Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Справочный материал

1

29.5.2024

Заседание по вопросам назначения ответственного за защиту персональных данных (DPO) от 15.5.24

Адвокат Дан Орхоф - Совет по защите персональных данных

• Поддерживают регуляторное решение.
• В отношении статьи 17(б)2, функции ответственного "регулирование и управление в соответствии с законом данными в базах данных" предлагают определить заголовок "Ответственный за защиту данных", а не ответственный за защиту персональных данных. Поднимает вопрос, должен ли он заниматься вопросами главы А Закона? По нашему пониманию - нет.
• Необходимо отделить функцию администратора базы данных. Это роль, для которой нет настоящего определения.
• С другой стороны, ответственный за безопасность данных и ответственный за защиту персональных данных - это две разные функции, и их необходимо сохранить как таковые. Это не хорошая идея - менять их местами. Есть много точек пересечения, но роли различны, квалификация различна, знания различны. Необходимо назначение обоих.
• Регуляции для ответственного за безопасность данных - иногда это сегментные требования, а не всеобъемлющие, иногда это определяется государственным правом. Но, насколько я понимаю, требуется также регулирование для ответственного за безопасность данных, поскольку закон придает большое значение безопасности данных. Ответственный за защиту персональных данных не может быть ответственным за тесты на взлом. Он не может быть ответственным за обновление межсетевого экрана. Он должен убедиться, что его пароль управляет своими обязанностями должным образом. Но это не часть его подготовки.

Адвокат Далит Бен Исраэль -

• Согласна с изложенным до сих пор, особенно с необходимостью разделения функций. Это касается квалификаций, которые вы определили: большинство DPO являются адвокатами/приходит из области соблюдения, а не CISO [директора по информационной безопасности]. В определении функции согласно предложению требуется сочетание обоих как обязательство. Также юридические квалификации, что само собой разумеется, но и технические квалификации того, что происходит в основе. Обычно это два отдельных должностных лица.
• На практике: в крупных организациях, чтобы у них также был CISO, разумно иметь организационное разделение между ответственным за защиту персональных данных и технической стороной безопасности данных. Но в малых организациях, у которых нет ответственного за безопасность данных (ни внутреннего, ни внешнего), когда начинают работать с ними, говорят им, что им нужен кто-то такого рода даже в качестве внешнего консультанта. Безопасность данных не является частью навыков и квалификаций юридического консультанта. Существует опасение, что предложенное регулирование приведет малые и средние организации к тому, что они вообще не будут иметь функции безопасности данных.

Адвокат Ая Маркавитс -

• Вопрос замены функции ответственного за безопасность данных ответственным за защиту персональных данных является проблематичным. Особенно вопрос независимости и отсутствия конфликта интересов: DPO не должен, как часть запрета на конфликт интересов и обязанность гарантировать независимость в выполнении своих функций, участвовать в принятии решения по целям и средствам обработки данных.
• Кроме проблемы нахождения функции, которая обладает двумя этими квалификациями, здесь есть принципиальный вопрос. Это два интереса, которые могут находиться в конфликте - например, в случае использования средств, которые CISO решает, что нужно внедрить в организацию, чтобы защитить данные (как личную информацию, так и деловую и коммерческую информацию. То есть, CISO отвечает за безопасность всей информации в организации, включая неидентифицирующую информацию, в отличие от DPO, чьи функции касаются только личной информации, но не только ее безопасности). Решение о том, какие средства будут использованы для мониторинга действий сотрудников, может создать конфликт между желанием максимально защитить информацию (в интересах бизнеса) и нарушением прав сотрудников. В такой ситуации DPO может и должен консультировать и рекомендовать высшему руководству, но передача окончательного решения по конфликтующим интересам приведет его в конфликт интересов.

Адвокат Лиор Этгар -

2

Это различная подготовка. Есть CISO, которые имеют больше знаний в области регулирования, но большинство из них - это технические специалисты.

