Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Справочный материал

1. 20246.2

Совещание по участию общественности правительства – частный сектор по вопросу назначения ответственного за защиту частной жизни от 29.5.24 (продолжение DPO и давность) –
DPO Рахель Ари́дор: Назначение DPO не должно заменить обязанности назначения CISO. Обязанность назначения CISO должна остаться без изменений, возможно, потребуется немного адаптировать к технологической реальности, но следует оставить её и обновление к закону о кибербезопасности, так как это вопрос, который должен находиться под управлением кибербезопасности и будущего закона о кибербезопасности. Имеет смысл оставить её сейчас, чтобы в промышленности не поняли, что отмена означает негативную норму.
Также держатели должны нести ответственность за назначение DPO. Можно провести различие между неосмотрительными держателями, которые просто выполняют хранение, и остальными, при этом для неосмотрительных следует установить другой порог на основании предписания о держателе баз данных различных контролёров.
Амит Ашкенази:
Я говорю это как исследователь темы соблюдения требований о приватности и как профессиональный руководитель курса по назначению ответственного за защиту приватности Института Макид, Центра Федерман по исследованию кибербезопасности в Еврейском университете. Также доступны в письменной форме.
В целом, основное различие между европейской директивой по приватности, предшествующей новому законодательству, GDPR, заключается в механизмах, которые целью имеют внутреннее усвоение существенных положений закона. Эти механизмы проявляются в:

1. наложении санкций – это положение соответствует функции Поправки 14, (в которых во многих отношениях яснее в плане управления поведением, чем GDPR, так как оно включает подробный список иерархии нарушений. Что также лучше отвечает принципу законности).
2. Ответственность – обязательства надлежащего управления, включая новое предписание в GDPR, статья 5(2), а также более конкретные обязательства, такие как подготовка отчёта о воздействии на приватность, проектирование для приватности и т.д. В Израиле аналогом, касающимся обязательств в области информационной безопасности (то есть, не в отношении обязательств по частной жизни), является постановления 2-4 правила безопасности информации.
   DPO – очень важно включить эту роль. При этом, чтобы она была эффективной, нужно понимать распределение его полномочий относительно руководства. DPO по определению не является стороной, которая решает, что делать с информацией, потому что иначе это будет конфликтом интересов с его должностью. Он не управляет деньгами и не решает, что делать с информацией. Поэтому нужно задуматься о соотношении сил между ним и руководством базы данных и владельцем базы. В израильском законодательстве есть статья, которая возлагает личную ответственность на управляющего базой. На мой взгляд, когда мы смотрим на предписания европейского регулирования, DPO – это лишь один из элементов поощрения обязанностей надлежащего управления в области приватности. Есть и другие требования, такие как PBD, отчёт о воздействии, контроль за аутсорсингом, и DPO применяет свои навыки ко всем этим требованиям. Нужно рассмотреть возможность принятия чего-то подобного. В текущем тексте, который был распространён, роль DPO сводится к подготовке программы и консультированию. CISO – это аналогичная должность ответственному за защиту приватности, но в области кибербезопасности. На уровне управления существует ожидание, что CISO будет профессиональным посредником рисков безопасности для руководства, но есть растущее количество норм, особенно в США, которые ожидают от руководства проводить дискуссии, выделять CISO ресурсы и поддерживать всю его деятельность в области защиты частной жизни. Эти элементы больше связаны с корпоративным управлением и ответственностью руководства, чем с профессиональной областью. Можно увидеть аналогичный пример применения в открытом письме ведомства по защите приватности по вопросам ответственности правления за риски кибербезопасности. Идея заключается в том, чтобы не оставлять CISO в качестве прикрытия.
   Я считаю, что роль управляющего базой данных является в какой-то степени новшеством израильского закона, который также говорит о персоне, управляющем базой данных. Реальность такова, что на практике управляющий базой данных – это титул, потенциал которого для усвоения обязательств по закону не реализован, не означает, что это провал. Можно видеть в аналогичных регуляциях установление ответственности управления, условия пригодности управляющего и другие элементы, которые усиливают управленческую ответственность для продвижения усвоения необходимых вопросов.
   На мой взгляд, ясно, что управляющий базой и DPO – это две разные роли, поскольку DPO предназначен для защиты приватности, а управляющий базой отвечает за все процессы.
   Что касается способа определения обязанностей ответственного за защиту приватности, предлагаю провести сравнение с ролями ответственного за защиту приватности в безопасности.

