Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Подготовительный документ юридической службы — Законопроект о защите частной жизни (Поправка № 14), 5783-2023 (часть 2: регистрация баз данных, статьи 8а и 10б)

13 тевета 5784 (25 декабря 2023 г.)

Кому: Члены Комиссии по конституционным вопросам, законодательству и правосудию От: Юридическая служба комиссии

---

Регистрация баз данных — сокращение обязанности регистрации

Статьи 8, 9, 10 и 12 Закона устанавливают основные положения о регистрации баз данных. Статья 12 определяет центральное положение о реестре баз данных:

«12. Реестр баз данных

(а) Уполномоченный / глава ведомства ведёт реестр баз данных, открытый для публичного ознакомления.

(б) Реестр содержит сведения о регистрации базы данных согласно статье 9.

(в) Несмотря на подразделы (а) и (б), в базе данных органа безопасности сведения по статье 9(б)(3), (4) и (5) не являются открытыми для публики.»

Первоначальная цель обязательной регистрации баз данных состояла в том, чтобы информировать общественность о существовании баз данных и служить инструментом правоприменения для регулятора.

В 1996 году обязанность регистрации была сокращена и в настоящее время распространяется на пять категорий баз данных: база с более чем 10 000 субъектами данных; база с «чувствительной информацией»; база, содержащая информацию без согласия субъектов; база для «прямой рассылки»; база государственного органа.

Предлагаемое сокращение

Согласно предложению, обязанность регистрации будет распространяться на базы данных с 100 000 и более субъектами данных при выполнении одного из дополнительных условий:

(1) база содержит информацию, не предоставленную субъектами данных или без их согласия; (2) база принадлежит государственному органу; (3) основная цель базы — сбор информации для передачи третьим лицам, включая прямую рассылку.

Кроме того, обязанность регистрации распространяется на базы данных с «особо чувствительной информацией» о 500 000 и более субъектах.

---

Статья 8а — Уведомление о нарушении безопасности информации

Предлагается ввести обязанность уведомления о случаях утечки или несанкционированного доступа к информации в базах данных. Владелец или держатель базы данных обязан уведомить Уполномоченного и субъектов данных о существенном нарушении безопасности.

Критерии уведомления:

• Нарушение затрагивает значительное количество субъектов данных;
• Нарушение может причинить существенный вред субъектам;
• Характер утечённой информации (особо чувствительная информация).

Уполномоченный вправе устанавливать порядок уведомления и исключения из обязанности уведомления.

---

Статья 10б — Принцип привязки к цели

Предлагается установить запрет на использование информации из базы данных не по той цели, для которой она была собрана. Это основополагающий принцип защиты данных, соответствующий международным стандартам (GDPR и др.).

Юридическая служба рекомендует обсудить:

• Объём защит, применимых к данному запрету;
• Соотношение между уголовной, гражданской и административной ответственностью;
• Исключения для целей национальной безопасности и правоприменения.