Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024
Справочный материал
Переведено: 2026-03-13 · 2 107 слов · Перевод выполнен ИИ
Обязанность назначения ответственного за защиту конфиденциальности в организации
DPI GROUP — DATA PROTECTION INSTITUTE LTD
Израильский центр исследования информации Исследовательское подразделение
15 мая 2024 г.
Уважаемому депутату Кнессета Симхе Ротману Председателю Комиссии по конституции, праву и правосудию Кнессет Израиля
Уважаемый господин,
Тема: Введение обязанности назначения ответственного за защиту конфиденциальности в организации
Исследовательское подразделение Израильского центра исследования информации (далее — «Центр»), являющееся частью компании DPI Group — Data Protection Institute Ltd., имеет честь представить свои замечания к предложению включить в рамки Законопроекта о защите конфиденциальности (Поправка № 14), 5782-2022 (далее — «Поправка 14») обязанность назначения ответственного за защиту конфиденциальности в организации, как изложено ниже:
Введение
Поправка 14, первоначально опубликованная в Решумот в январе 2022 года, призвана адаптировать Закон о защите конфиденциальности, 5741-1981 (далее — «Закон» или «Закон о защите конфиденциальности»), к современной реальности и существующим вызовам в области защиты персональных данных и баз данных, и сосредоточена на трёх основных темах: (а) контроль и правоприменение; (б) сокращение объёма обязанности регистрации баз данных; (в) обновление определений в Законе. Поправка также призвана усилить соблюдение Правил защиты конфиденциальности (информационная безопасность), 5777-2017 (далее — «Правила информационной безопасности»).
В рамках Поправки 14 предлагается внедрить обязанность назначения ответственного за защиту конфиденциальности (DPO) в различных организациях, отвечающих критериям, изложенным в статье 17Б1(а) Поправки 14. Эта обязанность фактически ужесточает позицию Управления по защите конфиденциальности, как следует из публикации Управления от 24 января 2022 г.: «Назначение ответственного за защиту конфиденциальности в организации и его функции» (далее — «заключение Управления»), в том смысле, что вместо добровольного назначения оно будет закреплено в законодательстве как обязательное.
В целом назначение ответственного за защиту конфиденциальности практикуется в различных странах мира. В Европе это назначение закреплено как обязанность в рамках Общего регламента по защите данных Европейского союза (GDPR) (далее — «Европейские правила»). Поэтому мы рассматриваем обязанность назначения ответственного за защиту конфиденциальности как похвальный шаг, продвигающий Государство Израиль ещё на один шаг к европейскому стандарту.
Предложение о назначении ответственного за защиту конфиденциальности фактически призвано заменить действующую на сегодняшний день обязанность назначения ответственного за информационную безопасность базы данных, установленную в статье 17Б(а) Закона. Как мы покажем далее, по нашему мнению, это может нанести ущерб профессиональной квалификации ответственного за защиту конфиденциальности и повредить функционированию организации в области информационной безопасности.
Краткое изложение
Технологический прогресс в области баз данных принёс с собой новые механизмы обработки и хранения информации, и эти механизмы заслуживают законодательного регулирования. Более того, технологический и концептуальный прогресс создал многочисленные правовые пробелы в действующем регулировании, установленном Правилами защиты конфиденциальности (информационная безопасность), 5777-2017. На этом фоне Центр рассматривает предложение Поправки 14 как необходимый и похвальный шаг.
Вместе с тем, как отмечено, есть основания предложить ряд поправок к предлагаемому тексту. Так, некоторые статьи поправки сформулированы слишком обобщённо, в ряде статей содержатся обязанности, которые, по нашему мнению, следует изменить, некоторые из них весьма существенны. В соответствии с этим мы предложили расширить содержание текущей поправки с целью повышения эффективности функции ответственного за защиту конфиденциальности. Всё это подробно изложено ниже.
