Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Замечания Президиума делового сектора к Законопроекту о защите частной жизни (Поправка № 14), 5781-2021

20 кислева 5784 года 3 декабря 2023 г.

Депутату Кнессета Симхе Ротману, Председателю Комиссии по Конституции, праву и правосудию

---

Уважаемый,

От имени Президиума делового сектора (далее — «Президиум») мы обращаемся к Вам по вопросу Законопроекта о защите частной жизни (Поправка № 14), 5781-2021 (далее — «Законопроект»).

Президиум является «зонтичной организацией», объединяющей и представляющей общие интересы ведущих работодателей в экономике — двенадцати организаций делового сектора: Объединение ремесла и промышленности Израиля, Союз страховых компаний, ЛЭАВ — палата организаций самозанятых в Израиле, Объединение предприятий алмазной промышленности, Союз банков Израиля, Объединение гостиниц Израиля, Организация охранных компаний, Объединение клининговых компаний, Объединение фермеров Израиля, Организация компаний по предоставлению кадровых ресурсов, Объединение кинематографической отрасли и Союз инвестиционных домов.

Президиум приветствует Законопроект и рассматривает его как значимый и важный инструмент защиты частной жизни жителей Израиля и приведения израильского законодательства в соответствие с мировыми тенденциями в данной области. Вместе с тем Законопроект имеет широкие последствия для всех предприятий в Израиле, и по ряду вопросов, как указано ниже, необходимо, по нашему мнению, повторное рассмотрение.

Определение «держателя»

1. В рамках Законопроекта расширено определение «держателя» таким образом, что лицо, заключившее договор с обладателем контроля над базой данных на оказание услуг от его имени и получившее разрешение на использование данных базы для целей оказания услуг в рамках договора, также считается держателем.

2. Согласно новому определению, различные поставщики, чьё право на использование базы данных может быть крайне ограниченным, будут определены как «держатели» со всеми вытекающими из этого обязанностями. Предприятиям придётся выделять значительные ресурсы на возложение на поставщиков различных требований, предъявляемых к держателям баз данных, хотя не всем из них потребуется одинаковый уровень осторожности или ответственности.

3. По нашему мнению, правильнее изменить определение таким образом, чтобы лица, использующие данные, классифицировались по виду и уровню использования базы данных, и обязанности держателя применялись к ним лишь при наличии предметного обоснования. Также, по нашему мнению, определение должно учитывать чувствительность данных, объём их использования и характер договорных отношений.

4. В любом случае, ввиду изменения сферы применения понятия «держатель» в соответствии с новым определением, необходимо предусмотреть отложенное вступление в силу соответствующих статей, чтобы позволить различным субъектам подготовиться к завершению необходимых процедур по пересмотру и адаптации юридических соглашений с соответствующими сторонами.

Определение «информации»

5. Согласно Законопроекту, определение «информации» расширено и распространяется на любые данные, касающиеся идентифицированного или идентифицируемого лица, включая биометрический идентификатор, номер удостоверения личности или любой иной уникальный идентификатор (вместо действующего определения, относящего к информации «данные о личности человека, его личном статусе, частной жизни, состоянии здоровья, экономическом положении, профессиональной подготовке, мнениях и убеждениях» и специальное разграничение, касающееся чувствительной информации).

6. Расширение сферы определения и его приведение в соответствие с передовыми определениями персональных данных приветствуется и поможет адаптировать действие Закона к принятым ныне подходам в израильской судебной практике и к мировому пониманию, как подробно описано в пояснительной записке к Законопроекту.

7. Вместе с тем мы полагаем, что необходима адаптация статей, касающихся мер правоприменения, к новому определению, как будет изложено далее.

8. Во-первых, следует разъяснить, что представляют собой «разумные средства», упомянутые в определении для целей идентификации данных, поддающихся идентификации, или, по меньшей мере, пояснить параметры, посредством которых данные могут быть идентифицированы.

9. Во-вторых, статьи 10б и 10в Законопроекта касаются запретов, установленных в отношении обладателя контроля над базой данных или её держателя. Эти статьи распространяют действие запрета также на «сведения о частных делах лица».

Статья 10б устанавливает: «Обладатель контроля над базой данных или её держатель не вправе использовать информацию или сведения о частных делах лица из базы данных не по назначению, для которого они были переданы...»

Статья 10в добавляет: «Лицо не вправе использовать информацию или сведения о частных делах лица из базы данных без разрешения обладателя контроля над базой данных или с превышением такого разрешения.»

10. С учётом расширения определения «информации», любые сведения о частных делах лица и так включаются в это определение. Поэтому предлагается исключить ссылку на «сведения о частных делах лица» из указанных статей и включить в них ссылку исключительно на «информацию».

11–16. [Подробный правовой анализ проблематики двойного применения термина «сведения» в контексте расширенного определения «информации»: риск двойных санкций, неясность формулировок в связи с уголовными наказаниями (до 5 лет лишения свободы) и необходимость установления умысла как обязательного элемента состава преступления.]

17. Если уголовная статья останется в действующей редакции, её следует обновить с указанием конкретных фактических обстоятельств для квалификации преступления и необходимого субъективного элемента. Кроме того, следует добавить требование о наличии злого умысла. Статья предусматривает суровое наказание в виде 5 лет лишения свободы, и мы полагаем, что столь суровое наказание не следует назначать при отсутствии преступного умысла.

18. В связи с изложенным, по нашему мнению, следует исключить из Законопроекта все упоминания термина «сведения о частных делах лица» и оставить ссылку исключительно на «информацию» в соответствии с её новым и расширенным определением.

