הרשות להגנת הפרטיות במשרד המשפטים העבירה למפלגות הליכוד וישראל ביתנו ולחברת אלקטור תוכנה בע"מ את קביעותיה הסופיות, אשר מסכמות את הליך האכיפה המנהלי, שביצעה בעקבות אירוע אבטחת מידע חמור, שאירע במהלך מערכת הבחירות לכנסת ה-23, במסגרתו דלף פנקס הבוחרים ומידע אישי רגיש נוסף שהוזן לאפליקציית אלקטור, לרשת האינטרנט.

בהודעות ההפרה שהועברו קבעה הרשות, כי חברת אלקטור וכן מפלגות הליכוד וישראל ביתנו אשר קיבלו שירותים טכנולוגיים מחברת אלקטור, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. ממצאי הליך האכיפה שקיימה הרשות חשפו הפרות של החוק, לרבות ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי רגיש.

אירוע אבטחת המידע החמור התרחש ביום 8 בפברואר 2020, במערכות המידע של חברת אלקטור תוכנה בע"מ, אשר סיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה. כחלק מאירוע זה התאפשרה גישה למערכות המידע של אלקטור ודלף לרשת קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 אודות כ-6.5 מיליון בעלי זכות הבחירה בישראל.

בהתאם לזאת, נחשף מידע אישי אודות בעלי זכות הבחירה, כמו גם כתובתם, מקום הצבעתם ועוד. בנוסף, נחשף מידע אישי רגיש אודות הבוחרים, אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה, וכלל בין היתר מספרי טלפון, כתובות דוא"ל, מידע אודות מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי, לעיתים תוך פירוט מגבלותיו הרפואיות ומידע על היותו של אדם "תומך" או "לא תומך" במפלגה.

בעקבות מידע שהגיע לרשות אודות אירוע אבטחת המידע, נקטה הרשות באופן מידי בפעולות לעצירת הדלף, ופתחה בבדיקת נסיבות האירוע במסגרת הליך פיקוח. כפועל יוצא מפעילותה, הופסקה דליפת המידע ונבחנו הסיבות להתרחשותה, לרבות התחקות אחר ליקויים באבטחת המידע והפרות הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), שלכאורה בוצעו. כבר בשלביו הראשונים של ההליך נחשפו ליקויי אבטחת מידע חמורים אותם הנחתה הרשות לתקן.

בדיקות נוספות שביצעה הרשות העלו כי גם לאחר תיקון הליקויים הראשוני שבוצע על ידי אלקטור, עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת. לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, לאחר שהרשות וידאה כי החברה טיפלה בליקויים, עלתה המערכת שוב לאוויר.

בהתאם לקביעת הרשות, מרגע גזירתו של מאגר מרשם האוכלוסין לשם יצירתם של עותקי פנקס הבוחרים, כל אחת מן המפלגות הופכת ל"בעל מאגר" בעותק הפנקס הנמסר לה, ובהתאם חלות עליה כל החובות הקבועות בחוק ובתקנות, לרבות במקרה בו המידע מוחזק או מעובד על ידי צד שלישי, לרבות ספקי מיקור חוץ.

בנוסף, לגבי עצם השימוש באפליקציית אלקטור, הרשות הדגישה, כפי שכבר הבהירה בהנחיות קודמות שפרסמה, כי חל איסור על שימוש במידע אישי, במקרים בהם לא ניתנה לגביו הסכמה תקפה ומספקת של האדם עליו המידע נאסף, או מבלי שהוסברו לו מטרות השימושים בו ולמי יימסר. איסור זה, כפי שהבהירה הרשות, חל גם על איסוף ושימוש במידע ביישומים או במאגרי המידע של המפלגות.

ממפלגת ישראל ביתנו נמסר: "מפלגת ישראל ביתנו רכשה שירותים טכניים מוגבלים מחברת אלקטור ולא עשתה שימוש באפליקציה הייחודית שפותחה ע״י החברה. דליפת המידע לא הייתה במפלגת ישראל ביתנו ולא בנתוניה. מידע אישי רגיש לא נאסף ע״י ישראל ביתנו ולא דלף ממנה. ישראל ביתנו סיימה לקבל שירותים מאלקטור ובעקבות ההנחיות המחדשות של הרשות להגנת הפרטיות, ננקטו צעדים מחמירים להגנת הפרטיות.