Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Законопроект о защите частной жизни (Поправка № 14), תשפ"ב - 2022

Введение

07 июня 2023 года
י"ח סיון תשפ"ג (25 адара 5786)
Уважаемому
Председателю Комитета по Конституции, Закону и Правосудию
Депутату Кнессета Симха Ротман
Кнессет Израиль
Уважаемый,
Тема: Законопроект о защите частной жизни (Поправка № 14), תשפ"ב - 2022
13.06.23 Комитет по Конституции, Закону и Правосудию Кнессета под вашим председательством проведет обсуждение законопроекта о защите частной жизни (Поправка № 14), תשפ"ב - 2022 (далее: "Поправка 14"). В нашем мнении, приложенном к этому документу, датированном 17.11.2021, 12.05.2022 и 03.06.2022, мы подробно отметили предложенные изменения в законе и возникающие трудности (далее: "Мнения"). В этом документе мы хотим лишь кратко подчеркнуть некоторые из вопросов, подробно изложенных в этих мнениях.

1. Принятие Поправки 14 в ее нынешнем виде, без изменения материального права, необоснованно усложнит работу отрасли.

• Увеличение неопределенности из-за определений, не соответствующих международному праву: несоответствие в определениях, установленных в Законе о защите частной жизни, תשמ"א - 1981 (далее: "Закон о защите частной жизни") и тех, что предлагаются в Поправке 14, с международным законодательством, в частности с европейским законодательством, GDPR, затрудняет понимание различных требований и соблюдение их, что приведет к ненужным экономическим и человеческим затратам.
• Сокращение обязанности регистрации: речь идет о архаичной обязанности, продолжение которой необоснованно усложняет работу отрасли.
• Оставление нарушения частной жизни зависимым только от согласия субъекта информации: чрезмерная зависимость от требования согласия в мире, где личная информация обрабатывается различными способами и для целей, некоторые из которых невозможно предсказать заранее при согласии, является проблематичной, создает ложное ощущение защиты частной жизни и закрывает перед израильскими компаниями возможности обработки информации, доступные другим компаниям, которые признают другие законные основания для обработки информации.

2. Укрепление права на частную жизнь и полномочий по защите частной жизни недостаточно.

• Финансовые санкции не приведут к реальному укреплению права на частную жизнь при отсутствии добавления существенных прав для субъекта информации: Поправка 14 не расширяет пакет существенных прав, предоставляемых субъекту информации, таких как право на отзыв согласия, идентификация удаления, идентификация переноса и право на отказ в определенных обстоятельствах. В результате, нарушения, за которые будет наложен финансовый штраф, не отражают важность права на частную жизнь и его аспекты с точки зрения субъекта информации и рисков для частной жизни из-за обработки информации в объемах и способах, которые осуществляются в настоящее время и будут осуществляться в будущем.
• Отсутствие предварительных обязательств по нарушению частной жизни: Поправка 14 не накладывает обязательство на владельца базы данных провести оценку воздействия на частную жизнь, а лишь ограничивается существованием этого обязательства в отношении владельцев баз данных с высоким риском согласно правилам безопасности информации.
  На наш взгляд, это является значительным недостатком. Наложение обязательства провести оценку рисков для частной жизни и обязательства консультироваться с полномочным органом по защите частной жизни, аналогично тому, что установлено в GDPR, в случаях, когда ожидается серьезное нарушение права на защиту частной жизни, приведет к внедрению важности права на частную жизнь среди разработчиков технологий уже на ранних этапах, укрепит полномочный орган по защите частной жизни как ведущий орган в этом вопросе и устранит необходимость в обязанности регистрации.
• Отсутствие полномочий для сотрудничества с иностранными органами: нарушение частной жизни является транснациональным. Для того чтобы позволить полномочному органу по защите частной жизни проводить всесторонние расследования и предоставить ему полномочия по обеспечению правопорядка, необходимо урегулировать сотрудничество, которое он может осуществлять с сопоставимыми органами из других стран.
• Соотношение сил по отношению к кибербезопасности: Поправка 14 подчиняет полномочный орган по защите частной жизни кибербезопасности в отношении вопросов безопасности информации. Защита частной жизни и киберзащита являются близнецами. Нельзя гарантировать одно без обеспечения другого. Поэтому соотношение сил между полномочным органом по защите частной жизни и кибербезопасностью должно быть явно урегулировано в законе.

