+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Израиль
    6 октября 2022

    Израиль

     

    ЗАКОНОДАТЕЛЬСТВО ИЗРАИЛЯ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

     Система законодательства. Основные нормативно-правовые акты

    Законодательство Израиля в области персональных данных базируется на Основном законе «Человеческое достоинство и свобода» (1992 г.), законе «О защите частной жизни» (5741-1981), на «Правилах безопасности» (5777-2017), Положении о защите конфиденциальности (передача данных в базы данных за рубежом) 5761-2001, а также на нормативных правовых актах, принятых на их основе и распространяющих свое действие в определенных областях.

    Территориальное действие законодательства о персональных данных

    Закон о конфиденциальности прямо не определяет его юрисдикцию и не требует, чтобы субъект данных был резидентом или гражданином Израиля. Из этого можно сделать вывод, что юрисдикция Закона о неприкосновенности частной жизни аналогична юрисдикции других израильских законов, то есть ограничивается территорией Израиля.

    В то же время главный надзорный орган Израиля в сфере защиты персональных данных – РРА считает, что закон «О защите частной жизни» (5741-1981) должен иметь экстерриториальную сферу действия и применяться к любой деятельности, направленной на израильтян.

    Израильское законодательство о неприкосновенности частной жизни применяется к операциям по обработке данных, если:

    • серверы, содержащие персональные данные, находятся в Израиле;
    • контролер персональных данных является израильтянином или находится в Израиле;
    • процессинговая деятельность ведется в Израиле;
    • обрабатываются данные субъектов Израиля.

    Основные понятия

    Персональные данные. Израильский закон «О защите частной жизни» (5741-1981) не формулирует понятие «персональные данные», однако перечисляет, что может относиться к ним: сведения о личности, интимных отношениях, состоянии здоровья, экономическом положении, профессиональной квалификации, мнениях и убеждениях. Также в законе поясняется, что перечень такой информации может быть расширен путем принятия соответствующих нормативных актов Министром юстиции.

    Трансграничная передача регулируется Положением о защите конфиденциальности (передача данных в базу данных за рубежом) 5761-2001. Из документа следует, что так же, как и в законодательстве других стран, под трансграничной передачей подразумевается передача данных из Израиля за границу. Предусматриваются законодательные ограничения на такую передачу. По общему правилу она допускается в случае, если страна, в которую передаются данные, обеспечивает уровень защиты не ниже, чем в Израиле, и при соблюдении следующих принципов (ограничений):

    • данные должны собираться законным и справедливым образом;
    • данные должны храниться, использоваться и передаваться только для цели, для которой они были собраны;
    • собранные данные должны быть точными и актуальными;
    • субъект ПДН сохраняет право на проверку своих данных;
    • действуют обязательные требования принимать адекватные меры защиты и безопасности базы данных.

    Документ также предусматривает условия, при которых допускается трансграничная передача в страны, которые не обеспечивают надлежащий уровень защиты данных. Трансграничная передача допускается при соблюдении хотя бы одного из следующих условий:

    • субъект ПДН дал согласие на трансграничную передачу;
    • согласие на трансграничную передачу не может быть получено, но такая передача имеет жизненно важное значение для защиты здоровья субъекта;
    • данные передаются корпорации под контролем владельца базы данных, из которой они передаются, и он гарантирует защиту конфиденциальности после передачи;
    • данные передаются лицу, с которым у владельца базы данных, из которой они передаются, есть договор, предусматривающий условия владения и использования данных из Израиля;
    • данные обнародованы или предоставлены для публичного ознакомления на законных основаниях;
    • передача данных имеет важное значение для общественной безопасности;
    • передача данных является обязательной в соответствии с законодательством Израиля;
    • данные передаются в базу данных в стране: являющейся стороной Европейской конвенции о защите физических лиц при автоматизированной обработке персональных данных; получающей данные от государств-членов Европейского сообщества на тех же условиях; имеющей соглашение о сотрудничестве в сфере защиты конфиденциальности (перечень стран публикуется Регистратором баз данных (РРА) в официальном издании).

    На владельца базы данных в Израиле возложена обязанность получения письменной гарантии от получающей стороны о принятии надлежащих мер по защите данных и не передаче их третьим лицам.

    Положения о трансграничной передаче персональных данных не применяются к данным, передаваемым по запросу в соответствии с Законом о правовой помощи между странами.

    Биометрические данные

    Закон «О защите частной жизни» (5741-1981) не регулирует и не определяет, что именно является «биометрическими данными». Однако в 2009 году был принят закон «О биометрической базе данных», а также создана государственная база биометрических данных граждан Израиля, которая включает отпечатки пальцев и контуры лица. С учетом указанного закона, а также того, что использование перечисленных биометрических данных предусмотрено при выдаче цифровых удостоверений личности и цифровых паспортов, целесообразно учитывать, что они законодательством признаются биометрическими.

