Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Справочный материал

К: Члены Комитета по Конституции, Закону и Судебной Власти
От: Юридическая служба Комитета

Документ подготовлен юридической службой Комитета – для обсуждения № 9 (вторая часть) по законопроекту о защите частной жизни (Поправка № 14), 5783–2023 :) Статьи 11, 17б и предварительное заключение

17б. Ответственный за безопасность

В продолжение уменьшения обязательства регистрации предлагается переработанный текст статьи 17б(1 :)

"17б.
(а) Указанные ниже организации обязаны назначить человека с соответствующей квалификацией, который будет ответственным за безопасность информации (далее – ответственный):

(1) Держатель или контролер базы данных, обрабатывающий информацию с особой чувствительностью из базы данных, в которой число владельцев доступа превышает 100/ или обрабатывающий информацию с особой чувствительностью о 200,000 субъектов информации или более, владеющий пятью базами данных, подлежащими регистрации согласно статье 8;

(2) Общественное учреждение в смысле статьи 23;

(3) Банк, страховая компания, организация, занимающаяся кредитным рейтингом или оценкой.

[В качестве занятия]

(4) Держатель, предоставляющий услуги -X

владельцам контроля или более.
(б) Не умаляя положений статьи 17, ответственный будет нести ответственность за безопасность информации в базах данных, хранящихся под контролем указанных в подпункте (а) организаций.

(в) Не будет назначен в качестве ответственного тот, кто был осужден за преступление, имеющее позорный характер, или за нарушение положений этого закона.
(г) Ответственный за безопасность информации, который не является работником организации, будет назначен по письменному соглашению."

Для обсуждения:

1. Учитывая сегодняшние риски безопасности, когда даже небольшие организации могут обрабатывать большие объемы очень чувствительной информации и подвергаться значительным киберугрозам, не будет ли правильным наложить обязательство назначения ответственного за безопасность информации также на владельцев баз данных, которые не приближаются к уровню банков и т.д., как это требуется сегодня?
2. Если принять первый принцип – разве банки и страховые компании не относятся сами по себе к организациям, у которых есть информация о 200K субъектов информации?
3. Не было бы правильно ограничить рейтинг или оценку кредита лишь теми, что осуществляется в качестве занятия (то есть не для самооценки)?
4. Обязанны ли также организации, получающие информацию на основании указа о защите частной жизни – в отношении конкретного лица или лиц – иметь ответственного за безопасность информации?
5. Не было бы целесообразно уточнить, что ответственный может быть сторонним лицом (путем найма услуг по обеспечению безопасности информации) – для того, чтобы гарантировать, что ответственный за безопасность действительно будет профессионалом даже в небольших организациях, не нагружая организацию?
6. Возможно ли определить обязательство держателя о наличии ответственного по числу владельцев контроля над информацией? Или же – на основании финансового оборота/числа уполномоченных на доступ? То есть – на основании объективной информации, известной владельцу базы данных.

11. Обязанности запрашивающего информацию

На обсуждении № 6 законопроекта поднимался вопрос, достаточно ли положений статьи 11, обязывающей запрашивающего получить личную информацию, предоставить запрашиваемому информацию, как указано в статье. Текст, который был представлен Комитету, был следующим:
11. Обязанности запрашивающего информацию информировать
(а) Запрос к лицу для получения личной информации с целью ее обработки, хранения или использования в базе данных должен сопровождаться уведомлением, в котором указываются:
(1) Если у этого человека есть юридическая обязанность предоставить информацию, или предоставление информации зависит от его желания и согласия и каковы последствия отказа;
(2) Цель, для которой запрашивается информация;
(2а) Имя владельца базы данных и способы связи с ним;
(3) Кому будет передана информация и цели ее передачи.
(4) Наличие права на ознакомление с информацией по статье 13 Закона и права на запрос исправления информации по статье 14 Закона.
(б) Несмотря на изложенное в подпункте (а), если личная информация не была собрана непосредственно от субъекта информации – владелец базы данных или хранитель информации должен направить уведомление, как указано в подпункте (а), в течение 30 дней, если только предоставление уведомления как требовалось было невозможно или потребовало необоснованных усилий, или если обработка велась для архивирования, если это имеет общественный интерес, или для научных, исторических или статистических целей.
Переходное положение: Положение данной статьи будет применимо только к обработке информации, полученной, собранной или накопленной после вступления в силу этого Закона.