3. Отсутствие упоминания об освобождении для органов безопасности.
   Закон о защите частной жизни предоставляет довольно широкое освобождение от ответственности за нарушение частной жизни для органов безопасности. Дело о использовании полицией шпионских программ подчеркивает необходимость обращения к этому вопросу и его урегулирования в соответствии с существующими технологиями.

Заключение

Поправка 14 не указывает на ожидаемое и необходимое изменение политики Министерства юстиции и продвижение поправки к закону о защите частной жизни и ее адаптацию к нашему времени. Напротив, изменение в системе заплат осталась доминирующей политикой, и не только что она таит в себе опасности для проблем интерпретации и противоречий, она также не доказала свою эффективность как правильный или подходящий инструмент для изменения законодательства о защите частной жизни в Государстве Израиль с 2011 года. Вместо того чтобы тратить время Комитета по Конституции, Закону и Правосудию Кнессета на обсуждение Поправки 14, пришло время представить комплексную поправку, которая также включает поправку к материальному праву и приносит с собой настоящую и значимую новость для защиты частной жизни в Израиле.

Мы будем рады помочь вам по любому вопросу, который может возникнуть,
С уважением и наилучшими пожеланиями
Д-р Рахель Аридор Харашкович, Д-р Техила Шварц Альтшулер
Программа демократии в эпоху информации, Израильский институт демократии

Приложение:

• Мнение Израильского института демократии по законопроекту о защите частной жизни (Поправка 14), תשפ"א - 2021, утвержденное Комитетом министров 7 ноября 2021 года, от 17.11.2021.
• Мнение Израильского института демократии по законопроекту о защите частной жизни (Поправка 14), תשפ"ב - 2022 (далее: "Поправка 14") – статьи определений, от 12.05.2022.
• Мнение Израильского института демократии по законопроекту о защите частной жизни (Поправка 14), תשפ"ב - 2022 (далее: "Поправка 14") – обязанность регистрации, принцип целевой привязки и безопасность информации, от 03.06.2022.
  Копия:
  Адвокат Авитал Сомпулинский, заместитель юридического советника (публичный конституционный).
  Адвокат Иль Зандберг, руководитель отдела публичного права, Департамент консультаций и законодательства – Министерство юстиции.
  Адвокат Гилад Самма, руководитель полномочного органа по защите частной жизни.

Законопроект о защите частной жизни (Поправка 14), תשפ"ב - 2022

Обязанность регистрации

В пункте 4 предложенного проекта поправки предлагается изменить пункт 8 основного закона и сократить установленную в нем обязанность регистрации так, чтобы она распространялась только на базы данных, содержащие информацию о 500,000 и более субъектов информации или информацию о 100,000 и более субъектах информации, при этом выполняется одно из следующих условий: (1) база данных содержит информацию, которая не была предоставлена субъектами информации или с их согласия; (2) база данных принадлежит государственному органу; или (3) основная цель базы данных – сбор информации для ее передачи другим как часть бизнеса, включая услуги прямой рассылки.
Согласно пояснительной записке, сокращение обязанности регистрации осуществляется с целью обеспечить "чтобы регуляторная деятельность сосредоточилась на базах данных, представляющих значительные угрозы для частной жизни и на действиях контроля и принуждения, основанных на предлагаемых полномочиях"
Необходимость изменения обязанности регистрации возникла уже в 2007 году в выводах Комитета Шофмана в связи с сомнениями, которые возникли на протяжении многих лет относительно эффективности требования регистрации и ее актуальности для технологической реальности и широкого объема баз данных в наши дни, а также на основе понимания, что она не является значительным инструментом принуждения.
Сокращение обязанности регистрации также предлагалось уже в 2012 году в проекте, представленном Министерством юстиции по этому вопросу.

