מתפרסם מאז שנת 1999
לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות מפרסמת שלושה מסמכים שונים הכוללים הנחיות והדגשים
לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות במשרד המשפטים מפרסמת מסמך דגשים למפלגות לכנסת ה- 25 בנושא דרישות הגנת הפרטיות ומגבלות השימוש בפנקס הבוחרים ובמידע אישי אחר, וכן אחריות המפלגות על אפליקציות וספקים חיצוניים.
“בהליכי בחירות, ודאי בעידן הדיגיטלי, קיימים היבטים של פרטיות ואבטחת מידע, שיש לתת עליהם את הדעת, על מנת לצמצם את האפשרות לפגיעה בפרטיות בוחרים, לזליגת פנקס הבוחרים ולפגיעה בהליך עצמו.
“לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות מבקשת להזכיר למפלגות ולציבור הרחב את המגבלות החלות על שימוש במידע מפנקס הבוחרים ובסוגים אחרים של מידע אישי שאוספות המפלגות במסגרת הקמפיין, בהתאם להוראות חוק הבחירות לכנסת וחוק הגנת הפרטיות.
“במיוחד נבקש להדגיש את חובות אבטחת המידע, את המטרות המוגבלות לשמן מותר השימוש במידע, וכן את האחריות המשפטית המלאה של המפלגות על הפרות ועבירות המבוצעות בידי קבלנים וספקים הפועלים מטעם המפלגות או עבורן.
“בדומה לתהליכים אחרים, גם עולם ניהול הקמפיינים לקראת מערכת הבחירות הפך בשנים האחרונות לדיגיטלי, ומדי מערכת בחירות קמות חברות המתמחות ביצירת פלטפורמות לניהול הקשר עם הבוחרים.
“גם בישראל פועלות חברות אשר עוסקות במתן שירותים למפלגות וליחידים לקראת מערכות בחירות. אפליקציות אלו מציעות שירותים ושימושים שונים, ובין היתר: הנגשת פנקס הבוחרים למערכת ניהול ידע נוחה לשימוש; הוספת שדות מידע ממקורות שונים לשם “טיוב” המידע אודות בוחרים, כגון פרטי קשר, גילאים, שפות, מיגדר וכו’; הצלבת נתונים עם מאגרי מידע פתוחים ברשת, כגון רשתות חברתיות ומאגרים שנרכשים מחברות אחרות; אפשרות יצירת קשר עם הבוחר לצרכי תמיכה במפלגה, התנדבות, סיוע למצביעים להגיע לקלפיות ועוד; אפשרות יצוא נתונים לצרכי ניהול הקמפיין, ניהול הקשר עם המתפקדים והמתנדבים, משלוח דיוור ישיר, סקרים וכד’, או שימוש כאמור במסגרת אפליקציה; הצגת מידע סטטיסטי ומידע בזמן אמת ביום הבחירות, לצורך קבלת תובנות אסטרטגיות בנוגע לקבוצות בוחרים או לבוחרים ספציפיים”.