В ходе обсуждения возникла проблема, и часть информации не обязательно поступает в результате запроса, а часть из интернет-сканирования. Учитывая вышесказанное, предлагается другой текст для обсуждения:
11. Обязанности запрашивающего информацию информировать
(а) Запрос к лицу для получения личной информации с целью ее обработки, хранения или использования в базе данных должен сопровождаться уведомлением, в котором указываются:
(1) Если у этого человека есть юридическая обязанность предоставить информацию, или предоставление информации зависит от его желания и согласия и каковы последствия отказа;
(2) Цель, для которой запрашивается информация;
(2а) Имя владельца базы данных и способы связи с ним;
(3) Кому будет передана информация и цели ее передачи.
(4) Наличие права на ознакомление с информацией по статье 13 Закона и права на запрос исправления информации по статье 14 Закона.
(б) Несмотря на изложенное в подпункте (а), если личная информация не была собрана от субъекта информации, владелец базы данных или хранитель информации должен направить уведомление, как указано в подпункте (а), в течение 30 дней, если только одно из следующих условий выполняется:
(1) У владельца информации есть основание полагать, что у субъекта информации уже есть все данные, указанные в подпункте (а);
(2) Предоставление уведомления как требовалось было невозможно или потребовало необоснованных усилий с учетом целей обработки и типа обрабатываемой информации;
(3) Обработка велась для архивирования, если это имеет общественный интерес, или для научных, исторических или статистических целей, а данные по статье (а) представлены сразу;

(4) Существует обязанность конфиденциальности по закону или запрет на раскрытие информации, или выполняется исключение по статье 31(е) в отношении предоставления права на доступ [Обеспечение государственной безопасности]/ выполнение обязанности информирования может подорвать журналистскую деятельность или раскрыть источник информации журналистской деятельности.
(г) Информация, указанная в подпунктах (а) или (б), должна быть представлена четко, кратко и выделенно, и если информация адресована определенной группе – также в форме, подходящей для того, кому она адресована.

"13. Право на ознакомление с информацией
(а) Каждый человек имеет право ознакомиться лично или через своего представителя, который уполномочен письменно, или через своего опекуна, с информацией, хранящейся в базе данных.
(б) Владелец базы данных должен предоставить доступ к информации по запросу лица, как указано в подпункте (а) (далее – запрашивающий), на иврите, арабском или английском языках.
(в) Владелец базы данных может не предоставить запрашивающему информацию, относящуюся к его медицинскому или психическому состоянию, если он считает, что информация может нанести серьезный вред его физическому или психическому здоровью или угрожать его жизни; в этом случае владелец базы данных передаст информацию врачу или психологу, назначенному запрашивающим.
(г1) Положения данной статьи не обязывают передавать информацию вопреки защищенности, установленной по закону, если только запрашивающий не является тем, в чью пользу эта защищенность предназначена. В данном подпункте "закон" – включает в себя прецеденты.
(д) Способы, условия и оплата реализации права на ознакомление с информацией будут определены правилами.
(е) Положения данной статьи и статьи 13а не будут применяться –
(1) к базе данных, принадлежащей органу безопасности в смысле статьи 19(г);
(1а) к базе данных Службы тюрем;
(2) к базе данных органов налоговой службы в смысле Закона о внесении изменений в налоговое законодательство (обмен информацией между налоговыми органами), 5727-1967;
(3) когда безопасность государства, ее внешние отношения или обязательные законодательные положения запрещают раскрытие информации, относящейся к нему.
(4) к базе данных органов, в отношении которых министр юстиции по согласованию с министром обороны или министром иностранных дел, в зависимости от дела, и с одобрения Комитета по иностранным делам и безопасности Кнессета, определил, что она содержит информацию, раскрытие которой отбрасывает безопасность государства или ее внешние отношения
(далее – секретная информация), при условии, что лицо, запрашивающее доступ к информации, хранящейся в этой базе данных, будет иметь право на ознакомление с информацией, которая не является секретной информацией.
(5) к базе данных о расследованиях и правоприменении уполномоченного органа, компетентного расследовать уголовные дела и определенного министром юстиции по указу, с одобрением Комитета по Конституции, Закону и Судебной Власти Кнессета.
(6) к базе данных, созданной согласно статье 28 Закона о запрете отмывания денежных средств, 5760-2000."