2.

Проблема в том, как сделать DPO значительной фигурой, не создавая дистанции и никого отношения между ней и организационными процессами.
Учитывая стадию, на которой находится обсуждение, предлагается использовать текущее регулирование административных санкций и установить уменьшение штрафа для организаций, которые соответствуют требованиям управления информацией для защиты приватности европейцев (общепринятая интерпретация ICO – политика на уровне руководства, документы, процессы, по которым проводятся разработки для приватности, уполномочить уполномоченную по защите приватности установить требования динамически. Это должно быть похоже на мир соблюдения корпоративных норм). Такая норма указывает рынку желаемую норму и имеет свою ценность даже без применения к конкретному контролю. Как и DPO, такая норма приводит к улучшению усвоения без непосредственной зависимости от контроля со стороны ведомства.
Предлагаю следующие конкретные поправки: (1) Расширить полномочия DPO, насколько это возможно, включая аспекты проектирования для приватности и отчёта о влиянии на приватность;
(2) Установить уменьшение санкций, которые может получить организация, у которой есть программа приватности и у DPO есть соответствующие инструменты для выполнения своих обязанностей, в соответствии с европейскими требованиями.
Считаю, что нужно оставить определение "управляющий базой данных" как ответственного за решения по действиям, проводимым с базой данных, но следует указать на ответственность руководства за действия, совершаемые в базе данных. Необходимо ввести управленческие обязательства для владельца базы данных (в стиле постановления 2 правила безопасности информации в контексте приватности). Необходимы роли руководства в аспектах ответственности за обработку информации.
Одна из ранее принятых опций – это определение "приказа о назначении управляющего базой данных" таким образом, чтобы было ясно, что управляющий базой данных является представителем руководства для реализации аспектов приватности. Приказ о назначении – это место, где руководство предоставляет полномочия заниматься вопросом и также обязывает других лиц в организационной иерархии относиться к управляющему базой данных для осуществления своей ответственности.
Ноя Даймонд:
Согласна с разделением ролей между ответственным за безопасность информации и ответственным за защиту приватности. Недостатки в объединении этих ролей перевешивают экономические преимущества от объединения этих ролей.
Разделение также необходимо в контексте существенной приватности по Главе А Закона.
Глава А Закона также должна находиться в компетенции DPO. Кроме того, необходимо в законе учесть зубы DPO внутри организации. Указать случаи, в которых необходимо получить мнение DPO или когда необходимо обосновать, почему мнение DPO не принимает. Ноя Гева, совет по защите приватности: Определение порога обязательства назначения –

1. Государственный орган
2. Владельцы контроля над как минимум 100,000 носителями информации, основной деятельностью организации является обработка информации или систематический мониторинг, и таким образом будут исключены маленькие организации.
3. Держатель, который осуществляет обработку в достаточном масштабе – безусловно осведомлён об этом и поэтому обязан назначить DPO. Считаем, что DPO также должен заниматься обязанностями в соответствии с Главой А Закона.
   Нет места для наложения личной ответственности на DPO. Это больше надзорный и исполнительный орган, и необходимо провести различие в отношении него.
   Что касается условий пригодности и требования к экзаменам – необходимо найти способ уполномочить ведомство устанавливать более точные указания, поскольку это динамичная тема.
   Чем больше закон будет включать инструменты, которые необходимо предоставить DPO, тем меньше вероятность, что они назначат "недостаточно квалифицированного" DPO.
   Айал Шагай Не отказываться от CISO, а дополнить назначение DPO и расширить обязательство назначения к нему.
   Следует остерегаться разработки или укрепления линии "недостаточно квалифицированного" DPO, и решение может заключаться в возложении ответственности на организацию (постановление в деле Хоровиц).

3.

