Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Совет по защите конфиденциальности

Пятница, 21 июня 2024 г.

Председателю Комитета по конституции, законодательству и праву — депутату Кнессета Симхе Ротману Членам Комитета по конституции, законодательству и праву Кнессет Израиля Иерусалим

По электронной почте

Уважаемые члены Комитета,

Предмет: Поправка 14 к Закону о защите конфиденциальности — сотрудники по защите конфиденциальности — финансовые санкции за неназначение

Публичный совет по защите конфиденциальности имеет честь представить Уважаемому Комитету свою позицию по нижеизложенному вопросу.

Совет последовательно выражал своё мнение о важности включения положений о сотрудниках по защите конфиденциальности в рамках Поправки 14 к Закону о защите конфиденциальности, вместо ожидания Поправки 15 к Закону, и приветствует важный шаг, предпринятый Комитетом и Министерством юстиции в данном направлении.

Сотрудники по защите конфиденциальности являются подлинными стражами конфиденциальности. Они — проводники изменений, способных побудить организации улучшить использование ими персональных данных и снизить связанные с этим риски. Их главная роль — обеспечить внедрение принципов конфиденциальности и соображений защиты персональных данных в рабочие процессы организации, а также содействовать организации в реализации её ответственности и обязательств по израильскому праву. Обязательное назначение сотрудника по защите данных в области персональных данных соответствует современному законодательству в десятках стран мира.

Совет излагает ниже свою позицию по трём вопросам, касающимся сотрудников по защите конфиденциальности, в отношении предлагаемой редакции к заседанию № 17 по Поправке 14 к Закону о защите конфиденциальности, назначенному на 23.6.2024.

1. Совет поддерживает позицию Министерства юстиции о наложении финансовых санкций за неназначение сотрудника по защите конфиденциальности

Совет считает, что предложение председателя Комитета — не налагать финансовую санкцию в таком случае, применяя двухэтапную модель, допускающую снижение санкции в случае последующего назначения нарушителем — может превратить обязательство в бессодержательное, поскольку у организаций не будет достаточного стимула назначать сотрудника, несмотря на законодательное требование. Это аналогично нынешнему недостаточному уровню соблюдения в Израиле прочих обязательств в области защиты конфиденциальности при отсутствии полномочий по принудительному исполнению. Отсутствие финансовой санкции в сочетании с неопределённостью, присущей обязательству о назначении согласно GDPR, даст результат, ослабляющий эффективность данного обязательства.

2. Обязательство о назначении сотрудника по защите конфиденциальности должно охватывать все случаи обработки данных, а не только случаи, когда обработка данных является основным видом деятельности организации

В подпункте 17б1(3) в документе к заседанию № 17 по Поправке 14 к Закону о защите конфиденциальности (выделение наше) написано:

«Владелец или держатель базы данных, основная деятельность которого включает/является операциями по обработке данных, которые в силу своего характера, объёма или целей требуют регулярного и систематического мониторинга лиц, а также в том числе мониторинга или систематического отслеживания поведения, местоположения или действий лица в значительных масштабах.»

Совет считает, что правильной формулировкой в данном случае является «включает». Эта формулировка также согласуется с положениями GDPR, статья 37(1)(б), из которой заимствована предлагаемая редакция (выделение наше):

«the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale;»

Речь идёт не о том, что обработка данных методом систематического мониторинга является основной деятельностью, а о том, что такая обработка является неотъемлемой частью основной деятельности. В качестве иллюстрации см. разъяснение Европейского комитета по защите данных (European Data Protection Board) по данному вопросу от 5.4.2017, где отмечено¹:

«'Core activities' can be considered as the key operations to achieve the controller's or processor's objectives. These also include all activities where the processing of data forms as inextricable part of the controller's or processor's activity. For example, processing health data, such as patient's health records, should be considered as one of any hospital's core activities and hospitals must therefore designate DPOs.»

Таким образом, согласно приведённому примеру, основной деятельностью больницы является лечение пациентов, а не обработка данных путём систематического мониторинга, однако мониторинг пациентов является неотъемлемой частью её основной деятельности, поэтому больница обязана назначить сотрудника по защите данных (DPO).

3. Совет возражает против включения «держателя» в обязательство о назначении применительно к публичным органам и торговцам данными

В отношении редакции подпунктов 17б1(1) (публичный орган) и (2) (торговцы данными), представленной Комитету к заседанию № 17 по Поправке 14 к Закону о защите конфиденциальности, назначенному на 23.6.2024, в неё было добавлено слово «держатель». Совет возражает против данного дополнения.

Смысл этого дополнения состоит в том, что каждый подрядчик государственного органа или муниципалитета (и, например, в практической жизни — в каждом тендере на оказание услуг, который обязывает подрядчика к мерам по защите конфиденциальности), и каждый подрядчик для торговцев данными и других торговцев данными будет обязан назначить сотрудника по защите конфиденциальности. Часть таких подрядчиков оказывают услуги, включающие обработку персональных данных, которая не создаёт высокого риска. По мнению Совета, это чрезмерное требование, способное создать излишнюю нагрузку. Оно также не имеет аналога в GDPR (статья 37(1)(а)).

По мнению Совета, следует сохранить возложение обязательства о назначении на держателей в соответствии с подпунктами 17б1(3) и (4), соответствующими требованиям GDPR: то есть обязательство будет применяться к держателям, занимающимся регулярным и систематическим мониторингом в значительных масштабах, или обрабатывающим персональные данные особой чувствительности в значительных масштабах. Данное обязательство будет применяться ко всем держателям — как оказывающим услуги публичным органам, торговцам данными или иным субъектам на частном рынке, так и иным.

Совет остаётся в распоряжении Уважаемого Комитета по любому вопросу, а также для консультаций по вышеизложенным вопросам и в связи с продвижением и завершением Поправки 14 ко второму и третьему чтениям Закона о защите конфиденциальности.

С уважением,

Члены Совета: Адв. Орит Подолски, председатель Совета Проф. Джихад аль-Сана Дан Ор-Хоф, адв. Нога Гева, адв. Д-р Матан Гутман, адв. Асаф Харэль, адв. Аи-Г'и Эли Коэн-Каган, адв. Авиг'айл Пинцук, адв.

Копии: Адв. Хами, юридический советник Комитета по конституции, законодательству и праву Адв. Гилад Самма, руководитель Управления по защите конфиденциальности Адв. Реувен Идельман, юридический советник Управления по защите конфиденциальности Адв. Лирон Маутнер Логаси, Министерство юстиции

---

¹ Guidelines on Data Protection Officers ('DPOs'), of Article 29 Working Party (endorsed by the European Data Protection Board during its first plenary meeting), on page 20. The guidelines are available at: https://ec.europa.eu/newsroom/just/document.cfm?doc_id=44100