Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Справочный материал

1

13 Тевета 5784, 25 декабря 2023

К: Членам Комитета по конституции, праву и правосудию
От: Юридического консультанта Комитета

Документ подготовки от юридического консультанта Комитета –
Законопроект о защите личной информации (Поправка № 14), 5783-2023 (Часть 1 - продолжение определений):

Сводка предыдущего обсуждения (23.1217):

Начато обсуждение определения "Информация с особой чувствительностью":

Статья (1) – информация о частной жизни человека, включая его поведение в личных целях, была заменена Комитетом на

статью "Частная жизнь личности человека или его сексуальная ориентация".

Статья (2) – медицинская информация, как определено в законе о правах пациентов, 5766–1996; заменена Комитетом на статью "Информация о состоянии здоровья человека".

Статья (3) – "Генетическая информация, как определено в законе о генетической информации, 5761; одобрено.

Статья (4) – "Информация о политических взглядах или верованиях человека" заменена на "Информация о политических взглядах, религиозных убеждениях человека или его мировоззрении".

Статья (6) – информация о криминальном прошлом человека – одобрена.

Статья (7) – "Данные о местоположении и данные о трафике, как определено в законе о порядке уголовного производства (полномочия по контролю – данные связи), 5768-2007, о человеке" заменена на определение "Данные о трафике, как определено в законе о порядке уголовного производства (полномочия по контролю – данные связи), 5768-2007, о человеке, и данные о местоположении, которые могут указывать на информацию по статьям (1) до (6) или (8) до (9)".

Статья (8) – биометрический идентификатор – обсуждение этого пункта еще не завершено, но определение "биометрический идентификатор" было одобрено – "биометрический параметр, используемый для идентификации человека или подтверждения его личности, или биометрическое средство идентификации, из которого можно получить указанные данные; для этой цели "биометрический" – это уникальная человеческая, физиологическая или поведенческая характеристика, которая может быть измерена с помощью компьютера".

Темы обсуждения на 23.1226:

"Информация с особой чувствительностью" – продолжение обсуждения.
Зеленый – пункты, по которым было принято решение в Комитете.
Желтый – пункты, по которым еще не было решения или пункты, которые были пропущены и еще не обсуждались, или по которым правительство запрашивает дополнительное рассмотрение.
"Чувствительная информация" –
(1) Данные о личности человека, частной жизни, состоянии здоровья, финансовом состоянии, мнениях и верованиях;
(2) Информация, которую министр юстиции определил в указе, с одобрением Комитета по конституции, праву и правосудию Кнессета, как чувствительная информация;

2

"Информация с особой чувствительностью" – каждый из следующих пунктов:
(1) ...

Предлагается заменить определение "чувствительная информация" в законе на определение "информация с особой чувствительностью":

Глава определений GDPR не включает определение информации с особой чувствительностью, но статья 9(1) GDPR устанавливает специальные категории личной информации, обработка которой запрещена, за исключением определенных обстоятельств. Эта статья включает часть видов информации, упомянутых в предложенном определении:
Обработка персональных данных, раскрывающая расовое или этническое происхождение, политические мнения, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных с целью уникальной идентификации физического лица, данных о здоровье или данных о сексуальной жизни или сексуальной ориентации физического лица, будет запрещена.

(2)(1) Информация о частной жизни человека, включая его поведение в личных целях; Частная жизнь личности человека или его сексуальная ориентация
первый пункт в предложенном определении заменяет значительную часть предыдущего определения, данные о личности человека, частная жизнь человека:
Следует отметить, что в судебной практике в контексте статьи 2 выражение "частная жизнь человека" было истолковано широко. Так, например, было установлено, что публикация компьютерных моделей дизайна интерьера дома человека без его согласия составляет нарушение его частной жизни. Суд подчеркнул, что, несмотря на то, что изображения являются компьютерными, раскрытие личных пространств в доме, таких как спальня и ванная комната, может свидетельствовать о стиле жизни и даже указывать на поведение в личных целях (Дело 1697/11 А. Гутсман Архитектура против Арье Варди). Была разъяснена необходимость перекрытия высокого порога интимности – примеры, касающиеся сексуального прошлого человека – для доказательства нарушения "частной жизни".
В GDPR, как упоминалось, можно найти определение, касающееся: data concerning a natural person’s sex life or sexual orientation.
Вслед за обсуждением, и принимая во внимание публичное намерение Комитета сократить определение, с другой стороны, важность этого пункта, с точки зрения правительства, находящегося в ядре конституционного и правового права на частную жизнь, правительство предлагает промежуточный вариант: "Информация о частной жизни человека". То есть без добавления "включая его поведение в личных целях".