בהמשך המסמך נאמר כי “מוטלת על המפלגות האחריות המשפטית הישירה: להימנע מלעשות במידע מפנקס הבוחרים שימוש שאינו קשור להתמודדות בבחירות לכנסת וליצירת קשר עם הבוחר, לרבות הימנעות מהעברתו לצד שלישי לשימושים אחרים; להימנע מאיסוף מידע אישי ומכל שימוש בו, אשר חורגים מן המטרות להן הסכים האדם )נושא המידע) בעת שמסר את המידע על אודותיו; ניתן לאסוף שמות של צדדים שלישיים כתומכים פוטנציאליים במפלגה, לרבות באמצעות אפליקציה. אולם, כאשר המידע על התומך הפוטנציאלי מבוסס על מידע שהתקבל מהאדם עצמו (נושא המידע), נדרשת הסכמתו לכך שהמפלגה תאסוף מידע אודותיו, בין אם בדרך של הסכמה מפורשת כי המידע יועבר למפלגה, לאחר שהוסברו לו המטרות והשימושים שייעשו במידע, ובין אם בדרך אחרת ממנה ניתן להסיק בבירור על הסכמה משתמעת למסירת המידע, כגון במקרה בו אדם הביע באופן פומבי תמיכה מובהקת ומפורשת במפלגה מסוימת בפרופיל הפתוח שלו ברשת חברתית; ככל שמפלגה מעוניינת לבצע איסוף מידע אישי אודות תומכים פוטנציאליים באמצעות אפליקציה, עליה להבהיר לכלל המשתמשים באפליקציה כי חלה חובה לקבל את הסכמתו של כל תומך פוטנציאלי לאיסוף המידע אודותיו ולשימושים בו (אלא אם מדובר במידע שלא נמסר על ידי התומך עצמו, אלא נגזר למשל מניתוח של המידע שהתקבל מפנקס הבוחרים). על מנת לאפשר הליך הסכמה ברור, הן למשתמשי האפליקציה והן לנושאי המידע, ושלא להכשיל את משתמשי האפליקציה בעבירה על הוראות חוק הגנת הפרטיות, מוצע לשקול לשלב דרך טכנולוגית שתאפשר ביצוע בקשת וקבלת ההסכמה כנדרש; להימנע מלעשות שימוש במידע אשר הגיע מפנקס הבוחרים שאינו הפנקס העדכני אשר קיבלה המפלגה מהמפקחת על הבחירות לצורך בחירות אלה. אין לעשות שימוש בפנקסי עבר, פנקסים מהבחירות לרשויות המקומיות וכד’.”
עוד נכתב במסמך, באותיות מודגשות, כי “הרשות מבהירה כי האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן “בעלות המאגר” אשר עלולות לשאת באחריות פלילית או אזרחית, גם להפרות שיבוצעו באפליקציה או בידי ספק שירות חיצוני עבור המפלגות או מטעמן.
“לאור הרגישות הגבוהה של המידע מתוך פנקס הבוחרים והנזקים החמורים העלולים להיגרם מדליפתו לידי גורמים בלתי מורשים, על המפלגות לנקוט בכל האמצעים הנדרשים ואמצעי האבטחה המחמירים הנדרשים בהוראות החוק ותקנות אבטחת מידע, הן ביחס לעמידתן בדרישות החוק בעצמן והן ביחס לספקים אליהם יועבר המידע, בכל הנוגע לטיפול בפנקס”.
לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות מפרסמת הנחיות לחברה או לספק המעניקים שירותים טכנולוגיים למפלגות
לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות במשרד המשפטים מפרסמת הנחיות לחברה או לספק המעניקים שירותים טכנולוגיים למפלגות לשם הגנה על פרטיות נושאי המידע במהלך תקופת הבחירות.
“להלן יפורטו ההוראות החלות על מחזיק במאגר מידע הכולל מידע אישי על בוחרים: זכות הבחירה, כתובתם, מקום הצבעתם וכן מידע רגיש נוסף (מידע רפואי, דעות פוליטיות וכו’). לתשומת לב: ההוראות הינן חובות שבדין הנושאות סנקציות בגין הפרתן!!!
“מידע שמתקבל ממפלגה ינוהל בנפרד מכל מידע של לקוח/מפלגה אחרת. ההפרדה תתבצע ברמה הפיזית או לכל הפחות ברמה הלוגית במסגרת סגמנטציה הכוללת שימוש בחומת אש, כלי ניטור ובקרת גישה (לרבות מנגנון אימות דו-שלבי). יש לוודא שכל אמצעי טכנולוגי הרלבנטי לביצוע ההפרדה, מוגדר ומוקשח לפי הפרקטיקה המקובלת. יש לנהל רשימת מצאי של כל האמצעים הנ”ל תוך פירוט סוג וגירסה
“הגישה למידע של מפלגה צריכה להיות מוגבלת רק לצורך ביצוע השרות שלשמו נשכרו שירותכם.
“יש לקבוע מראש מי יהיו מורשי הגישה למערכות המידע ולהדריכם בהתאם להוראות אלו.
