Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Уважаемая комиссия

Глава 1

Статья 1. Определения

1.1. Определение "держатель"
Согласно пояснительной записке к законопроекту, определение "держатель" было расширено, так что также тот, кто заключил договор с владельцем контроля в базе данных для предоставления услуги владельцу контроля или для предоставления услуги от имени владельца контроля и получил от него разрешение в рамках договора на использование информации из базы данных для предоставления услуги, будет считаться держателем.
Следует уточнить, что значение этой статьи для крупных организаций заключается в том, что также различные поставщики, использование которых может быть крайне ограниченным, будут определяться как "держатели" и на них будут распространяться все обязательства держателя, установленные законом. Отсюда следует, что владельцы контроля будут вынуждены инвестировать значительные ресурсы для обеспечения соблюдения и контроля за выполнением поставщиками различных требований, предъявляемых к держателям баз данных согласно закону, несмотря на то, что на практике нет необходимости, чтобы все они были обязаны соблюдать один и тот же уровень осторожности или ответственности. Например, при взаимодействии с небольшими поставщиками, которые выполняют текущие действия, такие как доставки, установки, поставщики социальных услуг, которым необходимо передать частичные записи из базы данных для предоставления услуги (например, только имя и телефон), возникает значительная сложность в применении всех требований закона.
В связи с этим, кажется целесообразным, чтобы определение не включало обязательное условие предоставления услуг владельцу контроля в базе данных и учитывало объем использования информации, характер взаимодействия, чувствительность информации, а также вопрос о том, использовалась ли информация на практике. Поэтому желательно найти способ, чтобы лица, использующие информацию, классифицировались по частоте, объему, типу и уровню использования, так что обязательства держателя будут применяться к ним только тогда, когда будет иметься обоснование для этого.

1.2. Определение "информация"
Согласно законопроекту, объем определения "информация" был расширен, так что он будет относиться ко всем данным, касающимся идентифицированного лица или лица, которое может быть идентифицировано, прямо или косвенно, разумными средствами, включая биометрический идентификатор, номер идентификации или любые другие уникальные идентифицирующие данные. Ниже приведены несколько замечаний относительно определения:
1.2.1. Необходимо уточнение относительно "разумных средств", упомянутых в определении для диагностики данных, которые могут быть идентифицированы, или, по крайней мере, уточнить, какие параметры необходимы для того, чтобы данные стали идентифицируемыми. Также требуется уточнение относительно форм обработки, включая анонимизацию или псевдонимизацию информации и будет ли информация, обработанная таким образом, подпадать под определение.
1.2.2. Кроме того, мы хотели бы добавить, что "разумные средства" будут только те, которые находятся в распоряжении владельца контроля в базе данных или держателя, так что они не будут относиться к тем, у кого есть информация, которая может быть идентифицирована средствами, которые могут считаться разумными в определенных секторах, но фактически не находятся в их распоряжении.
1.2.3. В законопроект были добавлены статьи 10б и 10г, касающиеся запретов, установленных для владельца контроля в базе данных или держателя. Несмотря на новое и очень широкое определение термина "информация", эти статьи применяют действие запрета также к "знанию о частных делах человека". С расширением определения "информация" трудно представить пример знания о частных делах человека, которое не является информацией.
1.2.4. Кажется, что нет обоснования для формулировки закона, которая включает как упоминание информации, так и упоминание знания о частных делах человека, которые не являются информацией. Неясно, почему законопроект запрещает использование знаний, которые не являются "информацией" и не включены в новое и широкое определение "информация". Безусловно, неясно, почему использование знания, которое не подпадает под определение информации, повлечет за собой наложение самого высокого денежного штрафа, тем более, когда речь идет о нечетком термине, подлежащем различным интерпретациям. Поэтому наша позиция заключается в том, что следует удалить из законопроекта все упоминания термина "знание о частных делах человека" и оставить упоминание законопроекта о термине "информация" в соответствии с его новым и широким определением.

