מפלגות העבירו ביניהן מידע על בוחרים; לא אבטחו מידע אישי

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

העברת פנקס הבוחרים למפלגות איננה הדרך הטובה ביותר להגן על פרטיות האזרחים ואבטחת המידע הרגיש הנכלל בפנקס הבוחרים. הרשות להגנת הפרטיות פועלת לאפשר למפלגות גישה למידע במתכונת שונה שתבטיח הגנה על המידע ותמנע חשש לזליגת פנקס הבוחרים. כך אומר דו"ח ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה- 23 שפרסמה הרשות.

עו"ד עלי קלדרון, מנהל מחלקת האכיפה ברשות, מונה בדו"ח שורה של ליקויים שמצאה הרשות במעשי המפלגות. חלקם עולים כדי הפרה ממשית של הוראות חוק הגנת הפרטיות –

  • ברמז לפרשת אלקטור ולמפלגות הליכוד, ישראל ביתנו וש"ס (שהדו"ח אינו נוקב בשמותיהן), נקבע בממצאים כי מספר מפלגות הפעילו באמצעות ספק חיצוני יישומים המאפשרים הזנה ואיסוף מידע על אודות אנשים, "כגון הוספת אינדיקציה באשר לתמיכתם או אי-תמיכתם במפלגה כזו או אחרת, ואף העבירו מידע זה בין המפלגות השונות לבין עצמן". אם פעולות כאלה מבוצעות ללא הסכמתם או ידיעתם של נושאי המידע, הן מנוגדות להוראות החוק, אומר הדו"ח. "משמעות הדבר היא כי מאגר הכולל פרטים אלו, ככל שהוזנו ללא הסכמת נושאי המידע, הוא מאגר ש[רשם מאגרי המידע] מוסמך לסרב ויסרב לרשום כדין על כן ניהולו יהיה בלתי חוקי, ויחול איסור על המפלגות ועל כל גורם אחר להחזיק בו או לנהל אותו", מאיים הדו"ח. עם זה, הוא נמנע מלקבוע אם אמנם לא התקבלה הסכמה כזו (law.co.il יופתע מאד לגלות שהתקבלה...).
  • במרבית המפלגות נמצאו ליקויים ביישום תקנות אבטחת המידע. בין הליקויים - אי-ביצוע של מבדקי חדירות וסקרי סיכונים תקופתיים, נהלי אבטחת מידע חלקיים או לא מספקים, ליקויים בניהול הרשאות הגישה למאגרים והעדרו של מנהלת אבטחת מידע. נמצא שהמפלגות אינן בוחנות היטב את סיכוני אבטחת המידע הכרוכים בהתקשרות עם ספקי מיקור החוץ, לא נבחנות חלופות ולא מוגדרים נהלי סיכונים מסודרים. חלק מספקי השירותים למפלגות אינם מיומנים דיים באבטחת המידע. מרבית המפלגות לא עמדו בדרישות החוק והתקנות בהתקשרות עם ספקים אלה. בין השאר לא בחנו את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ פיקחו עליהם.
  • חלק מהמידע האישי שמחזיקות המפלגות אינו מעודכן, ומכיל נתונים היסטוריים ולא רלוונטיים, כגון כתובות מגורים ישנות, מספרי טלפון לא מעודכנים ונתונים סותרים אחרים. הרשות אינה מפרטת מה מקורו של אותו מידע לא עדכני והאם הוא נובע מאי-ביעור המידע המתקבל מפנקס הבוחרים, בניגוד להוראת החוק החייבת את המפלגות לעשות כן.
  • המפלגות נוהגות להתקשר עם גורמים המציעים להם מידע אישי על אנשים מבלי לוודא שמקורות המידע הם חוקיים.
  • נמצא "חוסר מודעות משמעותי" בקרב המפלגות בכל הנוגע להדרכות כוח אדם. בתקופת הבחירות גויסו מאות עובדים חדשים ולא מיומנים. המפלגות מדריכות אותם... באמצעות הטלפון, בלא נהלים מסודרים וללא תיעוד..
  • המפלגות אינן מעניקות זכות עיון למי שמוחזק עליהם מידע אישי, בניגוד לדרישת החוק.

הרשות העבירה לכל אחת מהמפלגות את ממצאיה ואת הנחיותיה והמלצותיה לתיקון הליקויים שמצאה ביחס אליה במסגרת הפיקוח. הדו"ח אינו מפרט אם ננקטו פעולות משפטיות אחרות במקרה שאותרו הפרות בוטות של חוק הגנת הפרטיות. יחד עם זאת, הודעה לעתונות שפרסמה הרשות להגנת הפרטיות ביחד עם ממצאי הדו"ח אומרת כי "בנוסף להליך פיקוח רוחב זה, ביצעה הרשות פיקוח ממוקד במפלגות בהן היה חשש להפרות לכאורה של החוק ובכלל זה דליפות מידע ממאגרי מידע של המפלגות, ובהתאם לממצאיהם נשלחו למפלגות מכתבי הפרה לכאורה. עם תום ההליכים תגבש הרשות עמדתה באופן סופי באשר להפרות אלה."