Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Справочный материал

1

ה' בטבת התשפ"ד, 17 בדצמבר 2023

אל: חברי ועדת החוקה, חוק ומשפט מאת: הייעוץ המשפטי לוועדה

Документ подготовки от юридического совета комиссии -
Законопроект о защите личной жизни (Поправка № 14), תשפ"ג–2023 (определения - продолжение):

Сводка предыдущего обсуждения (11.12.23):

1.

• Определение "информация" было обновлено до "персональных данных" и адаптировано к тексту GDPR. Утвержденная формулировка:
  "Персональные данные" - информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое лицо - это лицо, которое может быть идентифицировано, при разумных усилиях, прямо или косвенно с использованием разумных средств, включая, но не ограничиваясь, идентификатором, таким как имя, номер идентификации, биометрический идентификатор, данные о местоположении, онлайн-идентификатор, или один или несколько фактов, относящихся к физическому, психологическому, экономическому, культурному или социальному состоянию.

2.

• Достигнута договоренность об исключении выражения "знание о частных делах человека", кроме главы о классической приватности (которая возможно будет рассмотрена позже, с учетом добавленных важных положений к закону).

3.

• Определение "база данных" было одобрено в следующей формулировке:
  "База данных" - совокупность данных, хранящихся на магнитном или оптическом носителе и предназначенных для обработки с использованием компьютера, за исключением –
  (1) совокупности для личного использования, не предназначенной для коммерческих целей; или
  (2) совокупности, которая включает только имя, адрес и контактные данные, которые сами по себе не создают характеристики, нарушающие личную жизнь людей, чьи имена входят в нее, при условии, что у владельца совокупности или у предприятия под его контролем нет другой совокупности в отношении тех же людей;

Темы обсуждения на 11.12.23:

"Информация с особой чувствительностью"

"Чувствительная информация" –
(1) данные о личности человека, его частной жизни, состоянии здоровья, финансовом состоянии, его убеждениях и вере;
(2) информация, которую министр юстиции определяет указом, с одобрением Комитета по Конституции, законам и правосудию Кнессета, как чувствительную информацию;
"Информация с особой чувствительностью" – каждая из следующих:
(1) информация о частной жизни человека, включая его поведение в личных пределах;
(2) медицинская информация в соответствии с Законом о правах пациента, תשנ"ו–1996;
(3) генетическая информация в соответствии с Законом о генетической информации, תשס"א–2000;
(4) информация о политических взглядах или верованиях человека;
(5) информация о криминальном прошлом человека;

4.

(6) Данные о местоположении и данные о трафике, как определено в Законе о уголовной процедуре ( полномочия правоприменения – данные о связи), תשס"ח–2007, в отношении человека;
(7) биометрический идентификатор;
(8) информация о происхождении человека;
(9) информация о собственности человека, его долгах и финансовых обязательствах, его финансовом состоянии или изменениях в нем, способности выполнять свои финансовые обязательства и степени их выполнения;
(10) торговые привычки человека, которые могут свидетельствовать о информации по пунктам (1) до (8);
(11) информация, на которую распространяется требование о конфиденциальности, определенное законом;
(12) дополнительная информация, определенная министром юстиции указом, с одобрением Комитета по Конституции, законам и правосудию Кнессета;

Обсуждение:

• Нужен ли действительно данный пункт информации, используется ли он?
• Если комиссия считает необходимым добавить этот пункт - предлагается рассмотреть возможность добавить его таким образом, чтобы все пункты, представляющие собой информацию с особой чувствительностью, были представлены в самом законе.