19. Для обеспечения единообразия мы рекомендуем в рамках обновления Закона также обновить статью 9(2) действующего Закона, установив, что использование информации или её передача другому лицу не по назначению, для которого она была передана, является нарушением частной жизни (без ссылки на «сведения о частных делах лица»).

20. В-третьих, статья 10в Законопроекта укрепляет контроль международных корпораций-гигантов над информацией, предоставляя им как обладателям контроля над базами данных право возражать против использования информации из них. Так, например, любой поиск информации в интернете для целей оценки рисков может потребовать не только согласия субъекта данных, но и согласия сайтов, на которых может находиться информация — прежде всего международных поисковых систем и социальных сетей. По нашему мнению, такая концентрация власти в руках корпораций-гигантов нежелательна и неуместна, и статью следует исправить, чтобы не предоставлять им такой контроль.

Базы данных

21. Действующий Закон в его нынешней редакции устанавливает широкую обязанность регистрации баз данных. На протяжении лет возникали сомнения в эффективности этой обязанности и в степени её соответствия текущей технологической реальности.

22. Как следует из пояснительной записки к Законопроекту, ввиду широкой сферы применения обязанность регистрации в целом не является эффективным средством надзора в руках регистратора баз данных, поскольку у регистратора нет практической возможности осуществлять эффективный надзор за большим числом баз данных. Соответственно, в Законопроекте предлагается сузить обязанность регистрации, распространив её лишь на крупные базы данных, содержащие информацию о 100 000 лиц и более, обладающие при этом особой чувствительностью ввиду типа обладателя контроля (публичный орган), цели обработки данных (сбор информации для передачи третьим лицам в качестве основной деятельности) или способа сбора данных (данные не были получены от субъектов данных или с их согласия). Кроме того, предлагается продолжить обязательную регистрацию баз данных, содержащих «информацию особой чувствительности» о 500 000 лиц и более, и установить обязанность отчётности по «основным параметрам» баз данных, содержащих «информацию особой чувствительности» о более чем 100 000, но менее 500 000 лиц.

23–24. Однако наряду с сужением типов баз данных, подлежащих регистрации, в Законопроекте расширены определения терминов «информация» и «база данных», что фактически расширяет типы баз данных, подпадающих под требование.

25–26. Обязанность регистрации возлагает значительное регуляторное бремя на соответствующие организации, при этом её полезность неочевидна. Более того, существует риск, связанный с самим существованием публичного реестра всех крупных и чувствительных баз данных в Израиле, облегчающего идентификацию потенциальных целей для кибератак. Сохранение обязанности регистрации также продолжит требовать от органа по защите частной жизни ценных ресурсов для ведения реестра. В международной практике, включая европейский регламент GDPR, обязанность уведомления о базах данных была отменена.

27. По этим причинам предлагается полностью отменить требование регистрации баз данных и воздержаться от введения обязанности отчётности.

28. Следует также рассмотреть, уместно ли полное исключение данных, собранных для личного использования, из-под действия Закона, учитывая, что в настоящее время и физические лица способны создавать крупные базы данных.

Статья 8а — Законное управление

29. В Законопроекте добавлена статья, касающаяся законного управления базой данных, устанавливающая нарушение в случае, если лицо управляет или владеет базой данных, информация в которой была создана, получена, накоплена или собрана в нарушение закона. Формулировка статьи неясна, и из неё невозможно однозначно понять, что подразумевается под сбором информации в нарушение закона. Отмечаем, что разъяснение формулировки статьи имеет большое значение, учитывая денежные взыскания и уголовные наказания, установленные Законопроектом.

Полномочия по надзору и правоприменению

30. Во-первых, Законопроект стремится расширить надзорные полномочия инспектора, уполномоченного в соответствии с Законом, включая полномочие требовать от любого причастного лица предоставления «любых сведений или документов», а также копий компьютерных материалов или выборочных данных. По нашему мнению, такое расширение полномочий должно быть обусловлено получением судебного ордера.

31. Во-вторых, по нашему мнению, решение о применении административных мер правоприменения, в первую очередь наложении денежных взысканий, должно приниматься в координации с компетентным органом/регулятором, осуществляющим надзор за данной корпорацией, или, по меньшей мере, по согласованию с ним.

32. В-третьих, согласно Законопроекту, Уполномоченный по защите данных вправе привлекать «внешних сотрудников», не являющихся государственными служащими, и наделять их определёнными полномочиями, включая полномочие требовать информацию и документы. По нашему мнению, нет оснований для предоставления столь широких полномочий лицу, не являющемуся сотрудником ведомства, и предлагается исключить соответствующие статьи.

Вступление в силу

33. В Законопроекте предлагается привести изменения в действие в течение шести месяцев с момента их публикации. Представляется, что многим организациям в экономике будет затруднительно подготовиться к внедрению многочисленных предлагаемых изменений в столь короткий срок. Для сравнения: европейский регламент GDPR стал подлежащим правоприменению примерно через два года после публикации, а калифорнийский закон о конфиденциальности (CCPA) вступил в силу примерно через год и три месяца после принятия.

34. Поэтому, чтобы предоставить экономике достаточно времени для надлежащей подготовки, предлагается установить вступление Закона в силу через 12 месяцев с момента публикации.

---

В заключение, Президиум приветствует Законопроект и видит в нём большую важность, однако в свете изложенных выше замечаний, по нашему мнению, необходимо внести определённые изменения в Законопроект. Президиум, разумеется, оставляет за собой право поднять дополнительные вопросы в ходе дальнейших обсуждений Законопроекта в комиссии.

С уважением,

Президиум делового сектора