Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Позиция компании Privacy Team Ltd. по законопроекту о защите частной жизни (Поправка № 14) (הצעת חוק הגנת הפרטיות (תיקון מס' 14)), 5782-2022 — предложение Министерства юстиции о назначении ответственного за защиту частной жизни в организации

Privacy Team Ltd. Башня Алон 1 (эт. 21), ул. Игаль Алон 94, Тель-Авив

27 ияра 5784 г. / 4 июня 2024 г.

Уважаемому председателю Комиссии по конституции, праву и правосудию, депутату Кнессета Симхе Ротману

Предмет: Законопроект о защите частной жизни (Поправка № 14) (הצעת חוק הגנת הפרטיות (תיקון מס' 14)), 5782-2022 — предложение Министерства юстиции о назначении ответственного за защиту частной жизни в организации

К заседанию 04/06/2024 Комиссии по конституции, праву и правосудию Кнессета под Вашим председательством по законопроекту о поправке к указанному закону («Поправка 14» и «Закон» соответственно) просим представить основные положения нашей позиции относительно статей 17б1–17б3 Поправки 14, касающихся обязанности назначения ответственного за защиту частной жизни («ответственный»), его функций, квалификации и независимости.

Вкратце, мы полагаем, что инициатива по включению данного порядка в Поправку 14 является положительной. Вместе с тем, учитывая, что должность Data Protection Officer (DPO) прочно утвердилась в Европейском союзе и в других государствах за восемь лет, прошедших с принятия GDPR, целесообразно и правильно принять в законе порядок, максимально приближённый к европейскому аналогу, с учётом регуляторного толкования и практического опыта, накопленного лицами, уже занимающими эту должность. Это — вместо установления произвольного и фрагментарного порядка, который может подорвать реализацию важных целей, ради которых он предназначен. Ниже мы подробно изложим суть наших замечаний.

1. Условия применения обязанности назначения произвольны, проблематичны и упускают суть

1.1. Случаи, перечисленные в статье 17б1(а), ставят обязанность назначения ответственного в зависимость от произвольных чисел субъектов данных и баз данных, а также подвержены интерпретационной неопределённости ввиду использования термина «база данных». Нежелание использовать оценочные понятия GDPR в данном контексте понятно с точки зрения правовой определённости и возможности правоприменения, однако сосредоточенность на этих аспектах упускает суть: назначение, способствующее соблюдению требований и «подотчётности» в отношении защиты данных в организациях, основная деятельность которых по своей природе сопряжена с повышенным риском для частной жизни.

1.2. Наряду с публичными органами, аналогичный порядок в GDPR сосредоточен на контроллерах и процессорах, в основе деятельности которых находится обработка особо чувствительных данных или систематический и непрерывный мониторинг субъектов данных в широком масштабе. Повышенный риск, сопряжённый с такой деятельностью, не исчерпывается её количественными характеристиками: например, систематический и непрерывный мониторинг по своей природе может привести к использованию данных для недобросовестных целей, выходящих за рамки разумных ожиданий субъекта данных, и когда такая обработка находится в основе деятельности организации, у неё имеется существенный и постоянный стимул увеличивать извлекаемую из неё ценность — то есть риск расширения использования.

1.3. Не оспаривается, что количественный аспект обработки данных является фактором риска, которому следует придавать надлежащий вес, однако и к нему предлагаемый порядок подходит узко и неисчерпывающе. Для сравнения, руководство¹ форума европейских регуляторов относительно должности DPO рассматривает число субъектов данных как лишь одну из четырёх переменных для определения обработки «в широком масштабе» — и даже при этом не в абсолютных числах, а в зависимости от контекста (например, их доля в соответствующей группе или населении). Наряду с этим организации в Европе обязаны также рассматривать объём и разнообразие видов обрабатываемых данных, продолжительность и непрерывность обработки (в особенности когда данные накапливаются и не удаляются) и её географический охват (например, данные о всех жителях государства в отличие от жителей конкретного города).

