בפברואר, 2020, במהלך מערכת הבחירות לכנסת ה-23, זלג מידע פרטי מפנקס הבוחרים. הסיפור החל כאשר מפלגות הליכוד וישראל ביתנו שכרו את שירותיה הטכנולוגיים של חברת אלקטור תוכנות בע"מ לשם הזנת נתונים אישיים של הבוחרים באפליקציה שיועדה לכך.
בשל ליקויים במערכות המידע של חברת אלקטור דלפו הנתונים לרשת האינטרנט וביניהם מספרי טלפון של מיליוני בוחרים, כתובות, מצב רפואי, נטייה פוליטית וכדומה. עוד ביום התרחשות האירוע פעלה הרשות להגנת הפרטיות לעצירתו באופן מידי. בין היתר, פתחה הרשות בהליכי בירור הנסיבות והשתלשלות העניינים.
תחקירה המהיר והמעמיק של הרשות העלה כי הליקוי אינו ניתן לתיקון פשוט בכדי להבטיח כי דליפת המידע לא תחזור. עקב כך, הורתה הרשות על הפסקה מידית בשימוש באפליקציה. כעבור מספר ימים בהם נערכו תיקונים, עדכונים ובדיקות חוזרות ונשנות אשר הבטיחו את הגנת המידע, קיבלה אלקטור אישור להפעיל מחדש את האפליקציה.
בהמשך לפעולות המיידיות לתיקון הליקוי, ערכה הרשות להגנת הפרטיות הליך בירור ואכיפה יסודי בשיתוף עם מחלקת הסייבר בפרקליטות המדינה. במסגרת הבירור, נאספו כל העובדות והממצאים הנובעים מאירוע הדליפה.
הרשות להגנת הפרטיות ביצעה בדיקה מדוקדקת של הנסיבות אשר הובילו להתרחשות האירוע. בין היתר, נבחנו יעילות ואמינות מערכות המידע של אלקטור וכן חלקן של מפלגות הליכוד וישראל ביתנו בתקרית החמורה. בסוף התהליך, העבירה הרשות למפלגות הליכוד וישראל ביתנו ולאלקטור את סיכום הליך האכיפה המנהלי שערכה. בין היתר, קבעה הרשות כי המפלגות הפרו את חוק הגנת הפרטיות ואת התקנות מכוחו.
הרשות להגנת הפרטיות מציינת במסגרת מסקנותיה כי בימנו, התקשורת עם הבוחר מתבססת על אמצעים טכנולוגיים ומדיה חברתית. בשל הסיכונים הכרוכים בכך, בראש ובראשונה, מוטלת האחריות על המפלגות ומשם האחריות עוברת אל ספקי מערכות המידע אשר חייבים לעמוד באופן מלא בהוראות חוק הגנת הפרטיות ובתקנות אבטחת המידע.
גם אם האירוע התרחש בעקבות כשל במערכות מידע של ספק שירות חיצוני. האחריות הפלילית או האזרחית בגין דליפת מידע, מונחת בראש ובראשונה על כתפי המזמין, קרי – המפלגה אשר רכשה את שירותיו של הספק. בנסיבות אלה, קבלת יעוץ משפטי מעו"ד סייבר, היתה מונעת את הדליפה.
בבדיקת מערכת המידע של אלקטור, מצאה הרשות כי הליקויים נובעים מהיעדר תנאים הכרחיים להגנת מידע. כך למשל, מדיניות סיסמאות חזקות, נוהל אבטחה ומנגנון ליישומו, ניהול תיעוד ובקרה, התקנת אמצעי הגנה ומניעת גישה למידע למי שאינו מורשה לכך. הרשות קבעה כי "תרומתן" של המפלגות התבטאה בהיעדר פיקוח ובקרה מצדן על פעולותיה של חברת אלקטור.
מתברר כי המפלגות הסתפקו בהצהרות אלקטור ולא בדקו כי אכן כך המצב בפועל והמידע המוזן למאגר המידע אכן מוגן מכל וכל. בסופו של דבר, הרשות להגנת הפרטיות קבעה מפורשות כי בהיעדר התערבות מקצועית מצד המפלגות בפעולותיה של אלקטור הן התרשלו בעמידה בדרישות חוק הגנת הפרטיות.
עמדת הרשות להגנת הפרטיות נכונה לכל ארגון המחזיק מאגר מידע ובו מידע פרטי. העובדה כי בארזים נפלה השלהבת, אינה מלמדת כי אזובי הקיר פטורים. אם אתם מחזיקים מידע פרטי ועדיין לא הסדרתם את כל הנדרש בהתאם להוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, הרי שזה הזמן לתקן.