Однако с момента выводов Комитета Шофмана в 2007 году прошло более десяти лет, в течение которых возможности сбора и обработки информации значительно увеличились. Происхождение обязанности регистрации, которая ранее также применялась в странах Европейского Союза, заключалось в том, чтобы предотвратить существование секретных баз данных. Однако с течением времени пришло понимание, что обязанность регистрации не гарантирует вовлеченности субъектов информации и осведомленности о своих правах в отношении личной информации о них.
Поэтому многие страны, которые обновили свое законодательство о защите частной жизни, полностью исключили обязанность регистрации.
Тем не менее, несмотря на прошедшие годы и тот факт, что обязанность регистрации стала мертвой буквой, Министерство юстиции не предлагает ее полностью отменить, а лишь сократить. Это связано с тем, что, по мнению профессионалов в полномочном органе по защите частной жизни, важно сохранить обязанность регистрации в отношении баз данных, которые представляют наибольший риск для частной жизни. Утверждается, что сохранение обязанности регистрации в ее сокращенном виде даст полномочному органу по защите частной жизни информацию о новых технологиях в этой области и позволит ему быть "в курсе" всего, что связано с развитием технологий, угрожающих частной жизни. Несмотря на то, что это важная цель, ее можно достичь другими способами, которые не накладывают такую тяжелую бюрократическую нагрузку на отрасль и менее затрагивают свободу бизнеса.
Поэтому мы считаем, что сохранение обязанности регистрации, даже в ее сокращенном виде, является ошибочным:
а. На наш взгляд, обязанность регистрации является архаичной, и ее отмена предпочтительнее, чем сокращение. В последние годы сложилась практика, согласно которой обязанность регистрации является "теоретической", однако оставление обязанности регистрации в таком виде вновь поставит необходимость ее решения в центр обсуждения.
б. Сокращение обязанности регистрации может быть лишь формальным шагом, поскольку изменения в определениях одновременно расширяют обязанность (например: определение информации; определение базы данных и значительное сокращение исключений).
в. По сравнению с 56 странами, 31 из которых не имеет обязанности регистрации вообще. Некоторые из них отменили обязанность регистрации с адаптацией законодательства о частной жизни в стране к GDPR. Четыре страны накладывают обязанность регистрации или уведомления на контролеров или обработчиков публичных баз данных, пять других стран требуют передачи данных о должностном лице по защите данных в полномочный орган по защите частной жизни, и еще пять стран требуют консультации или уведомления полномочного органа по защите частной жизни в случае, если оценка рисков вызывает опасения по поводу нарушения частной жизни или когда речь идет о обработке чувствительной информации или информации, необходимой для целей правоприменения.
г. В Англии была отменена обязанность регистрации, и вместо этого на контролера данных возложена обязанность ежегодной фиксированной платы в полномочный орган по защите частной жизни, если они не были явно освобождены от уплаты. Закон о защите данных, вступивший в силу в январе 2020 года в штате Калифорния, обязывает брокеров данных (Data Brokers) регистрироваться и уплачивать налог ежегодно генеральному прокурору (Attorney General). Брокеры данных определяются законом как предприятия, которые сознательно собирают личные данные о клиентах-субъектах, с которыми у них нет прямых отношений, и продают их третьим лицам.
Таким образом, выводы из сравнительного анализа показывают, что больше не существует места для всеобъемлющей обязанности регистрации, а также нет места для обязанности регистрации, основанной на количестве субъектов информации. В некоторых странах, которые разрешили определенный уровень обязанности регистрации, акцент не ставится на формальную обязанность регистрации, а на обеспечение выполнения условий защиты частной жизни, например, путем требования назначения должностного лица по защите данных. В других странах соответствующие критерии – это тип информации (например, чувствительная информация), степень угрозы, которую она представляет для права на частную жизнь в результате ее обработки, и характер контролера данных (например, обращение к брокерам данных в Калифорнии).
д. Установление числового критерия является произвольным. Пороговое требование в 100,000 субъектов информации для применения обязанности регистрации на базах данных, содержащих информацию, и 500,000 субъектов информации для баз данных, содержащих информацию с особой чувствительностью, и основание, по которому обязанность регистрации применяется таким образом только к базам данных, представляющим наибольший риск для частной жизни, нам неясно.