Сравните:

Правила обращения:
Обязанность информировать 6.
(а) Владелец базы данных, получивший информацию о человеке, должен уведомить его, непосредственно или косвенно через орган, от которого была передана информация из Европейской экономической зоны, в возможной близи после получения информации и не позднее чем через месяц с момента получения информации, о всех следующих пунктах:
(1) Личность владельца базы данных и управление базой, их адреса и способы связи с ними;
(2) Цель передачи информации;
(3) Вид переданной информации;
(4) Наличие права на удаление информации согласно Правилу 2, право на ознакомление с информацией согласно статье 13 Закона и право запрашивать исправление информации согласно статье 14 Закона.

(б) Если владелец базы данных просит передать полученные данные третьему лицу, он должен уведомить непосредственно или косвенно через орган, от которого была передана информация из Европейской экономической зоны, субъект информации как можно раньше и не позднее, чем при передаче информации, о всех следующих пунктах:

(1) Личность и данные для связи третьей стороны или вид третьих лиц, которым будет передана информация;
(2) Цель передачи информации;
(3) Вид информации, которая будет передана;
(4) Наличие права на удаление информации согласно Правилу 3, право на ознакомление с информацией согласно статье 13 Закона и право запрашивать исправление информации согласно статье 14 Закона.

(г) Обязанности уведомления согласно подпункту (а) или (б) не будут применяться, если выполняется одно из следующих условий, и в объеме, необходимом и уместном с учетом обстоятельств дела:
(1) У владельца базы данных есть основание полагать, что сведения, содержащиеся в подпункте (а) или (б), известны субъекту информации;
(2) Контактные данные субъекта информации неизвестны владельцу базы данных или выполнение обязательства уведомления влечет за собой неприемлемое бремя для владельца базы данных и все это с учетом возможности обратиться к органу, от которого была передана информация;
(3) Существует обязанность конфиденциальности по закону или запрет по закону на раскрытие информации;
(4) Существует законодательное положение, регламентирующее раскрытие показателей информации, указанных в подпункте (а) или (б);
(5) Выполнение обязательства уведомления может угрожать безопасности или жизни человека;
(6) Выполнение обязательства уведомления может подорвать журналистскую деятельность или раскрыть источник информации журналистской деятельности;
(7) Выполнение обязательства уведомления может причинить более серьезный ущерб правам лица, чем повреждение, обусловленное несообщением показателей информации по подпункту (а) или (б) о предмете информации.

Статьи 13 и 14 GDPR:
Статья 13 GDPR Информация, которую следует предоставить, когда персональные данные собираются у субъекта данных:

1. Когда личные данные, относящиеся к субъекту данных, собираются у субъекта данных, контролер должен в момент получения личных данных предоставить субъекту данных всю следующую информацию:
   (а) Личность и контактные данные контролера и, при необходимости, представителя контролера;
   (б) Контактные данные должностного лица по защите данных, при необходимости;
   (в) Цели обработки, для которых предназначены персональные данные, а также правовую основу для обработки;