(3)(2) Медицинская информация, как определено в законе о правах пациентов, 5766–1996; информация, относящаяся к состоянию здоровья человека.
Формулировка, одобренная Комитетом, как упоминалось, шире, чем формулировка предложения, которая касалась медицинской информации в контексте отношений врач-пациент: "Информация, относящаяся непосредственно к состоянию здоровья пациента или к медицинскому лечению".
В GDPR определение широкое и включает: данные о здоровье. В частности, в 35 пункте речевая строфа формулируется:
"Личные данные о здоровье должны включать все данные, касающиеся состояния здоровья субъекта данных, которые раскрывают информацию о прошлом, настоящем или будущем физическом или психическом состоянии здоровья субъекта данных."
Это включает информацию о физическом лице, собранную в ходе регистрации для, или предоставления, медицинских услуг, как указано в Директиве 2011/24/ЕС Европейского парламента и Совета¹ для данного физического лица; номер, символ или определенный признак, присвоенный физическому лицу для уникальной идентификации этого физического лица в целях здоровья; информация, полученная в результате тестирования или обследования части тела или биологического вещества, включая

3

генетические данные и биологические образцы; и любая информация о, например, заболевании, инвалидности, риске заболевания, медицинской истории, клиническом лечении или физиологическом или биомедицинском состоянии субъекта данных независимо от его источника, например, от врача или другого медицинского специалиста, больницы, медицинского устройства или ин витро диагностического теста."

(1)(3) Генетическая информация, как определено в законе о генетической информации, 5761–2000;
пункт "генетическая информация" является новым в отношении предыдущих определений. В законопроекте предлагается отсылать к определению Закона о генетической информации:
"Генетическая информация" - информация, полученная в результате генетического теста;
в статье 4(13)A GDPR термин относится к информации о генетических характеристиках, которые предоставляют уникальную информацию о физиологии или здоровье субъекта данных и которые возникают из анализа биологического образца: "Личные генетические данные" означают генетические данные физического лица, которые дают характеристики, касающиеся унаследованных или приобретенных генетических характеристик, и включают информацию, полученную в результате анализа биологического образца от соответствующего физического лица.
Пункт 34 речевой строфы: "(34) генетические данные должны определяться как персональные данные, полученные в результате анализа биологического образца от соответствующего физического лица, в частности, хромосомные, дезоксирибонуклеиновые кислоты (ДНК) или анализ другого элемента, который позволяет получить эквивалентную информацию." Другими словами, в GDPR предполагалось, что может быть оценка генетических характеристик даже из информации, не извлеченной из генетической пробы, подлежащей защите.

(2)(4) Информация о политических взглядах, религиозных убеждениях человека или его мировоззрении;
в настоящий момент закон определяет, что "взгляды и верования" человека являются чувствительной информацией. В законопроекте предлагается ограничить защиту до "политических взглядов." Что касается защиты религиозных убеждений человека, в обсуждениях Комитета было разъяснено, что намерение специалистов правительства заключается как в отношении религиозных убеждений, так и в отношении убеждений, которые составляют мировоззрение. Следует отметить, что GDPR относится к политическим взглядам, религиозным или философским убеждениям: religious or philosophical beliefs, political opinions.

(5) Оценка личности, проведенная специалистом или с помощью средства, предназначенного для проведения оценок личности.
В дискуссиях Комитета в Кнессете 24 созыва высказывались общественные затруднения, касающиеся анализа черт личности (со стороны специалистов – таких как командиры в армии, учителя и т.д.) и аналитики личности с использованием ИИ – в том числе для маркетинговых целей. В связи с этим предложена приведенная выше формулировка.

