקס הנמסר לה, ובהתאם חלות עליה כל החובות הקבועות בחוק ובתקנות, לרבות במקרה בו המידע מוחזק או מעובד על ידי צד שלישי, לרבות ספקי מיקור חוץ.
 
בנוסף, לגבי עצם השימוש באפליקציית אלקטור, הרשות הדגישה, כפי שכבר הבהירה בהנחיות קודמות שפרסמה, כי חל איסור על שימוש במידע אישי, במקרים בהם לא ניתנה לגביו הסכמה תקפה ומספקת של האדם עליו המידע נאסף, או מבלי שהוסברו לו מטרות השימושים בו ולמי יימסר. איסור זה, כפי שהבהירה הרשות, חל גם על איסוף ושימוש במידע ביישומים או במאגרי המידע של המפלגות.
 
קביעותיה הסופיות של הרשות התבססו על כלל ממצאי הליך האכיפה, לאחר שנשקלו כל טיעוני אלקטור והמפלגות שהועברו לרשות בכתב, ולאחר קיום הליכי שימוע. ההליך בוצע בליווי מחלקת הסייבר בפרקליטות המדינה.
 
הרשות הפנתה למסמך הדגשים שהעבירה לאחרונה לכלל המפלגות והסיעות המתמודדות לכנסת ה-24, (אשר מפורסם גם לציבור הרחב לראשונה כעת). מסמך זה מפרט את מכלול מגבלות השימוש בפנקס הבוחרים ואת האחריות המוטלת על המפלגות בקבלת שירותים שונים מספקים חיצוניים בעת השימוש באפליקציות ובפלטפורמות לניהול הקשר עם הבוחרים. המסמך מתבסס, בין השאר, על תובנות שעלו מהליכי האכיפה בתחום, לרבות פיקוח הרוחב שבוצע בקרב כלל המפלגות לבחירות לכנסת ה-23. מסמך זה גם מפרט את ההמלצות לעניין אמצעי האבטחה הבסיסיים בהן על המפלגות לנקוט בעת שימוש באפליקציית בחירות או בהסתייעות בספקי מיקור חוץ לצורך ניהול קמפיין.
 
ברשות קבעו כי העובדה שבשנים האחרונות הקשר עם הבוחר מתקיים בעיקר באמצעות אמצעים דיגיטליים ומדיה חברתית, גרמה ליצירת סיכונים רבים וחמורים, שלא התקיימו בעבר, ובדיוק בשל כך ולאור דרכי ההתקשרות הנרחבים עם הבוחר בעידן הנוכחי, הוראות הדין קובעות, שכל מי שמקבל לידיו את פנקס הבוחרים לצורך התמודדות בבחירות ויצירת קשר עם הבוחר, נדרש לגלות זהירות יתרה בכל הנוגע לשימוש בו ולעמוד באופן מלא בהוראות החוק והתקנות.
 
לצורך שימוש בפנקס הבוחרים, המפלגות נדרשות לאבטח את המידע כנדרש על פי הוראות החוק והתקנות, כאשר האחריות לאבטחת המידע שבפנקס חלה על המפלגות כבעלות המאגר, גם ובמיוחד, במקרה בו המידע מוחזק או מעובד על ידי צד שלישי, לרבות ספקי מיקור חוץ. במסמך שפרסמה הרשות להגנת הפרטיות, שהופץ לכלל המפלגות שהתמודדו לכנסת ה-23, בכל הנוגע למגבלות השימוש במידע מפנקס הבוחרים טרם מערכת הבחירות, התריעה הרשות מפורשות כי "האחריות לקיום הוראות החוק וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן 'בעלי המאגר' אשר לפי החוק, עלולות לשאת באחריות פלילית או אזרחית, לפי העניין, גם להפרות שיבוצעו באפליקציה בידי ספק שירות חיצוני עבור המפלגות או מטעמן".
 
בהודעות ההפרה ששלחה הרשות למפוקחות, קבעה הרשות כי יש לראות במפלגות "בעל מאגר", ביחס לנגזרת פנקס הבוחרים שנמסרה לשימושן, ויש לראות באלקטור כ"מחזיקה" בפנקס הבוחרים מטעם המפלגות וכי אין כל אחיזה בדין לטענות שהעלו המפלגות, כי החוק והתקנות אינם חלים על פנקס הבוחרים ועל השימוש בו. על כן, קבעה הרשות, כי בהתאם לדין, חלה על המפלגות האחריות כבעלות המאגר להתנהלותה של אלקטור כמחזיקה בפנקס הבוחרים, שקיבלה מהמפלגות ולליקויי אבטחת המידע החמורים שהתגלו באפליקציה ששימשה לאחסון ולעיבוד מידע עבור המפלגות. עוד קבעה הרשות, כי גם אם לא ניתן להבטיח כי העולם הרשתי יהיה חסין לחלוטין מפני אירועים של דליפת מידע או פריצה בלתי מורשית למערכות, הרי שלפי החוק בעל מאגר ומחזיק מטעמו נדרשים לנקוט באמצעים מקובלים להגנה מקסימלית על המידע, וכפי שעולה מממצאי ההליך, המפלגות ואלקטור לא נקטו באמצעים מספיקים לאבטחת המידע.
 