Ответственность не должна лежать на DPO. Высшее должностное лицо компании должно быть ответственным, и это не DPO, потому что роль DPO заключается в контроле. Считаю, что если ответственность будет на руководстве – тот, кто чувствует себя ответственным, не назначит недостаточно квалифицированного DPO, потому что это вернётся к нему. Ответственность должна лежать на владельце базы данных.
Сознаю трудность в обязательном назначении двух должностных лиц (DPO и CISO), и решением может быть опора на внешние профессиональные субъекты. Так, чтобы каждый уделял необходимое количество часов в месяц.
Ая Маркавич: Непонятно, зачем оставлять управляющего базой данных? Как это должно выглядеть на практике?
На практике "база данных" – это фиктивный термин. Есть в организации сбор данных, которые обрабатываются. Ищут, где есть база данных в её законном определении, а затем находят несчастного функционера, который может соответствовать определению управляющего базой данных. Суть в том, что это только кто-то, кто записывается в регистрационной форме базы и подписывает несколько вещей в форме, как того требует правила безопасности информации. Эта должность не соответствует тому, что люди предполагали, что она делает в настоящее время. Если нужно определить её вообще в соответствии с функциями, которые предполагается, что она будет выполнять.
Далит Бен-Исраэль В настоящее время в законе нет определения функциональности управляющего базой данных, кроме юридической ответственности. Его роль сейчас состоит в выполнении множества задач, которые должны выполнять другие люди в организации, например, CISO. На практике есть кто-то другой, кто ответственен и они не отчитываются перед управляющим базой.
Если хотят оставить управляющего базой, нужно дать ему полномочия не только надзора, но и полномочия с реальной ответственностью. Управляющий базой фактически равен владельцу базы данных. Наличие управляющего базой не освобождает руководство от ответственности. Поэтому отмена роли управляющего базой жизненно важна, потому что в конечном итоге корпорация, правление отвечает. А DPO является контрольным органом.
Нет предложения объединить роли DPO и CISO, есть только предложение отменить обязательное назначение CISO и управляющего базой данных и установить назначение DPO при выполнении определённых критериев. Если изначально не было CISO, как в GDPR, не было бы проблемы с поправкой, возлагающей обязанность назначения DPO и отменяющей обязательство назначить ответственного по безопасности информации. Но поскольку было обязательное назначение ответственного по безопасности информации, его отмена будет расценена промышленностью как отмена роли (и компании не будут назначать ответственного по безопасности информации). DPO не обязан иметь техническую подготовку, и он не заменяет CISO. Ноя Даймонд Вопрос, будут ли случаи, когда организации потребуют назначить CISO, а не DPO и наоборот. Нужно подумать об этой матрице.
Айал Шагай Однозначно. У крупного производителя самая важная роль – обеспечить, чтобы информация не была украдена, а вторая – не использовать информацию вразрез с предписаниями. За первую роль отвечает CISO, за вторую DPO. Если он просто хранит - возможно, DPO не нужен.
Ноя Гева Различие в Израиле в отношении обязательного назначения CISO, а теперь также и DPO может рассматриваться как жесткое регулирование по сравнению с общепринятыми нормами в мире. Однако различие возникает в том, что в Израиле решили сделать акцент на области информационной безопасности и законодательно принять правила безопасности информации, которые определяют конкретный стандарт для безопасности информации, в отличие от мировой регуляции. Обязанность назначения CISO соответствует этой тенденции, которая акцентирует внимание на аспектах информационной безопасности.
Нир Грессон Существуют очень подробные нормы в отношении безопасности информации, поэтому необходимость официального назначения CISO, казалось бы, уменьшается.