Адвокат Ади Хиршкорен Кляйн (DPO Эль Аль) - Необходимо сохранить принципы независимости и раздельности, и часть этого заключается в том, что неправильно отменять часть определения разделения во всем, что касается обработки данных. Есть разница между контролирующим субъектом (DPO) и выполняющим или бизнес-субъектом в вопросе, как обращаться с данными. Адвокат Эйаль Шгий -

• Поправка 14 в основном касается безопасности данных. Восприятие израильского закона о безопасности данных очень отличается от GDPR. В GDPR есть общие принципы, делать адекватную безопасность данных в соответствии с обработками и связанными рисками. В стране у нас есть правила, которые очень детализированы, с учетом в правилах для ответственных за безопасность данных. Но предложенная статья (в целом - роль DPO) движется в сторону существенной конфиденциальности.
• Считаю, что следует распространить обязательства DPO и на обязанности согласно главе А - значительная конфиденциальность в Израиле, также в базах данных, основана на главе А.
• Израиль достиг такого состояния, что у нас закон акцентирует внимание на безопасности данных, и весь обсуждения определения чувствительной информации происходило в комитете с перспективы безопасности данных - что произойдет, если она утечет, а не как она повредит конфиденциальности. Так что сейчас вносить изменения для DPO - идея хороша, но не вместо ответственного за безопасность данных. Мысль о том, что это взаимозаменяемые функции, неверна. Мы должны следить, чтобы не создать путаницу с добавлением DPO при определении управляющего базой данных как контролера, из-за направления законодательства, которое сначала рассматривает безопасность данных и санкции, а позже - существенную конфиденциальность. Уже сейчас есть отклонения, такие как требования в правило 3 правил безопасности данных, которые касаются отчета управляющему базой данных, в то время как у держателя нет управляющего базой данных.

Адвокат Дан Хай -

• Смягчение независимости DPO не беспокоит. Позиция в предложении кажется ему правильной. Но будет большой ошибкой отменить обязательство назначения ответственного за безопасность данных. Это совершенно другая функция. DPO должен быть как офицер по соблюдению. И это другая функция по сравнению с ответственным за безопасность данных.
• Глава А - связана с функцией. Предположим, указания власти по камерам, конфиденциальности, наблюдениям и т. д. - это вещи, которые будет рассматривать DPO.
• Необходимо объединить обстоятельства для обязательства назначения DPO и обстоятельства для обязательства назначения ответственного за безопасность данных (предпочитает по сравнению с 100 000 держателями данных в обеих случаях).

Адвокат Лиор Этгар -

• Следует говорить о пороге. 200 000 - это высокий порог. Возможно, для данных, имеющих особую чувствительность, это уже должно быть 100 000.
• Как говорится о внутреннем аудите, есть возможность, чтобы ответственный за защиту персональных данных получал прямые задания от правления и отчитывался им.

Адвокат Эйаль Шгий -

• Одна из центральных проблем состоит в том, что предложенное регулирование не учитывает разнообразие держателей (это снова возвращается к проблеме, которая ранее касалась ответственного за безопасность данных). Держатель, который только хранит информацию, получает зашифрованные данные и не знает, сколько держателей данных имеется внутри, и не должен знать. Если мы хотим распространить обязательства DPO на держателей - регламент должен быть с более детальной резолюцией.

Адвокат Ая Маркавитс -

• В продолжение к комментарию, который возник относительно отсутствия ограничений на увольнение DPO в GDPR из предложенного текста. Важно поддерживать независимость положения DPO, прямо запрещать давать указания со стороны контролера или держателя в отношении выполнения его функций, но не думаю, что необходимо обязательно вносить изменения в вопрос об увольнении и т. д. ... Возможно, стоит рассмотреть аналогичные регулирования в законодательстве, когда есть внутренние контрольные органы в организации. Как укрепить там положение независимости.

