Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Позиция Израильского центра исследования информации по Поправке № 14 к Закону о защите частной жизни

DPI GROUP — DATA PROTECTION INSTITUTE LTD

Израильский центр исследования информации, Исследовательский отдел

20 июня 2024

Депутату Кнессета Симхе Ротману, Председателю Комиссии по конституции, праву и судопроизводству

Предмет: Позиция Центра исследования информации и его замечания по Поправке № 14 к Законопроекту о защите частной жизни, 5782-2022 («Поправка 14»)

Израильский центр исследования информации посредством своего Исследовательского отдела, являющийся частью компании DPI Group — Data Protection Institute Ltd., представляет свои замечания по ряду вопросов Поправки 14 в преддверии завершения законодательного процесса.

Введение

Поправка 14, первоначально опубликованная в официальных ведомостях в январе 2022 года, призвана адаптировать Закон о защите частной жизни, 5741-1981 («Закон»), к существующим реалиям и вызовам в защите персональных данных, в частности в базах данных, и сосредоточена на трёх основных направлениях: (а) надзор и правоприменение; (б) сокращение обязанности регистрации баз данных; (в) обновление определений Закона. Поправка также призвана усилить соблюдение Правил защиты частной жизни (Безопасность информации), 5777-2017.

Центр исследования информации обращает внимание Комиссии на два основных вопроса: (а) поправка об обязанности назначения ответственного за безопасность информации и предложение об обязательном назначении «ответственного за защиту частной жизни» (DPO) в организациях; (б) предлагаемая поправка к статье 11 Закона о расширении обязанностей запрашивающего информацию.

А. Обязанность назначения «ответственного за безопасность информации» и «ответственного за защиту частной жизни» (DPO)

1. В рамках Поправки 14 предлагается установить обязанность назначения ответственного за защиту частной жизни (DPO) в организациях, соответствующих критериям статьи 17б1(а). Это ужесточит позицию Управления по защите частной жизни: вместо добровольного назначения оно будет закреплено в законодательстве как обязательное.

2. Назначение ответственного за защиту частной жизни принято в различных странах мира. В Европе это обязательство закреплено в Общем регламенте по защите данных ЕС (GDPR). Обязанность назначения DPO — приветствуемая инициатива, приближающая Израиль к европейскому стандарту.

3. Предложение о назначении DPO не призвано заменить существующую обязанность назначения ответственного за безопасность информации по статье 17б(а), а дополнить её.

4. На последнем заседании Комиссии формулировка о субъектах, обязанных назначить ответственного за безопасность информации, не была окончательно утверждена, однако было указано, что она будет основана на нормах GDPR (статья 37):

   Каждый из следующих субъектов обязан назначить DPO (обязанность распространяется на контролёра и обработчика данных):

   (1) Государственный орган или публичный субъект;

   (2) Субъект, осуществляющий масштабную систематическую обработку данных с регулярным мониторингом субъектов данных;

   (3) Субъект, обрабатывающий конфиденциальные данные в широком масштабе.

   Центр полагает, что данная формулировка, основанная на GDPR, недостаточна для целей израильского законодательства.

А1. Обязанность назначения ответственного за безопасность информации

5. В настоящее время Закон устанавливает обязанность назначения ответственного за безопасность информации, если: (1) организация владеет не менее чем пятью базами данных; (2) субъект является государственным органом, банком, страховой компанией или компанией, занимающейся кредитным рейтингом.

6. Правило 3 Правил безопасности информации определяет статус, требования и функции ответственного за безопасность информации, включая: подготовку процедуры безопасности; составление плана текущего контроля; дополнительные задачи, определённые владельцем базы данных.

7. Основная функция ответственного за безопасность информации в настоящее время относится к технологическому уровню защиты информации организации.

8. Предлагаемая поправка к статье 17б(а)(1) будет требовать назначения ответственного за безопасность информации организацией, владеющей двадцатью и более базами данных или пятью и более базами данных различных контролёров. По мнению Центра, применение этой обязанности исключительно на основе количества баз данных, без надлежащего учёта характера обрабатываемых данных, не соответствует цели поправки.

9–11. Количественный критерий является важным, но не единственным мотивом. В рамках статьи необходимо также учитывать характер данных и способы их использования.

12. Предложение Центра — изменить статью 17б(а)(1): «Следующие субъекты обязаны назначить лицо с надлежащей квалификацией в качестве ответственного за безопасность информации: (1) владеющий двадцатью и более базами данных, в которых осуществляется масштабная обработка конфиденциальных данных, или владеющий десятью и более базами данных различных контролёров, в которых осуществляется масштабная обработка конфиденциальных данных;»

А2. Обязанность назначения ответственного за защиту частной жизни

13–14. Необходимо скорректировать формулировку статьи 17б3 о квалификации DPO: на должность DPO должно быть допустимо назначение и специалиста с технологическим профилем при сопровождении профессиональной юридической консультацией.

15. Цель обязательного назначения DPO в организациях приветствуется и будет способствовать положительным изменениям в сфере защиты частной жизни в Израиле. Предложенные изменения приведут к более эффективному заполнению должностей.

Б. Предлагаемая поправка к статье 11 — расширение обязанностей запрашивающего информацию

16. Статья 11 Закона устанавливает обязанности запрашивающего информацию: при обращении к субъекту данных он обязан указать: (1) наличие законной обязанности предоставления информации или добровольность; (2) цель запроса; (3) кому будет передана информация.

17. В ходе обсуждений предложены дополнительные требования: (4) последствия отказа в предоставлении информации; (5) имя контролёра базы данных и контактные данные; (6) наличие прав субъекта данных на ознакомление (статья 13) и исправление (статья 14).

18. Поправка к статье 11 не упоминалась в тексте Поправки 14, одобренной в первом чтении; её источник — проект Поправки 15, ещё не прошедший ни одного чтения.

19–22. «Импорт» поправки статьи 11 в Поправку 14 — процедурное нарушение: поправка не прошла первого чтения в соответствии со статьёй 85(а) регламента Кнессета, не проходила общественных обсуждений, не публиковался соответствующий проект для замечаний общественности. Включение этой поправки представляет собой выход за рамки предмета Законопроекта (Поправка 14) и ограничивает возможность общественности высказать возражения.

23. По существу: согласно Докладу комиссии Шуфман, большинство членов комиссии считали, что не следует возлагать обязанность уведомления при косвенном сборе информации (т.е. не непосредственно от субъекта данных).

24. Поправка статьи 11 существенно затронет большинство компаний в экономике: потребуется обновление документов, политик конфиденциальности, форм согласия, организационные изменения и значительные затраты.

25. Такая поправка должна проходить надлежащий законодательный процесс.

26. В качестве альтернативы, если поправка будет продвинута, она должна распространяться только на новые базы данных, созданные после вступления Закона в силу.

27. Ещё одна альтернатива: разрешить компаниям, работающим через цифровые интерфейсы (приложения, веб-сайты), уведомлять субъектов данных через механизм подразумеваемого уведомления в цифровом интерфейсе (без необходимости получения явного конкретного согласия).

В. Заключение

28. Поправка 14 к Закону о защите частной жизни является своевременной и важной. Приведённые замечания призваны улучить формулировку предлагаемого закона.

29. Будем рады принять участие в обсуждении и представить замечания устно.

С уважением,

Д-р Дан Хай, адвокат Председатель и глава Исследовательского отдела, DPI GROUP