קנס להסתדרות המורים: ביצעה שימוש אסור במידע אישי של מורים

הרשות להגנת הפרטיות במשרד המשפטים קבעה כי הסתדרות המורים, לצד גורמים נוספים המזוהים עם סיעת ארגון מורי ישראל (אמ"י) בארגון, ביצעה הפרות של חוק הגנת הפרטיות. בגין הפרות אלה הוחלט להטיל עליה קנס מנהלי בסך של 25 אלף שקלים.

הליך הפיקוח נפתח בעקבות עשרות תלונות שהתקבלו ברשות עקב הודעות SMS שנשלחו לחברי הסתדרות המורים. המסרונים נשלחו ממספר אנונימי, מבלי שהסתדרות המורים יידעה אותם על שימוש במאגר המידע שלה, ובו המספרים שלהם, ובלי מתן אפשרות לנמענים להסיר את עצמם. ההודעות כללו הפניה לעמוד פייסבוק לא מזוהה, שעסק בתעמולת בחירות.

בהודעה שנשלחה לעו"ד דן חי, פרקליט הסתדרות המורים, וליפה בן דוד, מזכ"לית הארגון, נכתב כי מחלקת האכיפה ברשות להגנת הפרטיות "קיימה הליך פיקוח מתוקף הסמכות המוקנית לרשם מאגרי מידע ולמפקחים לפי סעיף בחוק הגנת הפרטיות, לבירור הפרות לכאורה של החוק – על ידי הסתדרות המורים לישראל וגורמים המקושרים לסיעת ארגון מורי ישראל. לאור המידע שנאסף בהליך הפיקוח, נשלחו בינואר השנה הודעה על הפרת החוק ודרישות לתיקון ליקויים". במרץ העבירה ההסתדרות מענה ובמאי נערך לה שימוע בנושא במשרדי הרשות.

הסתדרות המורים טענה כי מאגר המידע שלה לא הועבר לגוף חיצוני ולא נעשה בו שימוש בניגוד למטרה; לא התקיימה הפרה של הוראות החוק בנוגע לדיוור ישיר; וכן כי כשלי אבטחת המידע אינם מהותיים כפי שצוין בהודעה על ההפרה, וממילא הסתדרות המורים פועלת לתקנם.

הרשות ענתה לטענות ההסתדרות וציינה שכן נעשה שימוש במאגר מידע בניגוד למטרה. "אין לקבל את טענות ההסתדרות כי הודעות ה-SMS שנשלחו לכלל מאגר חברי הסתדרות המורים הולמות את המטרה הרשומה בחוק. המסרונים נשלחו בצורה אנונימית: הנמענים לא יכולים היו לדעת מיהם שולחי ההודעות, מה כוונתם ומה מטרתם; תוכן ההודעות לא היה 'אינהרנטי למהות הגוף השולח ופעילותו'; ואף בעמוד הפייסבוק שצורף להם לא ניתנו פרטים מזהים", ציינה הרשות.

עוד נטען בהודעתה כי "לא נמצאו ממצאים המעידים על שליחת המאגר מטעם ההסתדרות לנציגים מסיעות אחרות בצורה ישירה. לא ניתן לנתק את דרך העברת המידע מהאופן ומהמועד שבהם הסיעות התכוונו להשתמש בו, ודי בעובדות אלה כדי להעיד על השימוש במידע בניגוד למטרה".

אחת מטענות הסתדרות המורים הייתה שמשלוחי הדיוור הישיר נשלחו לכלל המאגר, ללא פילוח מסוים, ושהדבר דומה לחברה ששולחת דיוור ללקוחותיה. הרשות לא קיבלה טענה זו, בקבעה כי "הפרטים שהעבירו חברי הסתדרות המורים הועברו להסתדרות במישרין, ולא לסיעת אמ"י, והמורים שקיבלו את ההודעות אינם בהכרח 'לקוחות פעילים' של סיעת אמ"י".

ליקויי אבטחת המידע בהסתדרות המורים

בהודעת הרשות נמסר שהיא מצאה בהסתדרות המורים, במסגרת הליך הפיקוח, חוסר בנהלי אבטחת מידע ובגישה למאגרים, נהלי הרשאות, נהלי שליחה למקור מידע חיצוני ועוד. "הרשות דורשת לקבל דו"ח אודות ממצאי סקר הסיכונים במערכות המחשב של הסתדרות המורים. פרקליט הארגון מסר בשימוע כי הסקר מתנהל בימים אלה, ובשלב ראשון תועבר תכנית עבודה לטיפול בליקויי אבטחת המידע", נכתב.

לסיכום קבעה הרשות להגנת הפרטיות כי "הסתדרות המורים וסיעת אמ"י הפרו את הוראות החוק וכן את הוראות התקנות: נמצאו שימושים במאגרי מידע בניגוד להוראות החוק; הפרות לפי פרק הדיוור הישיר בחוק; וליקויים באבטחת המידע במערכות המידע של הארגון". על פי חוק, הרשות קבעה שהסתדרות המורים הפרה הוראות בחוק – דבר המהווה עבירה מנהלית לגביה קבוע קנס מנהלי על תאגיד בסך של 25 אלף שקלים, וכך היא פסקה.