Ответственный за защиту конфиденциальности — концепция должности
Закон о защите конфиденциальности в настоящее время не устанавливает обязанность назначения ответственного за защиту конфиденциальности в организации. Управление по защите конфиденциальности в своём заключении полагало, что организация, стремящаяся обеспечить соблюдение норм Закона и подзаконных актов, поступит правильно, если назначит такого должностного лица. Управление рекомендовало назначение «для обеспечения соблюдения норм израильского законодательства о защите персональных данных и для повышения уровня защиты права на конфиденциальность сверх базовых требований закона; рекомендуется назначить ответственного за защиту конфиденциальности, которому будет поручено продвижение права на конфиденциальность в его организации». По мнению Управления: «Назначение ответственного за защиту конфиденциальности помогает организации удостовериться в соблюдении норм израильского законодательства о защите персональных данных, служит индикатором того, что организация принимала и принимает меры для минимизации рисков нарушения персональных данных, находящихся в её распоряжении, а также обеспечивает оптимальное сотрудничество с Управлением по защите конфиденциальности».
Требование назначить ответственного за защиту конфиденциальности основано на статье 37 Европейского регламента защиты данных (GDPR), который обязывает назначить уполномоченного по конфиденциальности (DPO) в ряде организаций и перечисляет ряд функций, предназначенных для этого должностного лица:
(а) вовлечённость и информированность по всем вопросам, связанным с обработкой персональных данных в организации;
(б) контроль за соблюдением организацией регламента;
(в) адрес для обращений субъектов данных по вопросам, касающимся обработки их данных и реализации их прав по регламенту;
(г) информирование и консультирование организации относительно её обязанностей по регламенту и местному законодательству;
(д) повышение организационной осведомлённости в области защиты персональных данных;
(е) обучение и подготовка персонала, задействованного в обработке данных, в области защиты данных;
(ж) проведение оценки воздействия деятельности организации на защиту персональных данных (DPIA) и оценки рисков.
Вследствие положений Европейского регламента и выполнения заложенной в них обязанности, функция ответственного за конфиденциальность воспринимается как ответственного за реализацию и соблюдение программы правоприменения в организации в области конфиденциальности, как основы для обеспечения постоянного соблюдения организацией норм закона в области защиты персональных данных. В том же контексте Управление также выразило своё мнение относительно функций, которые следует сосредоточить в руках ответственного за конфиденциальность, в рамках заключения Управления, и определило основные задачи должностного лица, включающие:
(а) участие во всех процессах обработки данных в организации для обеспечения их корректности;
(б) участие в проектировании информационных систем и процессов обработки данных в организации способом, снижающим риски для конфиденциальности;
(в) разработка политики защиты конфиденциальности организации, которая закрепит и обеспечит соблюдение ею норм Закона и правил;
(г) проведение периодического аудита конфиденциальности в организации, обеспечивающего соблюдение организацией всех требований закона, исправление выявленных недостатков и ежегодный отчёт руководству о его проведении и результатах;
(д) рассмотрение обращений субъектов данных (жалобы, запросы на доступ и исправление);
(е) руководство ответственным за информационную безопасность в организации для соблюдения норм закона;
(ж) контактное лицо организации с Управлением;
(з) центр знаний в организации по вопросам защиты конфиденциальности, для обучения и направления руководства и сотрудников.
Заключение Управления по вопросу назначения ответственного за защиту конфиденциальности было издано после публикации проекта, получения замечаний общественности к проекту, которые привели к многочисленным изменениям текста до публикации окончательного заключения.
Очевидно, что функция ответственного за защиту конфиденциальности не призвана заменить функцию ответственного за информационную безопасность, а является также контролирующим звеном над ним, и не призвана заменить функцию и ответственность администратора базы данных. Функция ответственного за защиту конфиденциальности сочетается с функцией комплаенс-офицера по вопросам конфиденциальности вместе с лицом, самостоятельно выполняющим ряд задач по обеспечению соблюдения организацией закона в области защиты конфиденциальности, связующим звеном между организацией и внешними структурами, от Управления до субъектов данных, чьей информацией располагает организация, и внутренним адресом в организации для обеспечения защиты конфиденциальности в её деятельности.