3

• Необходимо также на держателей наложить обязательство о назначении DPO. Отказ от терминов клапанов в GDPR понятен с точки зрения чисто правоприменительной способности, но когда изучаешь их, понимаешь, что речь идет о ситуациях с повышенным риском, когда и держатель должен назначить DPO. Основная деятельность организации включает обработку чувствительной информации или систематический мониторинг держателей данных, на широком уровне - это определенно актуально и для держателя. Когда обработка чувствительной информации в широком масштабе является основой бизнес-модели держателя, он об этом, безусловно, осведомлен. Точно так же и для систематического мониторинга, даже если он осуществляется по указанию контролера. Всегда могут возникнуть ситуации, вызывающие опасения по поводу утечки из обработки, выходящей за рамки указаний контролера, но когда речь идет о основной деятельности, на которой организация зарабатывает, у него есть значительный и постоянный стимул находить способы увеличения ценности, которую он извлекает из обрабатываемой информации. Важно, чтобы у такого держателя был DPO, который направляет и контролирует его, а также помогает контролерам, использующим его услуги, соответствовать требованиям закона. В GDPR, когда контролер должен подготовить отчет, соглашение об обработке данных с держателем должно включать обязательство держателя содействовать контролеру в подготовке отчета. Контролер отвечает за оценку в отчете рисков, связанных с обработкой, предлагаемой держателем, и совершенно справедливо, но привычная ситуация заключается в том, что держатель - это тот, кто имеет знания о средствах уменьшения рисков, которые уже встроены в его услугу, и практика показывает, что у DPO держателя есть критически важная роль в оказании этой помощи контролеру, благодаря сочетанию его знаний о праве и его глубокого понимания услуги.
• Неправильно считать, сколько клиентов у держателя, нужно обращаться к ситуациям, в которых возникает риск. Не только по терминологии клапанов GDPR, но и как законодательство в других странах создавало конкретизацию регулирования. Статья 37(4) в GDPR позволяет государствам-членам устанавливать дополнительные условия: в Германии есть обязательство назначить DPO, как только организация постоянно нанимает как минимум 20 человек, занимающихся автоматизированной обработкой данных. В Испании необходимо назначить DPO в образовательных учреждениях и учреждениях здравоохранения, банках, страховых компаниях и длинном списке финансовых институтов, профсоюзов, поставщиков связи при определенных условиях и так далее. В Бразилии каждую организацию необходимо назначить. В некоторых странах, таких как Бельгия, если есть обязательство составить отчет, также накладывается обязательство назначить DPO - и это касается ситуаций, вызывающих повышенный риск. Существуют указания для критериев, когда существует обязательство составить отчет, например, в организациях государственного сектора, в связи с обязательством конфиденциальности, в организациях, обрабатывающих информацию с особой чувствительностью.

Доктор адвокат Амри Рахум (Гугл) -

• Позиция DPO и ответственного за безопасность данных различна. Это не одно в замену другому. Но вопрос в том, какова организационная функция и когда существует юридическое обязательство это сделать, это два разных вопроса.
• Пороговые условия должны быть различными. Они связываются с степенью рисков или сутью функции: DPO - это функция соблюдения, предназначенная для помощи организации с соответствием в соответствии с основными обязанностями по конфиденциальности. CISO - это исполнительная роль. Учитывая, что правила безопасности данных очень детальны, не уверен, что обязательно оставлять статутное обязательство на назначение ответственного за безопасность данных. Если решат назначить обоих, необходимо четко определить различия между ними - как предлагается определить функции и квалификации DPO, будет правильно определить с большей точностью, какова роль ответственного за безопасность данных. Нужно подумать, каков порог входа и какова также суть функций.
• Что касается держателя - будут держатели, для которых важно, чтобы у них был DPO, но это не обязательно. Могут быть ситуации, когда это требуется, например, если держатель также является контролером в отношении данной информации - там это более неуловимо. В подавляющем большинстве держателей в Израиле нет вопросов соблюдения, кроме безопасности данных. Установление статутного обязательства на назначение в роли имеет свои последствия, не уверен, что это правильно возлагать на каждую организацию. Есть много "глупых" держателей - у них нет влияния на то, как будут обрабатываться данные, на вопросы конфиденциальности. Какова добавленная ценность назначения DPO в таких случаях? В любом случае, это две разные функции.
• Ответственный за защиту персональных данных - стоит уточнить, что он может быть внешним работником, а также, возможно, уточнить, что происходит в группе компаний. Нет причины назначать каждого по отдельности.

Адвокат Дан Ор Хоф -

4

• Ответственный за защиту персональных данных у держателя - например, в случае, когда есть небольшой веб-сайт, маленького бизнеса, который использует аналитические услуги большой компании и в Я большой массе других сайтов. Может быть, что по существу контролер не должен назначать, но как раз поставщик, который хранит данные в больших масштабах, должен. Есть немало примеров по этой теме. Не зря GDPR нацелен на держателей, а не только на контролеров.
• Термины клапанов в GDPR проблематичны. Правильно рассматривать необходимость назначения DPO также у держателей баз данных. Они не только занимаются безопасностью данных: у них есть обязательства в отношении реализации прав; проверять соглашения о передаче данных на аутсорсинг; обязательства в контексте реализации указаний властей по вопросам защиты конфиденциальности; обязательства, чтобы удостовериться, что они не выходят за рамки своей роли как держателей баз данных и не выполняют действия, которые можно считать действиями контролеров или нарушением полномочий. В поправке 15 могут быть дополнительные обязательства.