1.3. Определение "информация с особой чувствительностью"
Законопроект предлагает в статье 2 (4) к пояснению отменить термин "чувствительная информация" и заменить его термином "информация с особой чувствительностью", который включает не закрытый список типов информации. Наряду с этим, при установлении размера штрафов, которые будут наложены на нарушителей, законопроект различает базы данных, содержащие только информацию, и базы данных, содержащие информацию с особой чувствительностью. Также это различие является одним из условий для наложения обязательства регистрации базы данных. Мы считаем, что новое определение термина "информация с особой чувствительностью" слишком широкое и приводит к неопределенности. В связи с последствиями для размера штрафов и обязательства регистрации базы данных, кажется целесообразным ограничить определение определенными типами информации, которые следует считать чувствительными, и удалить несколько подпунктов, которые, по нашему мнению, являются обобщающими, широкими и подлежащими широкой интерпретации. Например, мы считаем, что следует удалить подпункт (1), который включает информацию о "личной жизни человека, включая его поведение в частной собственности", и подпункт (12), который включает "дополнительную информацию, установленную министром юстиции, указом, с одобрением Комитета по Конституции, Закону и Правосудию Кнессета". Также мы предлагаем добавить уточнение, что определение относится только к информации в каждой из категорий, если она относится к человеку, который может быть идентифицирован разумными средствами, находящимися в распоряжении владельца контроля в базе данных или держателя. Более того, мы предлагаем добавить исключения для каждой из категорий, так что информация, которая хранится в соответствии с юридическим требованием в рамках трудовых отношений, не подпадет под это, поскольку если не будет добавлено такое исключение, любое предприятие в Израиле будет хранить информацию с особой чувствительностью как минимум относительно своих сотрудников.

1.4. Определение "биометрический идентификатор"
Пояснительная записка предлагает установить новый термин - "биометрический идентификатор" - который будет включать любые биометрические данные, используемые для идентификации человека или для подтверждения его личности, или биометрическое средство, из которого можно извлечь такие данные. Это широкое определение может также включать результаты обработки сырых биометрических данных или хэш (hash) биометрических данных. Поэтому, кажется целесообразным исправить статью так, чтобы она относилась только к биометрическим данным, которые фактически используются владельцем контроля в базе данных или держателем для идентификации или подтверждения личности человека, или из которых можно извлечь такие данные с использованием разумных средств.

1.5. Определение "использование"
Новый термин "использование" в статье 1(2) законопроекта не включает сбор информации, наряду с добавлением термина "обработка" в статье 2(6) законопроекта, который включает в себя сбор информации. Различия, создаваемые законопроектом между определениями "использование" и "обработка", приводят к значительной путанице и неопределенности, включая определение того, кто является "держателем". Кроме того, это приводит к несоответствию между законом и правилами защиты конфиденциальности (безопасности информации), 5777-2017 ("Правила безопасности информации"). Этот вопрос также соответствует положениям GDPR, который включает под термином "обработка" термины использование и обработка, а также весь набор действий, относящихся к ним.
Кроме того, мы предлагаем исключить из термина "использование" временное и случайное использование данных, чтобы различить и ограничить применение к организациям, которые временно и случайно используют базу данных, так что они не будут подчиняться требованиям закона только из-за взаимодействия с владельцем контроля в базе данных или для него. Исключение предлагается на основании того, что существуют использования информации, которые происходят в рамках автоматических технологических процессов, целью которых является только обеспечение передачи информации между сторонами в сети связи, через промежуточное лицо, или выполнение технологического процесса, в рамках которого информация не является читаемой. Как уже упоминалось, по нашему мнению, нет никакого обоснования для такой всеобъемлющей формулировки.