Как звено, представляющее второй уровень контроля в организации, ответственный за конфиденциальность несёт ответственность, которая должна быть дополнительной к ответственности лица, непосредственно отвечающего за деятельность, начиная от генерального директора организации, лица, ответственного за соответствующую бизнес-деятельность, которая может нарушить право на конфиденциальность, администратора соответствующей базы данных, руководителя информационных систем и ответственного за информационную безопасность.
С учётом изложенного ниже представлены наши замечания к предложению, рассматриваемому уважаемой Комиссией.
Частные замечания
- Статья 17Б1(а)(1) — Статья устанавливает, что среди обязанных назначить ответственного за защиту конфиденциальности в организации будут также «владелец контроля или держатель базы данных, содержащей данные особой чувствительности о 200 000 лицах и более». По нашему мнению, следует указать количество в 100 000 лиц и более.
Второе приложение к Правилам информационной безопасности устанавливает, что база данных с высоким уровнем безопасности — это база, содержащая данные о 100 000 лицах и более. Если законодатель счёл необходимым классифицировать базу данных с высоким уровнем безопасности, будет правильным, чтобы организация, владеющая или управляющая такой базой, назначила ответственного за защиту конфиденциальности.
Статья 17Б1(а)(2) — Статья устанавливает, что среди обязанных назначить ответственного за защиту конфиденциальности будут также «лица, управляющие различными базами данных пяти и более различных владельцев контроля». По нашему мнению, из формулировки неясно, что имеются в виду только базы данных третьих лиц, то есть что собственные базы данных организации не входят в подсчёт баз данных. Поэтому мы предлагаем в конце статьи добавить: «помимо баз данных, которыми он владеет».
Статья 17Б1(а)(4) — Наше предложение в пункте 15 выше делает данную статью излишней, если только не будет сочтено необходимым указать количество менее 100 000 субъектов данных.
Статья 17Б2(а) — Статья перечисляет функции ответственного за конфиденциальность. Мы предлагаем добавить в перечень:
«Разработка политики конфиденциальности организации, закрепляющей обязанность соблюдения ею положений Закона и правил.»
В эпоху, когда конфиденциальность в организации не ограничивается только хранением баз данных и информационной безопасностью, а распространяется также на поведение организации в её цифровых активах, политику AI организации, камеры наблюдения в организации и конфиденциальность сотрудников организации, организации следует разработать детальную политику конфиденциальности, и ответственный за защиту конфиденциальности должен быть ответственным за это. Предложение согласуется и с заключением Управления, которое также включило эту функцию в число функций ответственного за конфиденциальность.
- Статья 17Б3 — Данная статья фактически требует от ответственного за защиту конфиденциальности обладать знаниями и квалификацией, необходимыми для выполнения должностных обязанностей, включая — «надлежащее понимание в области законодательства о защите конфиденциальности, технологий и информационной безопасности, а также глубокое знакомство с областями деятельности организации и её целями / надлежащее понимание областей деятельности организации и её целей / рисков от деятельности организации и целей обработки данных; Министр юстиции с одобрения Комиссии по конституции вправе установить в правилах условия относительно образования, подготовки и опыта, которым должен соответствовать ответственный за защиту конфиденциальности, и условия признания такой подготовки, включая сдачу экзаменов и участие в периодических курсах повышения квалификации, — всё это в общем порядке или по видам баз данных и управляющих ими организаций или их держателей».
По нашему скромному мнению, защиту данных в организации можно охарактеризовать двумя уровнями: (а) технологический уровень; (б) регуляторный уровень. Фактически оба уровня дополняют друг друга, и оба обладают значительной сложностью в своих областях.
Технологический уровень требует обширных знаний в области защитных технологий информационных систем, технических знаний о кибератаках и связанных с ними рисках, последствиях использования интерфейсов AI и др. В то же время регуляторный уровень требует обширных знаний в области регулирования, связанного с защитой данных и конфиденциальности.