"Владелец информации" и "владелец", в отношении базы данных, использование и обработка –

"Владелец базы данных"

Поправка статьи 7 3. (2) после определения "Безопасность информации" добавляется:
""Владелец базы данных" - это тот, кто определяет, самостоятельно или совместно с другим, цели обработки информации в базе данных или орган, уполномоченный законодательством управлять базой данных или человек, занимающий такую должность, который на это уполномочен;";

Как указано в законопроекте (статья 1 предложения), предлагается заменить термин "владелец базы данных" на "владелец контроля базы данных".
В статье 3 предлагается добавить новое определение владельца контроля базы данных (в текущем тексте закона нет определения "владельца базы данных", но указаны его обязанности по регистрации, безопасности информации и отношении к правам субъектов информации, таким как предоставление права на доступ).
Предложенное определение подчеркивает элемент контроля в целях обработки информации и основные аспекты, касающиеся способов обработки информации, снижающее акцент, данное в текущем тексте на элементе собственности базы. Это изменение соответствует сопоставимому термину в европейских нормативных актах по защите данных, "Контроллер", закрепленному в статье 4(7) GDPR:
"'Контроллер' означает физическое или юридическое лицо, публичный орган, агентство или другое учреждение, которое, самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; где цели и средства такой обработки определяются законодательством Союза или государства-члена, контроллер или конкретные критерии для его назначения могут быть предусмотрены законодательством Союза или государства-члена.".

2. "Владелец" в отношении базы данных

Поправка статьи 3 2. В статье 3 основного закона -
(1) вместо определения "владелец, в отношении базы данных" будет:
"Тот, кто постоянно имеет в своем распоряжении базу данных и имеет право производить с ней операции;"
""Владелец", в отношении базы данных - это тот, кто заключил соглашение с владельцем контроля базы данных для предоставления услуг владельцу контроля или для предоставления услуг от имени владельца контроля, и получил от владельца базы данных в рамках соглашения разрешение использовать информацию из базы данных для предоставления услуг;";

Согласно предложенному определению владелец определяется двумя аспектами:
(1) соглашение с владельцем контроля базы данных –
а. для предоставления услуг владельцу контроля или
б. для предоставления услуг от имени владельца контроля;
(2) получение разрешения на использование информации из базы данных + рамка соглашения + для предоставления услуг.

Новое определение уточняет существующее различие между "владельцем контроля базы данных", "владельцем" и "уполномоченным лицом для доступа к базе данных". Также уточняется, что обладание информацией не должно быть физическим, и что способ агрегирования информации не является релевантным для применения норм закона.

Таким образом, предлагаются три ответственных должности: владелец контроля информации, владелец и уполномоченное лицо для базы данных:

• Владелец контроля базы данных
  (Законопроект о защите личной жизни)
• Владелец
  (Законопроект о защите личной жизни)
• Уполномоченное лицо для базы данных
  (Правила защиты личной жизни (Безопасность информации))
  "'Владелец контроля базы данных' – это тот, кто определяет, самостоятельно или совместно с другим, цели обработки информации в базе данных или орган, уполномоченный по закону управлять базой данных или человек, занимающий такую должность, который на это уполномочен";
  "'Владелец', в отношении базы данных – это тот, кто заключил соглашение с владельцем контроля базы данных для предоставления услуг владельцу контроля или для предоставления услуг от имени владельца контроля, и получил разрешение от владельца базы данных в рамках соглашения использовать информацию из базы данных для предоставления услуг;";
  "'Уполномоченное лицо' – физическое лицо, которое имеет доступ к одному из следующих по разрешению владельца базы данных или владельца:
  (1) информация из базы данных;
  (2) системы базы данных;
  (3) информация или элемент, необходимый для функционирования базы данных или для доступа к ней.

Пример: Исследователь, получающий разрешение на использование базы данных о здоровье для своих нужд;

€ Субъект, получающий часть из базы данных (например, партия из избирательного списка) – является "владельцем контроля базы данных" в силу полученного разрешения на использование.

Пример: Подрядчик, проводящий исследование для компании или учреждения, которое выдает зарплатные ведомости для государственного ведомства.

Несмотря на это, владелец, который не является физическим лицом, или физическое лицо, получившее доступ по разрешению владельца, не будет считаться уполномоченным лицом владельца базы данных;
€ Пример: курьер Wolt, имеющий доступ к адресам, или работник, которому было дано разрешение на доступ к информации из базы данных.