Глава 2

Статья 2. Запрет на управление или хранение базы данных, содержащей информацию, созданную или собранную незаконно

В рамках статьи 8а основного закона была добавлена статья, касающаяся законного управления базой данных, устанавливающая нарушение в случае, если человек управляет или хранит базу данных, информация, содержащаяся в которой, была создана, получена, накоплена или собрана в нарушение закона или в нарушение положений любого закона, регулирующего обработку информации. Формулировка статьи неясна, и из нее неясно, что именно подразумевается под сбором информации в нарушение закона. Укажем, что существует большая важность для разъяснения формулировки статьи, учитывая финансовые штрафы и наказания, установленные в законопроекте. Чтобы избежать интерпретационных вопросов, мы считаем, что будет правильно исправить статью 1 основного закона и установить, что нарушение конфиденциальности человека будет осуществляться только в соответствии с положениями Закона о защите конфиденциальности.

Статья 3. Установление дополнительных законных оснований для обработки информации

Законопроект стремится адаптировать израильское законодательство к законодательству, действующему в мире в целом и в Европе в частности. Однако это частичное и неполное принятие, так что, хотя, например, были ужесточены меры принуждения и наказания, законные основания для обработки информации не были расширены, как это предусмотрено, например, в GDPR.
3.1. Действующее законодательство в Израиле по вопросу законных оснований для обработки личной информации является чрезмерно ограниченным и страдает от неопределенности. Параллельное законодательство в мире в последние годы устанавливает большее количество законных оснований для обработки личной информации, которые учитывают потребности и законные интересы организаций, управляющих базами данных и/или обрабатывающих личную информацию.
3.2. Так, среди прочего, европейский GDPR устанавливает несколько законных оснований для обработки личной информации, среди которых: согласие; необходимость обработки информации для выполнения контракта с субъектом информации или в рамках шагов к заключению контракта с субъектом информации; соблюдение юридического обязательства, которое возложено на организацию, обрабатывающую информацию; защита жизненно важных интересов субъекта информации или другого лица; обработка необходима в рамках общественного интереса или полномочия, предоставленного организации, обрабатывающей информацию, по закону; и законный интерес организации, обрабатывающей информацию, или третьей стороны, при этом они не должны уступать жизненно важным интересам и правам субъектов информации.
3.3. Также Калифорнийский CCPA устанавливает, что личную информацию можно обрабатывать законно для бизнес-целей (Business Purpose), что является необходимостью для обработчика информации или поставщика услуг от его имени использовать личную информацию разумно для операционных целей бизнеса, включая мониторинг взаимодействия между субъектом информации и бизнесом (например, измерение эффективности рекламы), для целей безопасности информации компании, обнаружения и исправления ошибок, для внутренних целей НИОКР компании и т.д.
3.4. В ситуации, когда единственным законным основанием в действующем законодательстве является согласие, наряду с расширением принципа привязки к цели, как это предлагает законопроект, возникает абсурд, при котором организация, обрабатывающая информацию, не имеет права использовать информацию даже для таких целей, как обеспечение безопасности услуг и систем бизнеса или для защиты юридических претензий компании. Эта ситуация не соответствует социальной и экономической реальности в Израиле, прогрессу технологий, а также не соответствует современным законам, действующим в мире по этому вопросу.
3.5. В связи с вышеизложенным, наша позиция заключается в том, что в этом законопроекте следует расширить законные основания, прямо указанные в законе, так чтобы они включали дополнительные основания, как это принято в мире, и в частности основания, касающиеся законных интересов обработчика информации и его представителей.
3.6. Кроме того, предлагаемая поправка в статье 10б(а) основного закона ограничивает использование информации исключительно для цели, для которой она была передана, и не принимает во внимание тесты на "похожие цели", как это установлено в GDPR. Этот вопрос, а также продолжение опоры на единственное законное основание для сбора информации, создают для владельцев информации или держателей значительные трудности в предсказании всех точных использований, для которых была собрана информация, и создают сильную зависимость от конкретного и широкого согласия субъектов информации. Поэтому предлагается принять в статье 10б(а) законное регулирование, аналогичное тому, что содержится в GDPR, так что, если использование, осуществляемое владельцем контроля или держателем информации, будет выходить за рамки согласия субъекта информации, оно все равно будет разрешено, если оно соответствует первоначальной цели, для которой была собрана информация. Оценка соответствия целей будет проводиться с учетом определенных критериев, таких как оценка связи между первоначальными и новыми целями, оценка связи между сбором и обстоятельствами и т.д.

