Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Обязанность назначения ответственного за защиту частной жизни в организациях (DPO) и характеристика должности

Справочный материал

Подготовлено: Клиника по защите частной жизни, юридический факультет Тель-Авивского университета Руководители: Проф. Михаэль Бирнхак, адв. Ноа Диамонд Студенты: Асаф Ниазов, Элла Шарк Учебный год: 5784 (2023/2024)

---

Введение

Развитие сферы защиты данных вследствие технологического прогресса, массового сбора и обработки информации сопровождалось признанием необходимости применения различных подходов для защиты интересов субъектов данных. В рамках этой тенденции признана важность выделения специальной должности в организациях для целей защиты частной жизни в информационной сфере.

Добровольное назначение ответственного за защиту частной жизни (DPO — Data Protection Officer) распространено по всему миру, и в особенности в Европейском союзе. В Израиле Управление по защите частной жизни рекомендовало добровольное назначение DPO в 2022 году. С вступлением в силу GDPR в Европейском союзе такое назначение стало обязательным.

По мнению Клиники по защите частной жизни, целесообразно установить подобную обязанность и в израильском праве в определённых случаях, которые должны определяться с учётом объёма и чувствительности собираемой в организации информации, при соблюдении баланса между стремлением к максимальной защите частной жизни и предотвращением чрезмерной нагрузки на организации.

Международный опыт: GDPR

Регламент GDPR обязывает назначать DPO в следующих случаях:

• Государственные и муниципальные органы;
• Организации, основная деятельность которых связана с систематическим масштабным мониторингом субъектов данных;
• Организации, обрабатывающие особые категории данных в больших объёмах.

Опыт Европейского союза выявил значительные разрывы в правоприменении — организации, обязанные назначить DPO, не всегда выполняют это требование.

Роль и функции DPO

DPO выполняет следующие функции:

1. Консультирование организации по вопросам защиты данных;
2. Мониторинг соблюдения законодательства о защите данных;
3. Взаимодействие с надзорными органами;
4. Служение контактной точкой для субъектов данных;
5. Проведение оценки воздействия на защиту данных (DPIA).

Независимость DPO

DPO должен обладать достаточной независимостью: не получать указаний по вопросам профессиональной деятельности, не быть уволенным или подвергнутым санкциям за выполнение профессиональных обязанностей, подчиняться непосредственно высшему руководству организации.

Рекомендации для израильского законодательства

1. Установить обязанность назначения DPO для организаций, обрабатывающих данные значительного объёма или повышенной чувствительности;
2. Определить минимальные квалификационные требования;
3. Гарантировать независимость DPO;
4. Определить обязанности DPO в законе;
5. Установить ответственность за неназначение DPO.