“יש לערוך יומן מורשי גישה הכולל – שם מלא, תפקיד, המערכות אליהן רשאי לגשת, תאריך מתן הרשאה, תאריך סיום הרשאה. כל שינוי בתפקידים והרשאות חייב להיות מתועד ביומן. יש לתדרך את כלל העובדים (כולל עובדים זמניים ומתנדבים) למודעות לאבטחת המידע והגנת הפרטיות, לקיומן של מגבלות גישה למערכות המידע וחובת דיווח מיידי למפלגה בכל חשש לחריגה מהנחיות אלו.
“יש להדגיש בפני כל העובדים את חובתם לשמור על סודיות המידע, ולהחתים אותם על אותם על התחייבות בעניין זה.
“לתשומת לב: הפרת חובת הסודיות, או שימוש במידע שלא למטרת ההתמודדות במערכת הבחירות עלולים להוות עבירות פליליות שדינן עד חמש שנות מאסר.
“בתום תקופת הבחירות או ההתקשרות יש לוודא כי כל המידע שהתקבל מהמפלגה הושמד מכל אמצעי המדיה (לרבות כוננים קשיחים, אמצעי גיבוי וכל מדיה מגנטית או אופטית אחרת) ולהעביר על כך תצהיר חתום על ידי מורשה חתימה למפלגה.
“אם אתם מעוניינים להעניק שירות טכנולוגי בשיתוף פעולה עם חברה נוספת אחרת, עליכם לבקש את אישור המפלגה לכך, בכתב ומראש. יש לציין את פרטי הקשר של קבלן המשנה, מהות תפקידו, פירוט מערכות המידע וההרשאות להן הוא זקוק, ותצהיר/אסמכתא מגורם בעל הרשאה מתאימה בדבר ביקורת על עמידה בתקנות הגנת הפרטיות (אבטחת מידע), לרבות מסמך בכתב המתעד את אופן ביצועה של הביקורת. ויודגש, גם קבלן המשנה כפוף להנחיות אלה.
“עליכם לדווח למפלגה על כל מקרה של חשש לאירוע אבטחת מידע (כגון: אירוע כופרה או אירוע דלף)”.
לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות מפרסמת הנחיות להדרכת עובדים/ות ומתנדבים/ות לשם הגנה על פרטיות נושאי המידע במהלך תקופת הבחירות
לקראת הבחירות לכנסת ה- 25, הרשות להגנת הפרטיות במשרד המשפטים מפרסמת הנחיות להדרכת עובדים/ות ומתנדבים/ות לשם הגנה על פרטיות נושאי המידע במהלך תקופת הבחירות.
בהנחיות נאמר בין היתר כי “יש לוודא שהגדרת התפקיד הולמת לממלא התפקיד וכי הוא מקבל גישה והרשאות רק למידע הנחוץ לו לצורך ביצוע תפקידו הספציפי.
“טרם מתן אישור הגישה למערכות המידע הרלבנטיות, יש להדריך את העובד בנושא עקרונות הגנת המידע והפרטיות, ובמסגרת זו לוודא מודעות לסיכונים ולתרחישים שבהם מידע עלול להיחשף לגורם בלתי מורשה. העברת מידע לגורם בלתי מורשה, או חשיפה של מידע שלא למטרת התמודדות המפלגה בבחירות, עלולה להוות עבירה פלילית שדינה עד חמש שנות מאסר.
“יש לוודא כי העובד מבין את האיסור הגורף על העברת סיסמאות או פרטי גישה למערכות המידע לאחר. עובד לא יוכל לאפשר גישה למערכות מידע. הפרת חובת סודיות זו עלולה להגיע כדי עבירות פליליות שדינן עד חמש שנות מאסר.
“חובה על עובד לדווח מיידית לממונה עליו על כל חריגה שלו או של אחרים מהוראות אלה”.
עוד קובעות ההנחיות כי “האחריות על מידע שהעובד נושא על גבי כל התקן או פורמט (מחשב נישא, דיסק און קי, טבלט, ניירת וכיוצ”ב) הינה של העובד. יש לוודא כי העובד השיב/השמיד כל מידע אישי שהועבר אליו בכל צורה – דיגיטלית או פיזית. על העובד לחתום על הצהרה בעניין”.