В общем, можно сказать, что многие обязанности и санкции, налагаемые на "владельца контроля базы данных" в отношении безопасности информации, налагаются аналогичным образом и на владельца. Следует отметить, что в GDPR нет режима "баз данных", поэтому определение "владелец" не имеет значения. В GDPR используется определение "обработчик", которое переводится как "обработчик" (статья 4(8)):
"обработчик - это физическое или юридическое лицо, публичный орган, агентство или другое учреждение, которое обрабатывает персональные данные от имени контроллера;"

Обсуждение:

Какова польза от предложенного определения "владелец" по сравнению с "обработчиком" (в GDPR)? Не создает ли это путаницу с физическим владением? Следует отметить, что термин "владелец" в настоящее время появляется в законе в 24 случаях, из которых 6 касаются значений глагола и 5 - существительных, но в значении, отличном от обычного значения владельца, в соответствии с определением. Не создают ли определения "владелец" (существительное) и "владелец" или "иметь" трудности в интерпретации? Не правильно ли будет использовать термин "обработчик"?
Смотрите, например, статью 13а Закона:
"Без ущерба для положений статьи 13 –
(1) владелец базы данных, владеющий ею у другого (в этом разделе - владелец), направит запрос на владельца, указав его адрес, и предписывает владельцу письменно позволить заявителю производить доступ;
(2) Если заявитель сначала обратится к владельцу, владелец уведомит его, если он хранит информацию о нем, а также имя владельца базы данных и его адрес."

"Обработка" и "использование"

3

В определении "использование" после слова "включая" добавляется "Хранение".
Использование – включая хранение, раскрытие, передачу и передачу.

"Обработка" – сбор или использование [использование = хранение, раскрытие, передача и передача].

Сначала напомним, что определение "использование" размещено в статье 3, и поэтому относится ко всему закону, включая часть о нарушении частной жизни, в то время как новое определение, обработка, относится только к главам, касающимся баз данных.

В предлагаемом новом определении "использование" четко указано, что даже хранение информации в базе данных без ее раскрытия, и без дополнительных действий, будет считаться использованием информации (в дополнение к раскрытию, передаче и передаче). Это добавление отражает опасение по поводу высокой возможности обработки в настоящее время и потенциального раскрытия информации, возникающего из ее хранения. Следует отметить, что это не закрытый список действий, входящих в определение "использования", и что также действия, такие как хранение, просмотр, организация, исправление, дополнение, выдача и удаление попадают под это определение.

Введение определения "обработка" –

Объединение предложенных определений "использование" и "обработка" создает на самом деле три категории:
(1) Только сбор;
(2) Использование (включая, среди прочего, хранение, раскрытие, передачу и передачу);
(3) Обработка, которая относится как к определению "сбор", так и к определению "использование", и соответствует определению в статье 4(2) GDPR по термину "Обработка", упомянутому в GDPR.

Обсуждение:

(1) Действительно ли требуется термин "использование" помимо термина "обработка", и не может ли он быть ограничен только обработкой, аналогично GDPR? Когда именно требуется использовать термин "использование"? Создает ли наличие термина "использование" в его естественном значении путаницу? Например, в разделе 32 закона, касающемся запрещенных материалов в качестве доказательства, закон использует термин "использование" в его повседневном значении – "материалы, полученные с нарушением частной жизни, будут недопустимы в качестве доказательства в суде без согласия пострадавшего, за исключением случаев, когда суд разрешает письменные причины для использования материалов, или если были у нарушителя, который был стороной процесса, защита или освобождение по этому закону."

(2) Предполагает ли определение "владелец, в отношении базы данных", что речь идет именно об использовании, в отличие от обработки - это означает, исключает ли сбор без хранения "владельца" от признания таковым? Возможно ли собрать данные без хранения?

"Команда" – Комитет по Конституции, законам и правосудию Кнессета

Комитет по Конституции Кнессета является комитетом, который утверждает правила и указы по этому закону. Тем не менее, в законе нет определения комитета, и поэтому необходимо каждый раз в упоминании комитета повторять полное выражение "Комитет по Конституции, законам и правосудию Кнессета." Для упрощения чтения закона и написания, предлагается установить сокращение.