(3)(6) Информация о криминальном прошлом человека;

(4)(7) Данные о местоположении и данные о трафике, как определено в законе о порядке уголовного производства (полномочия по контролю – данные связи), 5768–2007, касающиеся человека; данные о трафике, как определено в законе о порядке уголовного производства (полномочия по контролю – данные связи), 5768-2007, относительно человека и данные о местоположении, которые могут указывать на информацию по статьям (1) до (6) или (8) до (9).

Вслед за обсуждением Комитета по этой теме и принимая во внимание решение Комитета, правительство предлагает альтернативный текст, который стремится вернуть защиту данных о местоположении в соответствии с законом о данных связи. По мнению правительства, это деликатный вопрос, уже присутствующий в законодательстве и в правительственном законопроекте, и сам по себе, по мнению правительства, не должен вызывать разногласий.

4

"Данные о местоположении и данных о трафике, как определено в законе о порядке уголовного производства (полномочия по контролю – данные связи), 5768-2007, о человеке, и данные о местоположении, которые могут указывать на информацию по статьям (1) до (6) или (8) до (9)".

(8) Биометрический идентификатор;
"Биометрический идентификатор – биометрический параметр, используемый для идентификации человека или проверки его личности, или биометрическое средство идентификации, из которого можно получить указанные данные; для этой цели "биометрический" – это уникальный человеческий, физиологический или поведенческий параметр, который может быть измерен с помощью компьютера".

Предложение определения основывается на определениях, предусмотренных в законе о включении биометрических средств идентификации и данных идентификации в удостоверяющие документы и в базу данных, 5770–2009:
"Данные о биометрической идентификации" – биометрические данные, полученные из биометрических средств идентификации, которые могут быть использованы для идентификации или проверки личности человека с помощью компьютера или частично автоматически;
"Биометрические средства идентификации" – "фотография лицевых черт и изображения двух отпечатков пальцев, из которых можно получить данные биометрической идентификации".

В статье 4(14) GDPR определяется "биометрическая информация":
‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow unique identification of that natural person, such as facial images or dactyloscopic data;

Личная информация, возникающая в результате специфической технической обработки и связанной с физическим, психологическим или поведенческим признаком человека, который позволяет или подтверждает уникальную идентификацию этого человека. Например, изображение лицевых черт или отпечатки пальцев.

В последнем обсуждении определение "биометрический идентификатор" было одобрено. Что касается пункта (8), Комитет попросил изменить его формулировку так, чтобы она не относилась к биометрическим средствам идентификации, которые не используются или не предназначены для использования в биометрической идентификации, с учетом больших баз данных.

Правительство стремится представить Комитету следующее предложение:
"Биометрический идентификатор, используемый или предназначенный для идентификации человека или проверки его личности с помощью компьютера."
Правительство отмечает в этом контексте, что, согласно пониманию специалистов правительства, биометрическая идентификация подразумевает по своей природе получение биометрических данных, так что предложенная формулировка относится к любым биометрическим данным, как и требовал Комитет. Кроме того, правительство уже сейчас указывает, что оно попросит Комитет установить в разделе о санкциях, относительно конкретных нарушений, касающихся, прежде всего, обеспечения безопасности данных, что размер санкции относительно больших баз данных биометрических средств идентификации (более 100 000 субъектов данных) должен быть равным тому, что применяется к базам данных с особой чувствительностью.

Общественный совет по защите личной информации предлагает альтернативный текст:

5

"Биометрические данные, используемые для идентификации человека или проверки его личности или биометрические средства идентификации, использованные для получения указанных данных, или которые предназначены для получения указанных данных."

(4)(9) Информация о происхождении человека или его национальной принадлежности;
это определение в настоящее время отсутствует в законе или в правилах обеспечения безопасности данных, а в GDPR содержится ограниченное определение происхождения: "расовое или этническое происхождение." Тем не менее, позиция специалистов правительства заключается в том, что опыт показывает, что дискриминация по национальному происхождению не редкость, и поэтому будет уместно также добавить упоминание о происхождении, но следует проверить, не является ли это определение слишком широким. Комитет в Кнессете 24 созыва еще не принял решение по этому вопросу.