(г) Когда обработка основана на пункте (f) статьи 6(1), законные интересы, преследуемые контролером или третьей стороной;
(д) Получатели или категории получателей персональных данных, если таковые имеются;
(е) При необходимости факт, что контролер намерен передать персональные данные третьей стране или международной организации и наличие или отсутствие решения о достаточности Комиссии или в случаях, указанных в статьях 46 или 47, или во втором подпункте статьи 49(1), ссылка на соответствующие или подходящие меры защиты и способы получения их копии или то, где они были доступны.
2. Кроме информации, указанной в абзаце 1, контролер должен в момент получения персональных данных предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения честной и прозрачной обработки:
(а) Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода;
(б) Наличие права запросить у контролера доступ к и исправление или стирание персональных данных или ограничение обработки в отношении субъекта данных, а также право на переносимость данных;
(в) Когда обработка основана на пункте (a) статьи 6(1) или пункте (a) статьи 9(2), наличие права отозвать согласие в любое время, без ущерба для законности обработки, основанной на согласии, до его отзыва;
(г) Право подать жалобу в надзорный орган;
(д) Является ли предоставление персональных данных обязательным или юридическим требованием, или требованием, необходимым для заключения контракта, а также обязан ли субъект данных предоставить персональные данные и возможные последствия за их непредоставление;
(е) Наличие автоматического принятия решений, включая профилирование, упомянутое в статье 22(1) и (4) и, по крайней мере в этих случаях, значимую информацию о логике, вовлеченной в это, а также значения и предполагаемые последствия такой обработки для субъекта данных.
3. Когда контролер намерен далее обрабатывать персональные данные для цели, отличной от той, для которой были собраны персональные данные, контролер должен предоставить субъекту данных перед этой дальнейшей обработкой информацию о другой цели и любую соответствующую дополнительную информацию, указанную в абзаце 2.
4. Пункты 1, 2 и 3 не применяются там, где и в такой мере, в какой субъект данных уже располагает информацией.

Статья 14 GDPR Информация, которую следует предоставить, когда персональные данные не были получены от субъекта данных

1. Когда персональные данные не были получены от субъекта данных, контролер должен предоставить субъекту данных следующую информацию:

2. Личность и контактные данные контролера и, при необходимости, представителя контролера;

3. Контактные данные должностного лица по защите данных, при необходимости;

4. Цели обработки, для которых предназначены персональные данные, а также правовая основа для обработки;

5. Категории затрагиваемых персональных данных;

6. Получатели или категории получателей персональных данных, если таковые имеются;

7. При необходимости, что контролер намерен передать персональные данные получателю в третьей стране или международной организации и наличие или отсутствие решения о достаточности Комиссии, или в случаях, указанных в статьях 46 или 47, или во втором подпункте статьи 49(1), ссылка на соответствующие или подходящие меры защиты и способы получения их копии или места, где они были доступны.

8. В дополнение к информации, упомянутой в абзаце 1, контролер должен предоставить субъекту данных следующую информацию, необходимую для обеспечения честной и прозрачной обработки в отношении субъекта данных:

9. Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода;

10. Когда обработка основана на пункте (f) статьи 6(1), законные интересы, преследуемые контролером или третьей стороной;

11. Наличие права запросить у контролера доступ к и исправление или стирание персональных данных или ограничение обработки в отношении субъекта данных и возражать против обработки, а также право на переносимость данных;

12. Когда обработка основана на пункте (a) статьи 6(1) или пункте (a) статьи 9(2), наличие права отозвать согласие в любое время, без ущерба для законности обработки, основанной на согласии, до его отзыва;

13. Право подать жалобу в надзорный орган;

14. Из какого источника происходят персональные данные и, при необходимости, поступили ли они из общедоступных источников;

15. Наличие автоматического принятия решений, включая профилирование, упомянутое в статье 22(1) и (4) и, как минимум в этих случаях, значимую информацию о логике, вовлеченной в это, а также значения и предполагаемые последствия такой обработки для субъекта данных.

16. Контролер должен предоставить информацию, указанную в пунктах 1 и 2:

17. В разумный срок после получения персональных данных, но не позднее чем через месяц, с учетом специфических обстоятельств, в которых персональные данные обрабатываются;

18. Если персональные данные должны использоваться для общения с субъектом данных, не позднее момента первого общения с этим субъектом данных; или

19. Если предусмотрен раскрытие другому получателю, не позднее момента, когда персональные данные впервые раскрываются.

20. Когда контролер намерен далее обрабатывать персональные данные для цели, отличной от той, для которой были получены персональные данные, контролер должен предоставить субъекту данных перед этой дальнейшей обработкой информацию о другой цели и любую соответствующую дополнительную информацию, указанную в абзаце 2.