Ноя Гева Считают, что нет возможности отменять обязанность назначения CISO, которое уже существует во многих организациях Израиля. Но если всё же решат отменить (согласно вышесказанному), желательно, по крайней мере, подумать о предоставлении положительного стимула для организаций, которые добивались назначения CISO и реализовали программу безопасности информации под его руководством – например, путём предоставления безопасной гавани, создающей презумпцию соответствия требованиям закона, как предложил Амит Ашкенази – путём снижения штрафа/предоставления предупреждений в этих случаях.
Лиор Этгар Поддерживаю Ною. Создание стимула, в отличие от статутного обязательства, даст возможность корпорациям, возможно, фактически назначить CISO.
Амит Ашкенази Открытое мнение ведомства по вопросу ответственности правления относится только к безопасности информации. Если оно также касается существенной приватности, то этого достаточно.
Должен быть слой, который говорит о ожиданиях от руководства, которые не являются ожиданиями от DPO. Это должно быть также в регулировании ответственности управляющего, как в страховании, банковском деле и инвестиционных фондов.
Мира Саломон Когда речь идет о местных властях – есть различие между учреждениями, основной деятельностью которых является анализ информации для коммерческих нужд, и учреждениями, которые используют информацию для обслуживания граждан. Нужно помнить, что последние ограничены в финансовом плане, в возможности разработать стандарты и привлечь рабочую силу - определённо в этих областях.
Не считают, что целесообразно возлагать обязанности. Не считают, что необходимо назначить управляющего базой данных в местных властях.
Не считают, что целесообразно устанавливать дополнительные обязательные должности. Поддерживают позицию, что назначение DPO будет презумпцией, которую можно оспорить, своего рода защитой и приведёт к снижению санкций.
Анрат Равиновец Управляющий базой данных – излишен, поскольку в настоящее время он служит обходом для корпоративных норм и обычного порядка, которым возлагается ответственность. Нет под законами о защите частной жизни оправдания для общего обхода корпоративной ответственности. Во многих организациях назначают управляющего базой данных, который не имеет никакого отношения к обработке или слабо связан с его целями.
Отмена управляющего базой данных не повлияет неблагоприятно на управление информацией, а лишь уточнит, что высокопоставленные лица не смогут избежать своей неотъемлемой ответственности как генеральный директор компании.
Обязанность CISO – в многих организациях уже есть CISO. Осторожно предположу, что 95% из них назначены независимо от закона, а потому что существует бизнес-необходимость, и они понимают важность. Существует аналогичная тенденция также к DPO – или потому, что существует обязательство за границей, или потому что это правильное с точки зрения бизнеса. Поэтому, когда мы определяем обязательства назначения, не нужно входить в слишком много деталей и определений должностей и полномочий, ибо организации знают лучше, что правильно для них с точки зрения бизнеса.
Согласен, что необходимо создать статус DPO и роль в общих чертах. Но не следует вдаваться в слишком много деталей, например, что должно включать в себя профессиональное образование, так как это несёт больше рисков, чем преимуществ. Нужно, например, включить требования к тому, кому DPO должен отчитываться.
Предложение Совета по защите приватности относительно обязательного назначения DPO хорошее, но, говоря о чувствительной информации, следует резко уменьшить цифры.
Лирон:
Необходимо определить в общих чертах, чего ожидают от DPO. Чтобы потом не сказали, что неясно, что должна быть его роль. Лиор Этгар Необходимо предоставить DPO возможность отчитываться непосредственно правлению и одобрять программу работы DPO. Так статус DPO будет укреплён.
Похоже на внутреннего аудитора – коммуникация с аудитором согласно Закону о корпорациях.
Внутренний аудитор устанавливается по закону, например, кто будет его организационным ответственным. Можно принять что-то подобное.