(10) Информация о собственности человека, его долгах и финансовых обязательствах, его финансовом состоянии или его изменениях, его способности выполнять свои финансовые обязательства и уровне их выполнения; информация о собственности человека, его долгах или финансовых обязательствах, уровне исполнения и способности выполнять их, и которые могут свидетельствовать о его финансовом состоянии или о степени его значительного финансового изменения;
GDPR, закон в Великобритании, в Калифорнии и в Австралии не рассматривают информацию о финансовом состоянии человека как чувствительную информацию (или информацию, обработка которой запрещена, кроме как в особых случаях). В Австралии, например, Комиссия по правам человека решила, что информацию о финансовом состоянии человека не следует рассматривать как чувствительную. Это было вызвано несколькими причинами, в частности, тем, что финансовые данные требуются для выполнения рутинных операций и сделок, и классификация их как чувствительных затруднит их выполнение, и поскольку финансовые данные требуют высокого уровня безопасности, регулируемого и защищенного об обязательствах по кредитованию, даже без их определения как чувствительных (Австралийская комиссия по реформации законодательства, Чувствительная информация, 6 августа 2010 года). В Канаде имеется упоминание о "финансовых данных". Следует отметить, что в законе о защите личной информации в текущей редакции "финансовое состояние" человека определяется как чувствительная информация. С момента принятия закона о защите личной информации было установлено несколько строгих индивидуальных правил, касающихся определенных типов информации о финансовом состоянии человека, включая закон о кредитных данных, 5776-2016, и закон о финансовой информации, 5782-2021.
Предлагается рассмотреть добавление определения "актива". Предложенное определение вытекает из обсуждений с профессиональными кругами правительства - "Актив" – это недвижимость, движимое имущество или права".

(5)(11) Привычки потребления человека, которые могут дать информацию согласно пунктам (1) до (8) (1 (1), 2) или (4);
пункт 10, касающийся привычек потребления человека, призван защитить информацию в соответствии с пунктами (1) до (8), и сам по себе не является чувствительным. Предложена более сжатая формулировка. Следует отметить, что в правилах обеспечения безопасности данных имеется отсылка к привычкам потребления, которые могут свидетельствовать о "личности человека, его верованиях или мнениях".

(6)(12) Информация, по отношению к которой обязательна конфиденциальность в соответствии с законом;

(13) Дополнительная информация, которую министр юстиции установил в указе, с одобрением Комитета по конституции, праву и правосудию Кнессета;

Для обсуждения:

• Необходим ли действительно этот пункт информации, использовался ли он до сих пор? Уместно ли его добавление, пока основные поправки закона еще не представлены Комитету, и поскольку в любом случае ожидаются дополнительные корректировки закона в ближайшие годы?

6

• Если Комитет считает уместным добавить пункт – предлагается рассмотреть возможность сделать это в виде дополнения – так, чтобы все пункты, представляющие информацию с особой чувствительностью, отображались в самом законе.

"Владелец данных" и "Обладатель", в контексте базы данных", использование и обработка –
"Владелец базы данных"
Поправка статьи 7.3. (2) после определения "Защита данных" вставить:
""Владелец базы данных" – тот, кто устанавливает, самостоятельно или совместно с другими, цели обработки информации в базе данных, или орган, уполномоченный законом управлять базой данных, или у кого есть полномочия в этой области;";

Как упоминалось, в законопроекте (статья 1 предложения) предлагается заменить термин "Владелец базы данных" на термин "Владелец базы данных".
В статье 3 предлагается добавить новое определение владельца базы данных (в тексте текущего закона не имеется определения "Владельца базы данных", а указаны обязанности владельца базы данных относительно регистрации, защиты данных и прав субъектов данных, такие как предоставление права на просмотр).
Предложенное определение подчеркивает элемент контроля над целями обработки данных и ключевые аспекты, касающиеся способа обработки данных, сокращая при этом акцент, сделанный в текущей редакции на элементе собственности на базу данных. Это изменение соответствует аналогичному термину в европейских правилах о защите данных, контроллер, закрепленному в статье 4(7) GDPR:
"'Контроллер' - это физическое или юридическое лицо, публичный орган, агентство или другое учреждение, которое, самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; когда цели и средства такой обработки определяются законодательством Союза или государства-члена, контроллер или конкретные критерии его назначения могут быть предусмотрены законодательством Союза или государства-члена.".
В отличие от GDPR в предложенном определении нет требования контроля над средствами обработки данных. Это сделано для предотвращения ситуации, когда отсутствие контроля над средствами или дробление (включая намеренное и принудительное дробление) приведет к трудностям в определении владельца базы данных. Эта формулировка является своеобразной констатацией трудностей, выявленных в определении в GDPR, согласно которому владелец базы данных – это кто-то, кто имеет контроль над целями обработки, а также над средствами обработки (например, алгоритм, решение о пересечении с другой базой данных, использование искусственного интеллекта и др.).