На практике лицами, назначенными сегодня преимущественно на технологический уровень, являются руководитель информационных систем и/или ответственный за информационную безопасность в организации. Это назначение является обязательным при определённых обстоятельствах согласно статье 17Б(а) Закона о защите конфиденциальности.
В то же время функция ответственного за защиту конфиденциальности должна быть аналогична функции комплаенс-офицера (соблюдение законодательства о конфиденциальности и информационной безопасности) и по своей сути охватывать преимущественно регуляторный уровень. Из формулировки предлагаемого законодательства можно сделать вывод, что предполагается упразднить обязанность назначения ответственного за информационную безопасность и вместо него назначить только ответственного за защиту конфиденциальности, который также возьмёт на себя его функции. Это фактически потребует от одного человека мастерства на обоих уровнях — требование, которое по природе вещей нанесёт ущерб одному или обоим уровням, необходимым для защиты данных организации, поскольку одни знания будут приобретаться за счёт других или возникнет конфликт интересов. Кроме того, будет утрачен ещё один уровень, который должен воплощать ответственный за конфиденциальность, — контроль над действиями технологических специалистов, таких как руководитель информационных систем и ответственный за информационную безопасность. Поэтому, по нашему мнению, следует закрепить в законодательстве обязанность назначения ответственного за защиту конфиденциальности в дополнение к ответственному за информационную безопасность, а также, по нашему мнению, не следует устанавливать, что ответственный за защиту конфиденциальности обязан обладать технологическими знаниями. В качестве альтернативы предлагается наделить ответственного за конфиденциальность полномочиями делегировать свои полномочия или консультироваться со специализированными профессиональными специалистами в организации, чтобы оба уровня получили реальное и профессиональное выражение, без конфликта интересов и с применением соответствующих обязанностей контроля.
- Правило 16(а) Правил защиты конфиденциальности (информационная безопасность), 5777-2017, требует от владельца базы данных, чтобы лицо с соответствующей квалификацией, не являющееся ответственным за информационную безопасность базы данных, проводило периодическую проверку не реже одного раза в 24 месяца — внутреннюю или внешнюю — в области информационной безопасности баз данных владельца базы(баз). Поэтому мы рекомендуем закрепить это требование в предлагаемой статье 17Б2(а) Поправки 14, поскольку оно и так согласуется с характером предлагаемой функции ответственного за защиту конфиденциальности.
Заключение
Цель предлагаемой Поправки 14 похвальна, особенно в части обязанности назначения ответственного за конфиденциальность в определённых организациях, и её вступление в силу, безусловно, будет способствовать положительным изменениям в области защиты конфиденциальности в организациях Израиля на всех уровнях. Предлагаемая поправка адаптируется к технологической эпохе, в которой мы находимся, и прежде всего ещё более выравнивает позицию с европейским и американским регулированием в области соблюдения законодательства о защите конфиденциальности. Реализация поправки позволит организации развивать и прежде всего повышать эффективность своих возможностей по защите конфиденциальных данных, за которые она несёт ответственность по закону.
Вместе с тем представляется, что следует внести определённые улучшения в статью об ответственном за защиту конфиденциальности в предлагаемой Поправке 14. Предлагаемые нами улучшения приведут к повышению эффективности функции ответственного за защиту конфиденциальности, полному пониманию положений статей и сокращению возможности «срезания углов» со стороны владельцев баз данных.
Мы будем рады подробнее рассмотреть этот вопрос при обсуждении предложения о Поправке 14 перед уважаемой Комиссией.
С глубоким уважением,
Д-р Дан Хай, адв. Председатель и руководитель исследовательского подразделения DPI GROUP
Копии:
- Членам Комиссии.
- Отделу консультаций и законодательства, Министерство юстиции.
- Управление по защите конфиденциальности
Данный перевод выполнен ИИ на основе официального текста Кнессета и может содержать неточности. Подробнее о методологии.
Другие документы этого законопроекта
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Официальная публикация
- Неофициальная версия закона
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Справочный материал
- Текст для 2-3 чтения