На наш взгляд, база данных, содержащая, например, информацию с особой чувствительностью или информацию, собранную без согласия субъекта информации, представляет собой серьезное нарушение частной жизни, против которого необходимо применять строгий контроль и принуждение, даже если речь идет о базе данных, содержащей информацию о меньшем количестве субъектов информации.
Кроме того, в наши дни технологии сбора информации стали дешевыми и доступными, и поэтому многие компании, включая малые предприятия, могут иметь базы данных о более чем 100,000 субъектов информации. В результате сокращение обязанности регистрации не будет значительным. Компании и полномочный орган по защите частной жизни будут вынуждены тратить время и деньги на соответствие формальным требованиям регуляторов вместо того, чтобы заниматься реальной защитой права на частную жизнь.
е. Цели сохранения обязанности регистрации в сокращенном виде, по нашему мнению, (1) создание диалога между владельцем базы данных и регистратором баз данных, что, по всей видимости, позволит в дальнейшем прояснить различные вопросы и обеспечить соблюдение положений закона; (2) побуждение внутренних проверок в организации перед регистрацией: организация должна рассмотреть, какую информацию она собирает, с какой целью, как она хранится и как долго; и (3) поддержание полномочного органа по защите частной жизни в курсе существования новых технологий и с "рукой на пульсе" относительно появления новых технологий, угрожающих частной жизни. На наш взгляд, обязанность регистрации не является подходящим или эффективным инструментом для достижения этих важных целей, и ее использование для их реализации не является пропорциональным. Во-первых, эти цели можно реализовать более эффективно путем укрепления прав, предоставляемых субъектам информации, усиления полномочий контроля и надзора полномочного органа по защите частной жизни, а также предоставления соответствующих инструментов контроля для общественности (например, путем подачи коллективных исков). Кроме того, обязанность регистрации не приведет к внедрению мышления о частной жизни среди разработчиков технологий уже на ранних этапах разработки, а также не даст полномочному органу по защите частной жизни достаточного времени для предупреждения о новых технологиях, угрожающих частной жизни. Это связано с тем, что обязанность регистрации является в основном технической и не требует от разработчиков технологий проведения глубокого анализа воздействия технологии, которую они собираются разработать, на право на частную жизнь уже на ранних этапах разработки. Кроме того, обязанность регистрации применяется по числовому критерию: 100,000 субъектов информации для базы данных и 500,000, когда речь идет о базе данных, содержащей информацию с особой чувствительностью. То есть новая технология, угрожающая частной жизни, о которой полномочный орган по защите частной жизни хочет быть в курсе через обязанность регистрации, будет разработана до последних этапов, будет действовать, собирать и обрабатывать информацию о 100,000 до 500,000 субъектов информации, прежде чем информация о ее существовании дойдет до полномочного органа.
На наш взгляд, в цифровом мире, где личная информация собирается и хранится как обычное дело, необходимо закрепить в законе альтернативный набор инструментов для защиты частной жизни в личной информации, который даст более комплексный и точный ответ на защиту частной жизни, чем обязанность регистрации баз данных, которая в основном является ненужным регуляторным бременем. Достижение важной цели осведомленности полномочного органа по защите частной жизни о существовании новых технологий, угрожающих частной жизни, уже на ранних этапах, и внедрение защитного мышления о частной жизни среди разработчиков технологий уже на ранних этапах их разработки может быть достигнуто путем введения обязательства по проведению оценки воздействия на частную жизнь и обязательства консультироваться с полномочным органом по защите частной жизни в соответствии с результатами оценки, как это предусмотрено европейскими правилами защиты данных (GDPR).

Оценка воздействия на частную жизнь и обязательство консультироваться

Обязанность проводить оценку рисков для частной жизни в настоящее время существует частично – в правилах безопасности информации – и ограничена только базами данных, для которых требуется высокий уровень безопасности.
В отличие от этого, в GDPR обязанность проводить оценку рисков для частной жизни возложена на каждого контролера данных, если существует высокая вероятность того, что обработка информации