בנוסף, אירוע האבטחה החמור אפשר גישה למידע שבבסיס הנתונים של אלקטור, אשר שימש את שתי המפלגות יחד וכלל את שני מאגרי המידע של שתי המפלגות (ובכלל זה את שתי הגרסאות של פנקס הבוחרים שהעבירה כל אחת מהן), ובכך נחשף מידע מבסיס הנתונים, אשר כלל מידע מתוך פנקס הבוחרים שהעבירה כל אחת מהמפלגות לאלקטור.
 
ההודעות על קביעת ההפרה כללו סקירה של הליקויים הרבים שיוחסו לאלקטור ולמפלגות- כל אחת בהתאם לממצאים שנמצאו לגביה. בין הליקויים הללו נכללו - אי קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו, העדר מסמך עדכני בדבר מבנה המאגר, מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש, אי מניעת אפשרות גישה בהרשאה ממספר מזדהים באותם פרטי זיהוי בו זמנית, מתן הרשאות גישה למי שאינו מורשה, קביעת סיסמאות חלשות ללא בקרה, העדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע, אי התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית, אי ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד.
 
בנוסף, קבעה הרשות כי אלקטור גם החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שנדרש ביעורם בהתאם לדין. כמו כן, נקבע שהמפלגות לא נקטו באמצעי פיקוח ובקרה מספקים בנסיבות העניין לבחינת עמידתה של אלקטור בהוראות החוק והתקנות, לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן עם המחזיקה, לא קבעו בהסכמים עימה את אופן יישום החובות הרלוונטיות מתחום אבטחת מידע ואף לא נקטו באמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם. בהקשר זה קבעה הרשות, כי בנסיבות העניין לא היה די בהסתמכות המפלגות על הצהרותיה של המחזיקה במידע עבורן, באשר לעמידתה בהוראות החוק והתקנות לבדן, וכי על המפלגות היה לנקוט פעולות מתאימות, על מנת לוודא כי אלקטור אכן מקיימת את כלל הוראות החוק הרלוונטיות, ולנקוט באמצעי בקרה ופיקוח מתאימים על עמידתה בהוראות ההסכם עם בעל המאגר ובהוראות התקנות. לעומת זאת, במקרה שלפנינו, כל שביצעה המפלגה היה הסתמכות על הצהרות מחזיקת המידע, לבדן, ומבלי שאף ניתנה אינדיקציה מקצועית כלשהי כאסמכתא לכך. בנסיבות העניין, ונוכח רגישות המידע, אין ספק כי פעילות המפלגה אינה עולה כדי דרישות החוק.
 
כמו כן, הרשות פועלת באופן שוטף, מזה שנים וגם בימים אלה, לשם קידומם של הסדרים חדשים אשר יאפשרו רמת אבטחת מידע גבוהה יותר בגישה למידע הפנקס. אולם, כל עוד לא נקבעו הסדרים חדשים כאלה, חלים דיני הפרטיות במלואם על ניהול מאגרי המידע, לרבות פנקס הבוחרים, אגב מערכת הבחירות ולצורך התמודדות בה.
 

מדוברות מפלגת ישראל ביתנו נמסר כי "מפלגת ישראל ביתנו רכשה שירותים טכניים מוגבלים מחברת אלקטור ולא עשתה שימוש באפליקציה הייחודית שפותחה ע״י החברה. דליפת המידע לא הייתה במפלגת ישראל ביתנו ולא בנתוניה. מידע אישי רגיש לא נאסף ע״י ישראל ביתנו ולא דלף ממנה. ישראל ביתנו סיימה לקבל שירותים מאלקטור ובעקבות ההנחיות המחדשות של הרשות להגנת הפרטיות, ננקטו צעדים מחמירים להגנת הפרטיות".

הליכוד ישראל ביתינו פרטיות באינטרנט פנקס הבוחרים

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}