21. Пункты 1-4 не применяются, где и в той мере, в которой:

22. Субъект данных уже располагает информацией;

23. Предоставление такой информации оказывается невозможным или потребует непропорциональных усилий, в частности, для обработки в архивных целях с общественным интересом, научных или исторических целей или для статистических целей, при условии выполнения условий и мер безопасности, упомянутых в статье 89(1) или постольку, поскольку требование, упомянутое в пункте 1 данной статьи, вероятно, сделает невозможным или серьезно помешает достижению целей этой обработки. В таких случаях контролер должен предпринять соответствующие меры для защиты прав и свобод субъектов данных и законных интересов, включая обнародование информации;

24. Получение или раскрытие прямо предусмотрено законодательством Союза или государства-члена, к которому контролер подчиняется и которое обеспечивает соблюдение соответствующих мер для защиты законных интересов субъектов данных;

25. Когда персональные данные должны оставаться конфиденциальными в соответствии с обязательством профессиональной тайны, регулируемым законодательством Союза или государства-члена, включая обязательство о тайне.

Предварительное мнение

На обсуждении № 6 законопроекта Комитет предложил рассмотреть решение проблем с интерпретацией и пониманием закона, особенно с учетом предстоящих изменений в положениях по принуждению закона. В результате обсуждения правительство представило предложение о добровольной регистрации, однако это предложение было отклонено и был запрошен подходящий текст для предварительного мнения.
Существует ряд законодательных положений, касающихся предварительных мнений. Начиная с обязывательной ответственности органа предоставлять предварительное мнение (Закон о лицензировании бизнеса, Закон о судьях, Закон о кади и Закон о судьях) и заканчивая предоставлением полномочий органу давать предварительное мнение без обязательства, в соответствии с установленным регламентом.
Предложенный текст предварительного мнения в соответствии с указанием Комитета:
(а)

Орган по защите частной жизни предоставит, в течение
X
дней, по запросу владельца базы данных, предварительное мнение о вопросе интерпретации закона и правил, касающихся соблюдения базы данных, находящейся под контролем владельца, или обработки, которую он проводит в базе данных, согласно закону и связанным с ним правилами, в отношении которых орган по защите частной жизни осуществляет принуждение.

(б)

К запросу предварительного мнения прилагаются следующие документы:

(1) Личность запрашивающего и контактные данные;

(2) Четкое и точное определение вопроса, по которому запрашивается мнение органа;

(3) Полное описание всех фактов, касающихся дела, с приложением поддерживающих документов;

(4) Согласие запрашивающего на раскрытие данных его запроса третьей стороне для подготовки предварительного мнения;

(г)

За запрос предварительного мнения взимается сбор, как будет определено правилами, с одобрением Комитета по Конституции, закону и судебной власти / в размере 400 шекелей; сбор подлежит уплате органу по защите частной жизни.

(д)

Орган не должен предоставлять предварительное мнение по следующим вопросам:

(1) Запрос, касающийся теоретических, академических вопросов или дел, уже сделанных;
(2) Запрос, связанный с недостаточной честностью;
(3) Запрос, касающийся проводимых или предстоящих процессов принуждения.
Текст правительства для предварительного мнения:
(а) Орган может, по запросу запрашивающего или по собственной инициативе, дать предварительное мнение о интерпретации закона или его положений, если сочтет это необходимым с учетом прецедента, значимости, объема применения, последствий или наличия неясности по вопросу, касающемуся предварительного мнения.
(б) Запрос на получение предварительного мнения по подпункту (а) должен включать все факты, необходимые для подготовки предварительного мнения, с приложением соответствующих документов, и основания для необходимости предоставления предварительного мнения.
(г) Если орган решит предоставить предварительное мнение, оно будет предоставлено в течение 60 дней с момента предоставления соответствующих документов; Руководитель органа может продлить срок по особым причинам, которые будут зафиксированы.
(д) Орган вправе опубликовать предварительное мнение с согласия запрашивающего; если запрашивающий не согласен с публикацией предварительного мнения, орган может опубликовать его без данных о запрашивающем.