Следует отметить, что в критике утверждается, что контроль над средствами обработки данных является решающим условием для определения владельца базы данных и что интерпретация GDPR не подразумевает, что владелец базы данных должен иметь фактический контроль над целями или средствами, но несет ответственность за них. Поэтому даже когда речь идет об организации, которая взаимодействует с поставщиком услуг для получения услуг по обработке данных, организация отвечает за средства обработки – и если они предлагаются в виде "пакетного предложения", take it or leave it – и средства обработки не подходят под требования, она должна избегать заключения договора – и не переносить ответственность на поставщика услуг.
"37. Существенные и несущественные средства: вопрос в том, где провести черту между решениями, которые оставлены для контроллера, и решениями, которые могут быть оставлены на усмотрение обработчика. Решения по целям обработки всегда явно оставлены контроллеру." (проведение различия между
контролем базы данных и владением EDPB-руководящие по этой теме)

7

"Обладатель", в контексте базы данных
"Поправка статьи 3.2. В статье 3 главного закона –
(1) вместо определения "обладатель, в контексте базы данных" вставить:

"Тот, кто постоянно имеет в своем распоряжении базу данных и имеет право использовать ее;"
""Обладатель," в контексте базы данных – это тот, кто заключил контракт с владельцем базы данных для предоставления ему услуг или для предоставления услуг от имени владельца, и получил от владельца базы данных, в рамках контракта, разрешение использовать информацию в базе данных для предоставления услуг;";

Согласно предложенному определению, обладатель характеризуется двумя условиями:
(1) Заключение контракта с владельцем базы данных –
а. для предоставления услуг владельцу или
б. для предоставления услуг от имени владельца;
(2) Получение разрешения на использование информации в базе данных + рамки контракта + для предоставления услуг.

Новое определение уточняет существующее различие между "владельцем базы данных", "обладателем" и "разрешенным доступом к базе данных". Также уточняется, что обладание не обязательно должно быть физическим и что путь агрегирования информации не имеет значения для применения норм закона.

Таким образом, предлагаются три типа должностных лиц: владелец данных, обладатель и уполномоченный на доступ к базе данных:
Владелец базы данных
(предложение закона о защите личной информации)
Обладатель
(предложение закона о защите личной информации)
Уполномоченный на доступ к базе данных
(правила о защите личной информации (защита данных))
"Владелец базы данных" –
кто устанавливает, самостоятельно или совместно с другими, цели обработки информации в базе данных
или орган, уполномоченный законом управлять базой данных, или у кого есть полномочия в этой области;

Например: Исследователь, получивший разрешение на доступ к медицинским данным для личного использования; Лицо, которое получает долю от базы данных (например, партия).
"Обладатель," в контексте базы данных – это тот, кто заключил контракт с владельцем базы данных для предоставления услуг владельцу или для предоставления услуг от имени владельца, и получил от владельца базы данных, в рамках контракта, разрешение на использование информации в базе данных для предоставления услуг;

Например: Подрядчик, выполняющий исследования для корпорации или компании, выпускающей платежные ведомости для государственного министерства.
"Уполномоченный" – это индивидуум, который имеет доступ к одному из следующих на основании разрешения владельца базы данных или обладателя:
(1) Информация из базы данных;
(2) Системы базы данных;
(3) Информация или элемент, необходимые для эксплуатации базы данных или для доступа к ней.
Несмотря на вышеизложенное, обладатель, который не является индивидуумом, или индивидуум, который получил доступ на основании разрешения обладателя, не считается уполномоченным владельцем базы данных;

8

С базы данных избирателей) – он является "владельцем базы данных" в производной, которую получал для собственного использования.
Например: Курьер "Wolt", имеющий доступ к адресам или работник, который получил разрешение на доступ к информации из базы данных.

