הרשות להגנת הפרטיות הודיעה השבוע (27.1) כי חברת אלקטור, שהפעילה אפליקציה לפילוח בוחרים והשפעה על הצבעתם, הפרה את חוק הגנת הפרטיות ואת תקנות הגנת הפרטיות. בנוסף נקבע כי מפלגות הליכוד וישראל-ביתנו, שעשו שימוש באפליקציה, הפרו גם הן את החוק והתקנות. האפליקציה היתה חלק מרכזי בקמפיין הבחירות של הליכוד ונתניהו עצמו העניק לה חשיבות עצומה וקיים עצרות בחירות בהן הפציר שוב ושוב בקהל להשתמש באפליקציה.

לפי הודעת הרשות, הליך האכיפה המנהלי שביצעה בליווי מחלקת הסייבר בפרקליטות המדינה לבדיקת התנהלות האפליקציה והמפלגות העלה "ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור", כפי שדוווח בזמן אמת ב"העין השביעית".

שיאם של הליקויים באירוע מה-8.2.2020, כשלושה שבועות לפני הבחירות לכנסת, אז דלף לרשת קובץ המכיל מידע מפנקס הבוחרים על אודות כ-6.5 מיליון בעלי זכות בחירה. מלבד מידע על זהות בעלי זכות הבחירה, כתובתם ומקום הצבעתם, נחשף מידע אישי רגיש שהוזן על ידי מפעילי האפליקציה וכלל מספרי טלפון, כתובות דוא"ל, מידע אודות מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי ומידע על הנטיה הפוליטית של הבוחר הפוטנציאלי.

ראש הממשלה, בנימין נתניהו, עם מנהל חברת "אלקטור" צוריאל ימין (צילום מסך מתוך חשבון הטוויטר של ימין)

ראש הממשלה, בנימין נתניהו, עם מנהל חברת "אלקטור" צוריאל ימין (צילום מסך מתוך חשבון הטוויטר של ימין)

יומיים לפני הדליפה דווח ב"העין השביעית" על עתירה שהוגשה לוועדת הבחירות בטענה שהאפליקציה פוגעת קשות בפרטיות של אזרחי ישראל ומפרה את דיני הפרטיות של המדינה. לעתירה צורפה חוות דעת מאת פרופ' ענת בן-דוד (כיום, חברת הוועד המנהל של עמותת "העין השביעית"), שקבעה כי "מפתחי האפליקציה לא נקטו באמצעי אבטחת מידע מספקים הדרושים לווידוא כי הגישה למידע מפנקס הבוחרים ניתנת למורשים בלבד. [...] הגישה הוענקה באמצעות אוטומציה, באופן רחב היקף, ללא נקיטת אמצעי אבטחה מספקים, והובילה לפרצה המאפשרת לגורמים מחוץ לישראל לגשת למידע רגיש על אודות מרשם האוכלוסין, והמהווה סכנה ממשית לפרטיותם של אזרחי ישראל".

הודעת הרשות להגנת הפרטיות מאשרת את ממצאיה של פרופ' בן-דוד.

צוריאל ימין, מנהל אלקטור ואחד מבעלי החברה, טען תחילה כי אין כל בעיה של פרטיות באפליקציה ובשימוש בה. "חשוב לי שהחברה תעמוד בסטנדרטים גבוהים של פרטיות ואבטחת מידע", אמר בראיון לכתב "כלכליסט" עומר כביר ימים אחדים לפני הדליפה. "מבחינה אישית, אני אזרח ישראל ולא הייתי רוצה שהפרטים שלי ידלפו. מבחינה מקצועית, זו המחויבות שלי למפלגות. אם אני לא אספק אבטחה מרבית לפי התקנים הכי מחמירים, הן ילכו למתחרים שלי".

בנימין נתניהו, ראש ממשלת ישראל, קורא לתומכיו להשתמש באפליקציית ניהול הבוחרים "אלקטור" בכנס בחירות שהתקיים בחדרה ב-6 בפברואר 2020, יומיים לפני אירוע הדליפה

זמן קצר לאחר הדליפה מאפליקציית אלקטור דווח ב"העין השביעית" כי האפליקציה הוכנה מבעוד מועד לקליטה של נתוני עבר, זאת על אף שהחוק מחייב את המפלגות להשמיד עם סיומה של מערכת בחירות נתונים שנאספו במהלכה מפנקס הבוחרים. "החברה מבערת על-פי חוק את ספר הבוחרים בסוף תקופת הבחירות", הגיב באותם הימים מנהל אלקטור ל"העין השביעית", אולם בהודעת הרשות להגנת הפרטיות מהשבוע נקבע באופן חד-משמעי כי אלקטור "החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שנדרש ביעורם בהתאם לדין".

