בחירות 2026 הן מבחן לסמכויות החדשות של הרשות להגנת הפרטיות
הנחיות הרשות להגנת הפרטיות שהתפרסמו בשבוע שעבר לקראת הבחירות הקרובות לכנסת מבהירות, כי לקחי "פרשת אלקטור" הופנמו, והפעם הרגולטור מגיע עם שיניים - ענישה פלילית וקנסות גבוהים - ואפס סובלנות לזלזול במידע של אזרחי ישראל.
מערכת הבחירות הקרובה תהיה הראשונה שתתנהל תחת תיקון 13 לחוק הגנת הפרטיות, הרפורמה המשמעותית שנכנסה לתוקף אשתקד. המשמעות היא שהמידע הרגיש על הבוחרים, פנקסי הבוחר הדיגיטליים ואפליקציות ניהול המצביעים של המפלגות - הופכים לפצצת זמן משפטית. מי שיחרוג מההנחיות, יתרשל באבטחת המידע או ישתמש במידע למטרות בלתי מורשות, יתמודד עם ענישה פלילית ועיצומים כספיים משמעותיים.
בשנת 2020 הענישה הייתה מינורית
כדי להבין את המשמעות, נזכיר שבשנת 2020 נחשפה פרצה באפליקציית "אלקטור", ששימשה את הליכוד ואת ישראל ביתנו לניהול קמפיין הבחירות. במהלך הפרצה דלף פנקס הבוחרים המלא: 6.5 מיליון אזרחים, על שמותיהם המלאים, מספרי תעודות הזהות, כתובות המגורים ומספרי הטלפון, וגם השיוך הפוליטי שהוזן על-ידי פעילי המפלגות.
הרשות להגנת הפרטיות חקרה קרוב לשנה וקבעה, כי שתי המפלגות והחברה המפתחת את האפליקציה הפרו בצורה נרחבת את הוראות החוק והתקנות. אולם, הסנקציות המעשיות באותם ימים היו מצומצמות והקנסות המירביים עמדו על עשרות אלפי שקלים בלבד, סכום שולי עבור מפלגה גדולה או עבור חברת טכנולוגיה רצינית. כך שאמנם דלף המידע היה עצום, ההפרות היו דרמטיות - אבל מחיר האכיפה היה קרוב לשולי.
זה בדיוק מה שהשתנה. תיקון 13, שנכנס לתוקף באוגוסט 2025, הופך את המשוואה. הרשות להגנת הפרטיות קיבלה לראשונה סמכויות אכיפה דומות לאלה של רגולטורים משמעותיים: יכולת לחקור, להוציא צווים ובעיקר להטיל עיצומים כספיים בסדרי גודל חדשים ואפילו לפתוח בהליכים פליליים. גובה העיצום נגזר מטיב ההפרה, ממספר נושאי המידע במאגר, מהיותה של ההפרה מתמשכת או חוזרת ומגורמים נוספים. בהפרות חמורות הסכומים יכולים להגיע למאות אלפי שקלים, ובנסיבות מסוימות אף למיליונים. כאשר מדובר במאגר שמשתרע על מיליוני אזרחים - כמו פנקס הבוחרים - פוטנציאל החשיפה הוא חריג.
יתרה מזאת: שימוש במידע מפנקס הבוחרים שלא לצורך התמודדות בבחירות וקשר עם הבוחר, מהווה עבירה לפי חוק הבחירות שדינה שנתיים מאסר, וגם עבירה של פגיעה בפרטיות שדינה חמש שנות מאסר. בנוסף, לפי חוק הגנת הפרטיות, הפרת חובת סודיות בידי מי שקיבל גישה למידע במסגרת תפקידו, דינו חמש שנות מאסר. חוק הפרטיות, שבמשך עשרות שנים אכיפתו הייתה מוגבלת, הפך לכלי משפטי ממשי.
המפלגות מחויבות בשורה של פעולות מקדימות
בפועל, מצופה מהמפלגות לבצע סדרה של פעולות מקדימות הכוללות מיפוי מאגרי המידע שלהן, תוך שהרשות קובעת, כי כל מאגר המבוסס על מידע מתוך פנקס הבוחרים ייחשב לרמת אבטחה בינונית לכל הפחות. על המפלגות לבחון את הצורך במינוי ממונה הגנת פרטיות (DPO) שיפקח על מאגרי המידע שלהן. עליהן להגביל את הגישה למידע אך ורק למי שזקוק לו לתפקידו, באמצעות אימות דו-שלבי ותיעוד מלא של כל פעולה.
חובה נוספת היא להדריך עובדים ומתנדבים על חובות הסודיות ועל הסיכון הפלילי בשימוש לא מורשה. עליהן גם לבחון את הסיכונים הכרוכים בהתקשרות עם ספקי תוכנה ודאטה, להגדיר בהסכם איזה מידע מועבר, לאיזה צורך ולנקוט באמצעי פיקוח ובקרה הולמים. בתום הבחירות, המפלגות חייבות לבער את פנקס הבוחרים מכל המערכות, כולל אצל הספקים, ולקבל אישור כתוב על כך.
המהלך המהותי ביותר בהנחיה הוא הרחבת מעגל האחריות. הרשות הבהירה שגם ספקי הטכנולוגיה של המפלגות נמצאים בחזית. כל חברת תוכנה ושירותים טכנולוגיים, חברה שמפעילה אפליקציית מצביעים או ספק שירותי דיוור שמעבד מידע עבור מפלגה – כולם ייחשבו ל"מחזיק" של המידע לפי החוק וישאו באחריות עצמאית. כעת לא ניתן להסתתר מאחורי המפלגה: הספק נכנס לאותה רשת אכיפה, עם אותם עיצומים ואותם הליכים פליליים.
ההנחיה חלה גם על תוצרי AI
ההנחיה מתייחסת בפעם הראשונה גם לבינה מלאכותית. כל מערכת AI שמנתחת מידע על בוחרים - מסיקה מסקנות על דעותיהם הפוליטיות, מעריכה את סיכוייהם להצביע או יוצרת פרופילים ממוקדים - כפופה לחוק הגנת הפרטיות במלואו, כולל ביחס למידע שנוצר בדרך של היסק. כלומר: גם אם הבוחר לא מסר מידע מסוים, אבל מערכת ה-AI הסיקה אותו עליו - המידע הזה מוגן.
מה שמייחד את ההנחיה אינו רק התוכן, אלא גם ובעיקר העיתוי. הרשות בחרה להוציא אותה לפני שמערכת הבחירות תיכנס לשיא הקמפיין - לא כדי לחנך, אלא כדי לסמן את כוונותיה ולא להותיר את הנושא ללא טיפול כמו במערכות בחירות קודמות. יש להניח, כי מפלגה או ספק שייכשלו בעמידה בדרישות, יהיו חשופים למלוא מחיר האכיפה. הקנס לא יהיה סמלי, הליך פלילי הוא תרחיש ממשי, ושמו של המפר יהיה פומבי.
עבור הציבור הרחב, המסר הוא שהמידע על אזרחי ישראל אינו עוד נכס שאפשר לנצל באופן פרוע, ואילו מחיר ההפרה יהיה גבוה. נשאר רק לראות אם הרגולטור באמת יפעיל את הכלים שניתנו לו, ואם השוק יבין שהמשחק השתנה. הבחירות הקרובות יהיו המבחן הראשון.
עו"ד ליאור אתגר, שותף, ראש תחום הגנת המידע, סייבר וטכנולוגיות מידע במשרד EBN - ארדינסט, בן-נתן, טולידאנו (צילום: אייל טואג)