1.4. Более того, указанное руководство подчёркивает, что невозможно указать точное количество данных или субъектов данных, которое было бы приемлемо в любой ситуации. Фактически наша проверка показала, что из 30 государств Европейского экономического пространства, включая члены ЕС, только в Словении установлен количественный порог субъектов данных для обязанности назначения DPO — и даже при этом при наличии дополнительного фактора риска (обработка на основании правовой обязанности персональных данных более чем 100 тысяч субъектов данных; то есть когда контроль изъят у субъекта данных) или когда установленный порог в 20 раз ниже аналога в предлагаемой редакции (обработка особых категорий персональных данных в отношении более чем 10 000 субъектов данных в словенском законе, по сравнению с обработкой данных особой чувствительности о 200 тысячах и более лицах в предлагаемой статье 17б(а)(1)).

1.5. На этом фоне наша позиция состоит в том, что целесообразно принять критерии GDPR и для определения сферы применения обязанности назначения ответственного в Израиле. Это — вместо установления порядка, который хотя и будет проще для правоприменения, но может упустить цель, ради которой предназначен, и создать проблемную нагрузку на организации, которые будут обязаны постоянно отслеживать число субъектов данных — и лишь при достижении законодательного порога назначат ответственного, которому придётся задним числом устранять дефектные практики, которые можно было бы предотвратить, если бы порядок был сосредоточен на сути.

2. По нашему мнению, не следует различать контроллеров и процессоров в отношении сферы применения обязанности назначения

2.1. Во-первых, процессор играет важнейшую роль в поддержке и содействии контроллеру в соблюдении возложенных на него обязанностей, и наличие ответственного в организации-процессоре критически важно, когда речь идёт о видах обработки, сопряжённых по своей природе с риском для частной жизни.

2.2. Во-вторых, когда обработка, сопряжённая с указанным риском, находится в основе деятельности процессора, существует опасение повышенного ущерба в случае расширения использования для целей, выходящих за рамки инструкций контроллера.

3. Избыточность критерия назначения в связи с данными, не переданными субъектом данных / от его имени / с его согласия

В соответствии со статьёй 17б(1)(а)(4): во-первых, с учётом текста статьи 11 Закона, невозможно собирать данные «от» субъекта данных без его согласия. Во-вторых, неясно, что означает передача данных «от имени» субъекта данных, или почему этот случай исключён как сопряжённый с более низким риском. В-третьих и главное, требование согласия в настоящее время применяется только в случаях прямого сбора, подпадающего под статью 11 Закона, или в случаях, входящих в альтернативы нарушения частной жизни по статье 2 Закона. Поскольку в ближайшем будущем (в рамках Поправки 15 к Закону) ожидается установление в законе дополнительных правовых оснований для обработки данных помимо «согласия», нет никакого оправдания для укрепления статуса согласия как верховного основания, в отсутствие которого организация будет обязана назначить ответственного, даже если у неё имеется иное правовое основание для обработки.

4. Следует избегать обязательных требований к сертификации, создающих барьер для входа в профессию, которая ещё формируется

По нашему мнению, предлагаемая редакция статьи 17б3 придаёт чрезмерный вес формальным требованиям к образованию, подготовке, экзаменам и повышению квалификации. Стремление к регуляторному упорядочению должности ответственного понятно и похвально, однако следует остерегаться нарушения свободы занятия для лиц, работающих в данной сфере. Чрезмерное регулирование квалификационных требований может причинить больше вреда, чем пользы — как потому, что формальные подготовки академическими институтами могут по своей природе упустить практические аспекты должности ответственного, так и потому, что на правовом уровне даже после Поправки 14 Закон лишён существенных аспектов (оценка воздействия, правовые основания для обработки, принципы обработки и др.), без которых невозможно наполнить содержанием должность ответственного.

С уважением,

Айя Маркович, адвокат — старший менеджер по защите данных

Анер Рабинович — генеральный директор

Privacy Team Ltd. (Цевет Прати'ют бе-Ам)

---

¹ https://ec.europa.eu/newsroom/article29/items/612048/en