לפי הודעת הרשות להגנת הפרטיות, בין הליקויים שנחשפו בבדיקה שערכו נכללים: "אי קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו, העדר מסמך עדכני בדבר מבנה המאגר, מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש, אי מניעת אפשרות גישה בהרשאה ממספר מזדהים באותם פרטי זיהוי בו זמנית, מתן הרשאות גישה למי שאינו מורשה, קביעת סיסמאות חלשות ללא בקרה, העדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע, אי התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית, אי ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד".

אביגדור ליברמן מצביע בבחירות הכלליות לכנסת, 2.3.20 (צילום: גרשון אלינסון)

אביגדור ליברמן מצביע בבחירות הכלליות לכנסת, 2.3.20 (צילום: גרשון אלינסון)

בעוד אלקטור פעלה בניגוד לדין כששמרה את הנתונים ממערכות בחירות קודמות, ברשות מטילים על מפלגות הליכוד וישראל-ביתנו את האחריות לכך שלא נקטו באמצעי פיקוח ובקרה מספקים לבחינת האופן שבו אלקטור עומדת בהוראות החוק והתקנות. המפלגות לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן עם אלקטור, לא קבעו בהסכמים עימה את אופן יישום החובות הרלוונטיות מתחום אבטחת מידע ואף לא נקטו באמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם.

הרשות קובעת כי "בנסיבות העניין לא היה די בהסתמכות המפלגות על הצהרותיה של המחזיקה [אלקטור] במידע עבורן, באשר לעמידתה בהוראות החוק והתקנות לבדן, וכי על המפלגות היה לנקוט פעולות מתאימות, על מנת לוודא כי אלקטור אכן מקיימת את כלל הוראות החוק הרלוונטיות, ולנקוט באמצעי בקרה ופיקוח מתאימים על עמידתה בהוראות ההסכם עם בעל המאגר ובהוראות התקנות. לעומת זאת, במקרה שלפנינו, כל שביצעה המפלגה היה הסתמכות על הצהרות מחזיקת המידע, לבדן, ומבלי שאף ניתנה אינדיקציה מקצועית כלשהי כאסמכתא לכך. בנסיבות העניין, ונוכח רגישות המידע, אין ספק כי פעילות המפלגה אינה עולה כדי דרישות החוק".

הודעה שהופצה בקבוצה של תומכי ליכוד במהלך מערכת הבחירות לראשות המפלגה, שבהן השתמש נתניהו ב"אלקטור" (צילום מסך)

הודעה שהופצה בקבוצה של תומכי ליכוד במהלך מערכת הבחירות לראשות המפלגה, שבהן השתמש נתניהו ב"אלקטור" (צילום מסך)

במקביל להודעת הרשות להגנת הפרטיות על מסקנות הליך האכיפה מול אלקטור, פרסמה הרשות לציבור מסמך שהופץ לאחרונה לכלל המפלגות המתמודדות בבחירות לכנסת במטרה למנוע הישנות מקרים של פגיעה בפרטיות בעלי זכות הבחירה.

במסמך מתואר כיצד פועלות אפליקציות כגון אלקטור ומודגש כי "ככל שלא ניתנה הסכמתם של האזרחים להזנת פרטים אודותיהם ולמי יימסר ביישומים או במאגרי המידע של המפלגה, במיוחד אינדיקציות בדבר תמיכתם או אי תמיכתם במפלגה כזו או אחרת, מדובר לכאורה בשימוש בלתי חוקי המפר את הוראות סעיף 2(9) לחוק הגנת הפרטיות".

עוד מודגש במסמך כי "בתום הבחירות יש לבער את כל עותקי המידע שמקורו בפנקס הבוחרים שנמצא אצל המפלגה ולוודא ביעור המידע אצל כל הספקיות במיקור חוץ של המפלגה, ושל כל נגזרת של מידע פנקס אשר הגיע לידם".

הרשות מזהירה את המפלגות כי "האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן 'בעלי המאגר' אשר עלולות לשאת באחריות פלילית או אזרחית, גם להפרות שיבוצעו באפליקציה או בידי ספק שירות חיצוני עבור המפלגות או מטעמן".

על אף האזהרה הנחרצת הזו, הוראות חוק הגנת הפרטיות אינן מאפשרות לרשות להטיל סנקציה כספית על המפלגות הליכוד וישראל-ביתנו בגין ההפרות שביצעו במקרה של בחירות 2020. חברת "אלקטור", לעומת זאת, עשויה להיקנס בסכום של עשרות אלפי שקלים בגין מעשיה ומחדליה.

עוד על מאגר המידע של הליכוד