ש״ס הפרה את הוראות חוק הגנת הפרטיות, התשמ״א-1981 ואת תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017. כך קבעה הרשות להגנת הפרטיות ב-15.4.2026 לאחר הליך פיקוח שנוהל בעקבות גילוי חולשות קריטיות באבטחת המידע של מאגרי המידע של המפלגה.

בתיאור ההפרה ציינה הרשות כי המפלגה לא החזיקה במסמך הגדרות מאגר, לא ביצעה מבדקי חדירות וסקרי סיכונים, לא עמדה בחובות לניהול מקובל ומעודכן של מערכות המאגר, סבלה מכשלי אבטחה חמורים במנגנוני זיהוי ואימות, השתמשה בשיטות הצפנה לא מקובלות בעת העברת מידע, ולא קיימה שמירת לוגים ובקרת גישה כנדרש.

לפי פרטי ההחלטה, ההפרות יוחסו לסעיף 17 לחוק הגנת הפרטיות, הקובע את חובת אבטחת המידע במאגרי מידע, וכן לשורה של הוראות בתקנות אבטחת מידע: תקנה 2, העוסקת במסמך הגדרות מאגר; תקנה 5(ג) ו-(ד), שעניינה מבדקי חדירות וסקרי סיכונים; תקנה 9(א) ו-(ב1), הנוגעת לניהול תקין ומעודכן של מערכות המאגר; תקנה 10(א), שעניינה מנגנוני זיהוי ואימות; תקנה 13(א) ו-(ג), העוסקת באמצעי הגנה על מידע, ובכלל זה בהעברת מידע; תקנה 14(ב), שעניינה תיעוד ושמירת לוגים; ותקנה 17(א) ו-(ב), הנוגעת לבקרת גישה והרשאות.

לפי הרשות, הסנקציה שהוטלה היא קביעת הפרה ותו לא. מקור: פירוט הליכי אכיפה מינהלית באתר הרשות להגנת הפרטיות.

law.co.il מציין שלפי התוספת השלישית לחוק הגנת הפרטיות, שהוספה לו בתיקון 13, אפשר להטיל על שורת ההפרות הארוכה שמנתה הרשות עיצומים כספיים בסכום העולה על 1.5 מיליון ₪, בהנחה שמאגרי המידע של המפלגה כוללים "מידע בעל רגישות מיוחדת" (מידע על דעות פוליטיות של תומכי המפלגה, לדוגמה). למרות זאת, הדיווח באתר הרשות מציין רק - כפי שהוא עושה ביחס למרבית המפרים האחרים - "סנקציה שהוטלה: קביעת הפרה".