(е) Руководитель органа может установить правила относительно порядка подачи запроса на предварительное мнение и случаев, в которых не будет выдано мнение.
Смотрите также дополнительные примеры в законодательстве по типам предварительных мнений:
Закон о лицензировании бизнеса, 5728-1968
6г. Предварительное мнение
(а) Лицензирующий орган или выдающий разрешение должен предоставить, по запросу запрашивающего, предварительное мнение о соответствии предлагаемого бизнеса требованиям закона и правил, находящимся в ведении лицензирующего органа или выдающего разрешение, а также о предварительных условиях, которые должны быть выполнены до того, как будет выдано разрешение, лицензия или временный митинг для предлагаемого бизнеса.
(б) (1) К запросу предварительного мнения прилагаются документы, указанные в статье 6б; однако лицензирующий орган или выдающий разрешение могут освобождать запрашивающего от предоставления документа согласно статье 6б, если он не требуется для предоставления предварительного мнения;
(2) Лицензирующий орган или выдающий разрешение могут требовать дополнительные документы, необходимые для предоставления предварительного мнения.

Правила лицензирования бизнеса (общие положения), 5760-2000
36. Сбор за предварительное мнение
(а) За запрос предварительного мнения взимается сбор в размере 320 новых шекелей.
(б) Сбор, как указано, подлежит уплате лицензирующему органу или казне государства, в зависимости от дела, как указано в статье 31(а) закона.

Закон о судебной власти [объединенная редакция], 5744-1984
Этический комитет
16б(а) Президент Верховного суда, после консультации с министром юстиции, назначает Этический комитет из трех членов, состоящих из: судьи Верховного суда, который будет председателем, и двух судей других судов.
(б) Этический комитет должен предоставить предварительное мнение по этическим вопросам судей по запросу судьи или регистратора, на которого распространяются правила этики для судей, установленные в соответствии с пунктом 16а, – по вопросу, касающемуся его.
(г) Член Этического комитета назначается на один срок шесть лет.
(д) Этический комитет должен опубликовать предварительное мнение, которое он дал, без указания姓名 того лица, по которому выдано мнение и других определяющих данных, если только не принято иное решение.
(е) Этический комитет устанавливает порядок своей работы и правила ведения заседаний, за исключением случаев, когда это не установлено данным законом.

Правила этики для судей
Этический комитет
19) а. Президент Верховного раввинского суда, после консультации с министром, назначает Этический комитет из трех членов, состоящих из: судьи Верховного раввинского суда, который будет председателем, и двух судей окружного раввинского суда.
(б) Этический комитет предоставляет предварительное мнение по этическим вопросам судей по запросу судьи, к которому применяются правила этики для судей, установленные в соответствии с пунктом 19б, – по вопросу, касающемуся его.
(г) Член Этического комитета назначается на один срок шесть лет.
(д) Этический комитет должен опубликовать предварительное мнение, которое он дал, без указания姓名 того лица, по которому выдано мнение и других определяющих данных, если только не принято иное решение.
(е) Этический комитет устанавливает порядок своей работы и правила ведения заседаний, за исключением случаев, когда это не установлено данным законом.

Закон о экономической конкуренции, 5748-1988
43а. Предварительные мнения
Ответственный может предоставлять предварительные мнения, а также устанавливать и публиковать порядок предоставления таких мнений; положения этой статьи не ограничивают усмотрение ответственного по вопросу о предоставлении предварительного мнения, и в связи с этим ответственный имеет право учитывать также обстоятельства дела и приоритеты в деятельности органа.

Закон о поощрении конкуренции в сельском хозяйстве, 5774-2014

13. Предварительные мнения
    Положения статьи 43а Закона о экономической конкуренции будут применяться, с необходимыми изменениями, к данной главе.

Закон о порядке адвокатов, 5721-1961
Предварительное мнение
60
а. (а) Национальный этический комитет вправе предоставлять предварительное мнение по вопросам дисциплины адвокатов и стажеров.

(б) Областной этический комитет вправе предоставлять предварительное мнение по вопросам дисциплины адвокатов по запросу адвоката, зарегистрированного в данной области, по вопросу, касающемуся его.

(г) Предварительное мнение национального этического комитета будет обязательным для всех областных этических комитетов.