חברת אלקטור והמפלגות הליכוד וישראל ביתנו שקיבלו ממנה שירותים טכנולוגיים, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. כך קבעה הרשות להגנת הפרטיות במשרד המשפטים אשר העבירה היום למפלגות ולחברה את קביעותיה הסופיות בעקבות דליפת פנקס הבוחרים ומידע אישי רגיש נוסף שהוזן לאפליקציית אלקטור, לרשת האינטרנט (קביעת ההפרה שהועברה לישראל ביתנו | קביעת ההפרה שהועברה לליכוד).
הדליפה התרחשה ב- 8 בפברואר 2020, במערכות המידע של חברת אלקטור תוכנה בע"מ, שסיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה. כחלק מארוע האבטחה התאפשרה גישה למערכות המידע של אלקטור ודלף לרשת קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 על אודות כ-6.5 מיליון בעלי זכות הבחירה בישראל. בפנקס נחשף מידע אישי על אודות בעלי זכות הבחירה, שכלל את כתובתם, מקום הצבעתם ועוד. בנוסף, נחשף מידע אישי רגיש על אודות הבוחרים, שהזינו פעילי המפלגות כחלק מהשימוש באפליקציה, וכלל בין היתר מספרי טלפון, כתובות דוא"ל, מידע על מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי, לעיתים תוך פירוט מגבלותיו הרפואיות ומידע על היותו של אדם "תומך" או "לא תומך" במפלגה.
המפלגות אחראיות
בהודעות ההפרה ששלחה הרשות היא קבעה כי יש לראות במפלגות "בעל מאגר", ביחס לנגזרת פנקס הבוחרים שנמסרה לשימושן, ויש לראות באלקטור כ"מחזיקה" בפנקס הבוחרים מטעם המפלגות. רשות דחתה את טענות המפלגות, כי החוק והתקנות אינם חלים על פנקס הבוחרים ועל השימוש בו. על כן קבעה, כי בהתאם לדין, חלה על המפלגות האחריות כבעלות המאגר להתנהלותה של אלקטור כמחזיקה בפנקס הבוחרים, שקיבלה מהמפלגות ולליקויי אבטחת המידע החמורים שהתגלו באפליקציה ששימשה לאחסון ולעיבוד המידע. עוד קבעה הרשות, כי גם אם לא ניתן להבטיח כי העולם הרשתי יהיה חסין לחלוטין מפני אירועים של דליפת מידע או פריצה בלתי מורשית למערכות, הרי שלפי החוק בעל מאגר ומחזיק מטעמו נדרשים לנקוט באמצעים מקובלים להגנה מקסימלית על המידע, וכפי שעולה מממצאי ההליך, המפלגות ואלקטור לא נקטו באמצעים מספיקים לאבטחת המידע.
דלף המידע אפשר גישה למידע שבבסיס הנתונים של אלקטור, ששימש את שתי המפלגות יחד וכלל את שני מאגרי המידע של שתי המפלגות (ובכלל זה את שתי הגרסאות של פנקס הבוחרים שהעבירה כל אחת מהן).
הרשות הדגישה כי חל איסור על שימוש במידע אישי, במקרים בהם לא ניתנה לגביו הסכמה תקפה ומספקת של האדם עליו המידע נאסף, או מבלי שהוסברו לו מטרות השימושים בו ולמי יימסר. איסור זה, כפי שהבהירה הרשות, חל גם על איסוף ושימוש במידע ביישומים או במאגרי המידע של המפלגות.
סיסמאות חלשות ללא בקרה
בין הליקויים שמצאה הרשות בקביעותיה - אי קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו, העדר מסמך עדכני בדבר מבנה המאגר, מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש, אי מניעת אפשרות גישה בהרשאה ממספר מזדהים באותם פרטי זיהוי בו זמנית, מתן הרשאות גישה למי שאינו מורשה, קביעת סיסמאות חלשות ללא בקרה, העדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע, אי התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית, אי ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד.
בנוסף, קבעה הרשות כי אלקטור גם החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שנדרש ביעורם בהתאם לדין. כמו כן, נקבע שהמפלגות לא נקטו באמצעי פיקוח ובקרה מספקים בנסיבות העניין לבחינת עמידתה של אלקטור בהוראות החוק והתקנות, לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן עם המחזיקה, לא קבעו בהסכמים עימה את אופן יישום החובות הרלוונטיות מתחום אבטחת מידע ואף לא נקטו באמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם.