Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Подготовительный документ юридического консультирования Комиссии — к обсуждению № 6 Законопроекта о защите частной жизни (поправка № 14), 5783–2023

9 швата 5784 (19 января 2024)

Адресат: Члены Комиссии по конституции, праву и правосудию Отправитель: Юридическое консультирование комиссии

Часть 1 — статьи 8–12 и 16–17а

Резюме предыдущего обсуждения (10.01.24)

В определении «информация повышенной чувствительности» утверждены пункты:

• (6) «информация о криминальном прошлом лица»;
• (10) «информация о заработной плате и финансовой деятельности лица». Удалён пункт (11) «потребительские привычки...»

Пункт (13) возвращён в обстоятельствах обработки информации в уникальных условиях за пределами Израиля: «иная дополнительная информация, определённая Министром юстиции, при условии, что это информация из базы данных в Израиле, переданная из-за рубежа, и в месте передачи применяются специальные правовые нормы к информации такого типа».

Открытые вопросы

Остались открытыми пункты (5) и (7):

(5) Оценка личности, проведённая профессиональным субъектом или с помощью инструмента, предназначенного для оценки существенных личностных характеристик, включая черты характера, когнитивные способности и трудоспособность;

(7) Данные о местоположении и трафике согласно определению в Законе об уголовном судопроизводстве (полномочия по контролю — данные связи), 5768–2007, а также данные о местоположении лица, которые могут указывать на информацию по пунктам (1)–(6) или (8)–(9) — на рассмотрении.

Утверждённые определения

• Контролёр базы данных — лицо, определяющее, самостоятельно или совместно с другими, цели обработки информации в базе данных, либо орган, уполномоченный законом на управление или обработку информации в базе данных.
• Обработчик (в отношении базы данных) — внешний субъект контролёра, обрабатывающий информацию от его имени.
• Обработка, использование — обработка — любое действие, выполняемое с персональной информацией, включая получение, сбор, хранение, копирование, использование, ознакомление, раскрытие, передачу, предоставление или предоставление доступа.

Статья 8. Управление базой данных, законная обработка и уведомление о базе данных

Подпункт (а1) — Правительственная редакция:

(1) Контролёр базы данных не будет обрабатывать информацию в базе данных, если содержащаяся в ней персональная информация была создана, получена, накоплена или собрана в нарушение настоящего Закона или иного закона, регулирующего обработку информации.

(2) Если информация передана третьим лицом и контролёр не знал и не должен был знать, что передающий действовал в нарушение закона, контролёр не несёт ответственности за обработку, осуществлённую до момента, когда он узнал или должен был узнать об этом.

(3) Если нарушение закона является незначительным в обстоятельствах дела и информация была передана в соответствии с подпунктом (2), подпункт (1) не применяется даже после того, как контролёр узнал или должен был узнать.

Подпункт (а2):

Лицо не будет обрабатывать персональную информацию, включая сведения о частных делах лица, из базы данных без разрешения контролёра базы данных или с превышением такого разрешения.

Подпункт (б):

Лицо не будет использовать информацию из базы данных, подлежащей регистрации, иначе как для целей, для которых база была создана.

Подпункт (г) — Обязанность регистрации:

Контролёр не будет обрабатывать персональную информацию в базе данных, если база является одной из следующих, без предварительной регистрации:

1. Основная цель базы — сбор персональной информации для передачи третьим лицам в ходе профессиональной деятельности или за вознаграждение, и в базе более 10 000 субъектов данных;
2. Контролёр является государственным органом.

Подпункт (г1) — Обязанность уведомления:

Контролёр базы данных, содержащей информацию повышенной чувствительности о 100 000 и более лицах и не подлежащей обязательной регистрации, обязан уведомить главу Управления об идентичности контролёра и его контактных данных.

Статья 10. Полномочия главы Управления (по регистрации базы данных)

(а)(1) При подаче заявки на регистрацию базы данных глава Управления зарегистрирует её в реестре в течение 90 (30/60) дней с момента подачи, за исключением случаев, когда есть обоснованные основания полагать, что база используется или может использоваться для незаконной деятельности.

(б1) Если глава Управления не зарегистрировал базу в течение 90 дней и не уведомил об отказе или приостановлении — заявитель вправе управлять базой без регистрации.

(б2) Если глава Управления уведомил об отказе в регистрации или о приостановлении, заявитель не вправе обрабатывать персональную информацию в базе, если суд не решит иначе.

Статья 11. Обязанность запрашивающего информацию

(а) Контролёр базы данных, обрабатывающий персональную информацию, обязан уведомить субъекта данных:

1. Обязан ли субъект по закону предоставить информацию или предоставление добровольно, и каковы последствия отказа;
2. Цель, для которой запрашивается информация;
3. Имя контролёра и контактные данные;
4. Кому будет передана информация и цели передачи;
5. О праве доступа к информации и праве на исправление.

(б) Если персональная информация не собрана непосредственно у субъекта данных — контролёр обязан направить уведомление в течение 30 дней, за исключением случаев, когда это невозможно или требует несоразмерных усилий, и обработка осуществляется в целях архивирования, представляющего общественный интерес, или в научных, исторических или статистических целях.

Переходное положение: Данная статья не применяется к обработке информации, полученной до вступления настоящего Закона в силу.

Отмечается, что обязанность уведомления в предложенной редакции ограничена только случаем обращения за получением персональной информации и поэтому не соответствует современным технологиям сбора данных. Также она не соответствует международному праву, в частности статьям 13 и 14 Общего регламента защиты данных ЕС (GDPR).

Статья 17. Ответственность за защиту информации

(а) Контролёр, обработчик или управляющий базой данных — каждый из них несёт ответственность за защиту информации в базе данных.

(б) Министр, с согласия Премьер-министра, вправе установить постановления в отношении ответственности за защиту информации.

Статья 17а. Обработчик баз данных различных контролёров

(а) Обработчик баз данных различных контролёров обеспечит, чтобы доступ к каждой базе был предоставлен только лицам, явно уполномоченным на это в письменном соглашении между ним и контролёром.

Статья 17б. Ответственный за защиту данных

Следующие субъекты обязаны назначить ответственного за защиту данных:

1. Обработчик пяти и более баз данных, подлежащих регистрации;
2. Государственный орган;
3. Банк, страховая компания, компания кредитного рейтинга.