В общем, можно сказать, что многие из обязанностей и санкций, возложенных на "владельца базы данных" в отношении обеспечения безопасности данных, накладываются одновременно и аналогично на обладателя. Следует отметить, что в GDPR нет режима "баз данных", и поэтому определение "обладателя" не имеет значения. В GDPR используется определение обработчика, которое переводится как "обработчик" (статья 4(8):)
который означает физическое или юридическое лицо, публичный орган, агентство или другое учреждение, которое обрабатывает персональные данные от имени контроллера;

Для обсуждения:
Какова польза от предложенного определения "обладатель" по сравнению с "обработчиком" (в GDPR)? Разве это не создает путаницу с физическим обладанием? Следует отметить, что термин "обладатель" в настоящее время встречается в законе 24 раза, из которых 6 относится к значению глагола "обладать", и 5 к существительному, но в значении, отличном от общего смысла термина "обладатель", согласно определению. Не создает ли определение "обладатель" (существительное) и глагол "обладать" или "обладает" сложности в интерпретации? Не было ли бы правильнее использовать термин "обработчик"?
Сравните, например, статью 13а закона:
"Без ущерба для положений статьи 13 –
(1) Владелец базы данных, который хранит ее у другого лица (в этой статье – "обладатель"), должен обратиться к запрашивающему, указав его адрес, и письменно указать обладателю разрешение предоставить запрос на просмотр;
(2) Если запрашивающий сначала обратился к обладателю, он должен уведомить его, если он хранит информацию о нем, а также имя владельца базы данных и его адрес."

"Обработка" и "использование"

(3)

В определении "использование", после "включая" добавить "Хранение".
Использование – включая хранение, раскрытие, передачу и предоставление.

""Обработка" – сбор или использование [использование=хранение, раскрытие, передача и предоставление].

Прежде всего, напомним, что определение "использование" расположено в статье 3, и, следовательно, касается всего закона, включая часть о нарушении частной жизни, в то время как новое определение, обработки, актуально только для глав, относящихся к базам данных.

В новом предложенном определении "использование" четко объясняется, что даже хранение данных в базе данных без их извлечения и без дополнительных действий будет считаться использованием данных (в дополнение к раскрытию, передаче и предоставлению). Это дополнение отражает опасения насчет высокой способности обработки данных в настоящее время и потенциального раскрытия информации, исходя только из ее хранения. Следует отметить, что это не закрытый список действий, входящих в определение "использование", и что такие действия, как обладание, просмотр, организацию, исправление, дополнение, извлечение и удаление также входят в определение.

9

Добавление определения "обработки" –
Сложение предложений "использования" и "обработки" фактически создает три категории:
(1) Только сбор;
(2) Использование (включая, среди прочего, хранение, раскрытие, передачу и предоставление);
(3) Обработка, которая относится как к определению "сбор", так и к определению "использование", и соответствует определению в статье 4(2) GDPR относительно термина "Обработка" в GDPR.
Для обсуждения:
(1) Действительно ли требуется выражение "использование" помимо термина "обработка", или достаточно одного "обработки", как в GDPR? Когда именно требуется иное выражение "использование"? Не приводит ли присутствие термина "использование" в его естественном значении к путанице? Например, в статье 32 закона, касающейся недопустимого материала в качестве доказательства, закон использует термин использование в его повседневном значении – "материал, полученный в результате вмешательства в частную жизнь, будет недопустимым в качестве доказательства в суде без согласия потерпевшего, если только суд не разрешит по причинам, которые будут записаны, использовать материал или если у нарушителя, который является стороной процесса, есть защита или освобождение по этому закону."

(2) Предполагает ли определение "обладатель, в отношении базы данных", что имеется в виду именно использование, в отличие от обработки – то есть освобождает ли сбор без хранения обладателя от определения как такового? Может ли быть сбор без хранения?

"Комитет" – Комитет по конституции, праву и правосудию Кнессета
Комитет по конституции Кнессета является комитетом, который одобряет правила и указания в соответствии с законом. Тем не менее, определения Комитета нет, и поэтому необходимо каждый раз, когда упоминается Комитет, повторять полное выражение "Комитет по конституции, праву и правосудию Кнессета."
Чтобы облегчить чтение и написание закона, предлагается установить сокращение.