Адвокат Ая Маркавитс -

• Основная деятельность держателя - это тот ключевой аспект, - необходимо наложить обязательство назначать DPO, когда основная деятельность держателя вызывает повышенный риск. Например, обработка особенно чувствительных данных в широком масштабе или систематический мониторинг.
• В европейских указаниях относительно роли DPO подчеркивается абсолютно справедливо, что DPO отвечает за мониторинг всех действий по обработке в организации, которая его назначила, а не только за ту обработку, в отношении которой существует обязательство его назначения. Не только безопасность данных и не только обработка, которую осуществляет держатель как держатель, например. Как было отмечено, опасные обработки, которые по своей сути находятся в ядре бизнес-активности держателя, вызывают опасения по поводу увеличенного ущерба в случае утечки применений в целях, выходящих за рамки, и было бы абсурдно, если бы роль DPO закончилась в тот момент, когда организация начинает обрабатывать информацию с целями, которые она сама определила, и тем самым меняет свою роль с держателя на контролера. А что если цели обработки, которые она осуществляет сейчас, не касаются 100 000 держателей данных? Необходим целостный взгляд на все действия по обработке, которые происходят в организации.

Адвокат Эйаль Шгий -

• Все действия по использованию информации, описанные выше, являются действиями, относящимися к контролерам во всех аспектах, и, следовательно, наложение обязанности назначать DPO на контролера решит проблему, так как держатели, которые сами используют данные, становятся собственниками этих данных. Держатели, которые преданы своим обязанностям и являются лишь держателями - они не должны проводить обработку данных для своих целей, и, следовательно, у них не должны возникать вопросы, имеющие отношение к DPO.
• Что касается очень крупных держателей, крайне важно, чтобы у них был ответственный за безопасность данных. В стране есть держатели с нулевым уровнем безопасности данных.
• Обработка чувствительной информации - есть вопросы существенной конфиденциальности, и есть вопросы безопасности данных. DPO должен проверять существенную конфиденциальность, но у нас нет такой даты в главе Б. О какой существенной конфиденциальности будет говорить DPO? У нас нет в законе о защите конфиденциальности существенной конфиденциальности в базах данных.

Лирон Маутнер и Реувен Идельман (в ответ) -

• Есть много существенных вопросов в области конфиденциальности. Существует отдельное законодательство, касающееся обработки информации, даже без связи с законом о защите конфиденциальности.

Адвокат Эйаль Шгий -

• У банка есть чувствительная информация, если она утечет, но если банк просто управляет остатком на счете, здесь нет вопросов конфиденциальности. Когда это верно? Когда он хочет следить за клиентами, делать сотрудничество. Угрозы различны.
• Нет возражений по поводу DPO - но против удаления ответственного за безопасность данных.

Адвокат Лиор Этгар -

• Необходимо провести разделение между DPO и ответственным за безопасность данных, но он видит DPO по-другому, как значимую функцию в организации.
• Связывается с тем, что Реувен сказал, но не уверен, что это должно быть юридическим обязательством. Основные обязанности все еще действуют.

5

• Что касается держателя - согласен рассмотреть всю совокупность контролеров; но что касается типа информации - нет оправдания, чтобы я знал, какова чувствительность информации и сколько держателей данных есть. В правилах безопасности данных - что происходит на практике? Либо следуют строгому варианту, либо более мягкому. Если мы хотим наложить штраф на держателя, который не назначил ответственного, не имея возможности знать, были ли выполнены условия назначения - это проблематично.
• Ключ должен заключаться в уведомлении контролера - даже сегодня держатели должны сообщать властям о количестве баз данных, которые они обрабатывают, но никто этого не делает. Есть типы обработчиков. Обработчики, которые только хранят, не выполняют никаких других действий, им нужен CISO, а не DPO. Способ внести ясность - это возложить обязательства на контролера - его держатель может помочь ему соблюдать все требования закона.