Глава 4

Статья 4. Отмена роли управляющего базой данных

Израильский закон, в отличие от более современного и параллельного законодательства в мире, устанавливает роль управляющего базой данных и возлагает на управляющего базой различные обязанности, личную ответственность и личные санкции. Закон также в настоящее время устанавливает роль "ответственного за безопасность информации", как центральной роли в организации, которая охватывает все процессы обработки информации и ее безопасности в организации.
4.1. По нашему мнению, следует отменить роль управляющего базой данных в законе и ограничиться только ролью ответственного за безопасность информации, поскольку эта роль не соответствует организационной структуре и не способствует интересу, для которого она предназначена, а именно - продвижению защиты конфиденциальности и безопасности информации в обществе.
4.2. Кроме того, из нашего опыта мы отмечаем, что существует значительная сложность, возлагаемая на компании и организации в отношении назначения управляющих базами данных в компании. В отличие от роли ответственного за безопасность информации, который является лицом с конкретными знаниями и опытом, связанными с выполнением своих обязанностей по закону, роль управляющего базой данных не требует специальных навыков в этой области, и иногда лицо, назначенное на выполнение этой роли, не обладает необходимыми технологическими или юридическими знаниями, которые имеют отношение к защите конфиденциальности и безопасности информации. Многие сотрудники и управляющие выражают резкое несогласие и даже категорический отказ принимать на себя роль управляющего базой данных, в том числе из-за личной ответственности, возложенной законом на управляющих базами данных, и отсутствия четких определений относительно их роли. Это создает значительное и несоразмерное бремя для организаций.

Статья 5. Изменение роли "ответственного за безопасность информации" на "ответственный за защиту информации"

В связи с изменением названия регистратора на "ответственный", и чтобы избежать путаницы между ролями регистратора и названия ответственного, как это сейчас, пояснительная записка предлагает изменить название роли "ответственный за безопасность информации" на "ответственный за защиту информации". Вопрос разъяснения совершенно понятен, однако неясно из пояснительной записки, почему изменение также включает замену роли между "безопасностью информации" и "защитой информации", и более того, трудно сказать, каково влияние данного изменения, поскольку законопроект не включает расширение полномочий или обязанностей ответственного за безопасность информации. Поэтому мы опасаемся, что изменение названия приведет к тому, что Управление по защите конфиденциальности наложит новые обязанности и полномочия, которые в настоящее время не установлены в законе, только на основании языкового расширения, сделанного в законопроекте. Кажется целесообразным изменить название ответственного так, чтобы он назывался "ответственный за безопасность информации", это изменение, по нашему мнению, достаточно для поддержания различия, которое законопроект пытался установить.

Глава 6

Статья 6. Полномочия надзора

Законопроект расширяет полномочия, предоставленные инспектору и следователю, так что иногда это кажется несбалансированным и непропорциональным по отношению к подозрениям, которые могут быть расследованы ими, для которых не существует порога разумного подозрения. Мы считаем, что эти полномочия должны быть обусловлены доказательственным порогом или наличием определенных оснований или получением судебного приказа.
Так, например, согласно статье 23й законопроекта, инспектор имеет право требовать от любого лица его идентификационные данные, а также от любого лица, к которому это относится, предоставить ему копию компьютерных материалов, содержащих данные системы (даже если, по сути, такая информация не должна включать личные данные) или выборочную информацию. Кажется целесообразным, чтобы такое вмешательство в частную жизнь (если это касается частного лица) или непропорциональное вмешательство (в отношении не частного лица), если оно будет осуществлено, было обусловлено доказательственным порогом или наличием определенных условий или получением судебного приказа.

Статья 7. Обязательное административное уведомление перед наложением денежного штрафа

Статья 23лг пояснительной записки предлагает, чтобы у ответственного (в настоящее время регистратора) была