5.

Утверждение, что DPO будет подчиняться "высокопрофильному должностному лицу" - это не определённая должность в корпорациях. Организационный ответственный не может быть тем, кто утверждает программу работы.
Можно вместо программы работы утвердить у правления темы работы, за которые DPO отвечает. Считаю, что необходимо заранее предусмотреть отчёт для правления, как в случае внутреннего аудита.
Для того, чтобы должностные лица были ответственными, они должны быть информированы.
Анрат Равиновец: Не следует устанавливать в законе, что правление должно предварительно утверждать годовую программу DPO. Многое из работы DPO является текущим реактивным характером и не поддаётся описанию правлению текущим образом. Но возможно и правильно действительно делать квартальные отчёты о выполнении работы для Комитета AUDIT или подкомитета правления. Это также делает CISO. Анрат считает, что отчёт задним числом более правильный.
Рахель Ари́дор Нет места для сохранения определения управляющего базой данных. Ответственность должна возлагаться на руководство согласно общепринятым правилам корпоративного регулирования.
Нет места для исключения местных властей. Они занимаются очень большим объёмом чувствительной информации, и мы видим в последнее время, что несколько местных властей подверглись атакам и не защищены.
Боюсь, что принятие "замысловатых" понятий для условий существования обязательства назначения, подобно GDPR. Есть компании, основная деятельность которых не должна быть обработкой информации, но они обрабатывают много информации, и необходимо, чтобы они назначали DPO.
Что касается независимости DPO – боюсь чрезмерного вмешательства в управленческие прерогативы работодателя. Возможно, что можно установить что-то похожее на то, что предлагала Ноя в клинике.
Ноя Даймонд Необходимо явно указать, какие должности не смогут занимать DPO. Что касается независимости – есть вопрос тонкого баланса. Необходимо учитывать увольнение из-за исполнения роли DPO. Это вытекает из того, где DPO располагается в организации по отношению к руководству. Возможно, стоит рассмотреть якоря, на которые будет возложена обязанность консультироваться с DPO во всех случаях назначения новой цели по сбору информации. И это нужно сбалансировать с вопросом ограничения увольнений.
Ая Маркавич Крайне важно взять из GDPR элемент явного запрета на получение указаний от руководства. Есть обязанность у владельца и обработчика гарантировать, что DPO не получает указания относительно способов, которыми он выполняет свою роль как DPO. Организация должна осознавать, что она обязана слушать DPO, нужно документировать, почему не принимаются рекомендации DPO. И организация не должна вмешиваться или давать указания по профессиональному поведению DPO.
Что касается увольнений и санкций, нужно подумать, стоит ли это включать. Не следует вводить слишком много формализации относительно порядка, в котором DPO должен действовать.
Далит Бен-Исраэль Корпоративное управление между корпорациями отличается. Пока у DPO есть возможность и открытая дверь у генерального директора и председателя правления, этого достаточно. Не стоит устанавливать в законе обязательство предварительного отчета для правления. В каждой организации существует другой уровень управления.
DPO должен быть слышен и присутствовать на всех узлах принятия решений в области обработки информации.
Ая Маркавич Несомненно, если пытаются перенести механизм DPO из Европы в Израиль, предоставляется роль с большим количеством недостатков, поскольку закон в Израиле не включает в себя существенные аспекты обработки информации, особенно основные аспекты обработки.
Если не исправить Поправку 15 сразу после Поправки 14, это будет большая пропасть. Но стоит дать рынку время усвоить порядок DPO и законодательно утвердить его уже в 14.

6.

Давность Рахель Ари́дор Правильно продлить и сравнить с другими деликтами. Хотя в мире есть установленные сроки меньше. Например, в Германии, но там это соответствует сроку давности на другие деликты.
Далит Бен-Исраэль Сложно сделать что-то ступенчатое. Необходимо продлить и не запутываться с комбинаторными периодами.
Ая Маркавич За. Степенчатый срок давности в зависимости от тяжести нарушения приватности. Существует в Португалии.
Айал Шагай Стандарт, которому следуют в области приватности, постоянно меняется. Интерпретация постоянно меняется. Долгий срок давности означает, что будут применены ретроактивные стандарты, которые не могли ожидаться назад, и это нечестно. Срок давности в два года является разумным временем для новых интерпретаций согласия на обработку информации. 7 лет – это слишком долго и имеет значение в отношении хранения данных. Это потребует больше хранения данных, чтобы справиться с исками, включая бесконечный цикл GDPR о том, сколько времени следует хранить информацию, когда запрашивают её удаление.
Поправка 15 должна заниматься существенными вопросами, включая важнейший вопрос об основах обработки, и для этого более подходящей будет продлённая давность. Продление сейчас создаст проблемы, главным образом из-за исключительной зависимости Израиля от согласия как основания для обработки, включая подразумеваемое согласие (в отличие от согласия в GDPR).
Рувен В чём различие между областью приватности и другими областями, к которым относится срок давности 7 лет?
Айал Шагай Продление срока давности приведёт к обесцениванию коллективных исков. Будет много оппортунистических исков. Не в контексте доступности, а изменение регуляторного стандарта через суд во время ведения коллективного иска. В области приватности это будет очень проблематично.
Столкнутся с коллективными исками, в которых имеются требования к стандарту GDPR по защите и имеется непонимание в области.
Ая Маркавич Относительно давности – подразумевается ли, что она будет единообразной в отношении наложения денежных санкций и деликта – существует ли давность на полномочия ведомства расследовать деликты, срок давности которого? Существует ли давность на административный аспект?