Адвокат Далит Бен Исраэль -

• Относительно отсутствия юридического обязательства на назначение безопасности данных - если его нет, то нужно точнее определить полномочия DPO. Потому что текст вызывает путаницу. Он относится к функциям, которые относятся к CISO. Например, подпункт (2) в предложенном тексте, DPO не занимается аспектами безопасности данных и не определяет рабочий план оценки рисков и тестов на проникновение. DPO присутствует на заседаниях, на которых ответственный за безопасность данных представляет план и его состояние, но он не готовит его или не контролирует его. Так же и в отношении "удостоверится в подготовке процедуры безопасности" - на практике DPO говорит клиенту, что должно быть в процедуре, но не имеет возможности проверять, как адвокат, выполняется ли это (например, является ли процедура с паролями достаточно хорошей) . Необходимо провести разграничение между теми вещами, которые имеют отношение к CISO, и теми, которые касаются DPO.

Адвокат Лиор Этгар -

• Лучше, чтобы это было общим, а детали были в правилах.

Адвокат Ади Хиршкорен Кляйн (DPO Эль Аль) -

• "Будет действовать для обеспечения соблюдения" - это проблематично, потому что он не тот, кто действует, кто принимает решения.

Адвокат Эла Тавет -

• Что касается требования, чтобы держатель назначал DPO - следует убрать обязанность из подпункта 1, а по подпункту 2 - можно предложить два альтернативных условия - или тот, кто держит различные базы данных [20] различных контролеров, или, насколько ему известно, он держит базу данных, включающую информацию с особой чувствительностью о 200 000 и более человек.
• Что касается предложения об обязательстве контролера базы данных информировать держателя о количестве держателей данных в базе данных и о типе информации (включает ли она информацию с особой чувствительностью) - в большинстве случаев держатели не являются владельцами израильских контролеров, они держат для контролеров за пределами страны, которые не подчиняются закону, так что не обязательно, что обязательство информирования контролера держателю решает проблему.
• Что касается требования, указанного в подпункте 4 - неясно, почему в отношении информации, не предоставленной держателем данных или в связи с услугами прямой рассылки, возникает обязанность назначить DPO, когда в базе сдержано меньше количества держателей, чем указано в подпункте 1 - возможно, речь идет о менее чувствительной информации, и именно в этом случае возникает требование при меньшем количестве держателей в базе?
• Что касается статьи 17(б)2 - формулировка "будет действовать для обеспечения" соблюдения законных требований является проблематичной, поскольку ответственный за защиту персональных данных не является тем органом, который принимает окончательные решения в организации относительно способов обработки данных, а является консультирующим и направляющим органом, но решения принимаются руководством.

Адвокат Ая Маркавитс -

• Необходимо расширить обязательства DPO не только на законные требования, а также согласно праву.

Адвокат Эйаль Шгий -

• "Будет действовать для..." - следует заменить на "осуществит контроль за соблюдением законных требований контролером или держателем, в зависимости от ситуации." DPO контролирует то, что делает компания, CISO также сам принимает решения о мерах безопасности, принимаемых в организации. Поэтому у него также есть личная ответственность. DPO не действует сам, наоборот, ему запрещено принимать оперативные решения, чтобы не впадать в конфликт интересов, он контролирует действия других факторов в компании. Если текст будет "будет действовать для...", контролеры поймут, что это ответственность DPO, а не ответственность контролеров, и DPO станет оператором, а не контрольным органом.

Адвокат Ая Маркавитс -

• В контексте формулировки требований к квалификации как пороговых условий, возможно, стоит попробовать подумать о приспособлении к сектору, а не к организации.
• Конфликт интересов - вероятно, мы увидим внешних DPO, особенно в первые годы, учитывая ограниченное предложение специалистов по конфиденциальности, которые могут соответствовать условиям квалификации. Поэтому необходимо рассмотреть конфликты интересов извне организации, а не только внутри нее.
• С точки зрения квалификаций - возможно, стоит делать что-то более общее и в зависимости от конкретных обстоятельств - профессионал/опытный в его области, и это не опускается до частных деталей. Это зависит от типа организации и информации.
• В различных странах не рассматривают регулирование профессии как пороговое условие. Например, во Франции, Испании и Латвии действуют механизмы сертификации DPOs, которые местный орган осуществляет на основании закона или отвечает за их контроль различными способами, но одновременно закон разъясняет, что организации имеют право назначать DPO любого человека, который отвечает требованиям и условиям квалификации, согласно GDPR.