    Персональные данные несовершеннолетних

    Особые требования к сбору или иной обработке персональных данных несовершеннолетних в специальном израильском законодательстве не предусмотрено. Закон «О защите частной жизни» не содержит какой-либо конкретной ссылки на несовершеннолетних и согласие несовершеннолетних. Требования о согласии будут применяться к ним в соответствии с положениями закона «О дееспособности и опеке» 1962 года, которые регулируют вопросы, касающиеся несовершеннолетних. В соответствии с данным законом действия несовершеннолетнего (то есть лица, не достигшего 18-летнего возраста), порождающие юридические последствия, могут быть отменены, если они совершены без согласия родителя/опекуна. Однако юридические акты, совершенные несовершеннолетними, или юридические акты, совершенные с лицом, которое не знало или не могло разумно предполагать, что другая сторона является несовершеннолетним, не могут быть отменены, если они не повлекут материального ущерба несовершеннолетнему или его имуществу. Это общее правило применяется к любому согласию несовершеннолетнего, предоставленному с целью соблюдения положений закона «О защите частной жизни» 5741-1981.

    Оператор и обработчик

    Закон о неприкосновенности частной жизни (и принятые в соответствии с ним правила) применяется в отношении любого типа контролера/владельца/оператора и обработчика/агента, независимо от того, является ли он физическим или юридическим лицом, государственным органом, агентством или другим органом.

    Закон о конфиденциальности проводит различие между «владельцем» базы данных и «держателем» базы данных. Хотя Закон о конфиденциальности не содержит определения владельца базы данных, PPA рассматривает его как лицо, ответственное за сбор персональных данных, а также за средства и цели, для которых будут собираться персональные данные. Что касается владельца базы данных, то Закон о конфиденциальности определяет такой термин для целей базы данных как лицо, которое постоянно владеет базой данных и которому разрешено ее использовать.

    Следует отметить, что некоторые государственные органы (например, государственные органы, государственные учреждения, местные органы власти и другие органы, выполняющие государственные функции в соответствии с любым законом) подчиняются определенным требованиям Закона о неприкосновенности частной жизни, в том числе в отношении обмена персональными данными между государственными органами, прав доступа и просмотра и т.д.

    Права субъекта персональных данных

    Субъекты персональных данных имеют следующие права:

    • право доступа к собственным персональным данным субъекта данных;
    • право на исправление собственных персональных данных субъекта данных в случае их неточности или неполноты, право на удаление информации; субъект персональных данных вправе обжаловать в суд отказ в исправлении неточных данных.
    • право на удаление из базы данных, используемой для почтовой рассылки, устанавливать условия/правила использования персональных данных.

    Права субъекта персональных данных могут быть ограничены в случае, если владелец базы данных посчитает, что предоставление информации субъекту может причинить вред его физическому или психическому здоровью. В таком случае запрашиваемая субъектом персональных данных информация направляется оператором медицинскому работнику соответствующего профиля.

    Способ и условия, а также плата за осуществление права на ознакомлениe с информацией должны устанавливаться нормативными правовыми актами.

    Одновременно Закон о защите частной жизни предусматривает исключения, которые ограничивают право субъекта на доступ к информации о себе в различных базах данных: органов безопасности, службы исполнения наказаний, налогового органа и т.п.

    Согласие на обработку персональных данных

    В целом, в соответствии с израильским законодательством, согласие всегда требуется для сбора или обработки персональных и чувствительных данных, однако допускается собирать и обрабатывать персональные или чувствительные данные без согласия и/или для целей, отличных от тех, для которых были собраны персональные данные. При этом такое действие не может рассматриваться как нарушение неприкосновенности частной жизни в любом уголовном или гражданском судопроизводстве, если оно было совершено добросовестно, например, в следующих случаях:

    • нарушение было совершено, если нарушитель был подвержен юридическому, моральному, социальному или профессиональному обязательству совершить его;
    • нарушение было совершено для защиты законного личного интереса нарушителя;
    • нарушение было связано с общественным интересом, оправдывающим его в обстоятельствах дела.

    При этом изложенное является всего лишь защитой, предусмотренной Законом о неприкосновенности частной жизни, которую израильские суды могут отклонить или отменить.

    Правовые основания для обработки конфиденциальных персональных данных:

    • субъект данных дал явное согласие на обработку;
    • обработка необходима для целей выполнения обязательств и осуществления конкретных прав субъекта данных в области законодательства о занятости, социальном обеспечении и социальной защите;
    • обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически неспособен дать согласие;
    • обработка относится к персональным данным, которые явно обнародованы субъектом данных;
    • обработка необходима для установления, осуществления или защиты юридических требований;
    • обработка необходима по причинам, представляющим значительный общественный интерес;
    • обработка необходима по соображениям общественного интереса в области общественного здравоохранения;
    • иное.

    Законный интерес

    Хотя Закон о защите частной жизни конкретно не затрагивает этот вопрос, из его общих положений следует, что единственным юридическим основанием для обработки в соответствии с израильским законодательством является согласие (явное или подразумеваемое), которое требуется для того, чтобы избежать нарушения конфиденциальности.

    Можно сделать вывод, что в конкретных случаях законный интерес может быть использован в качестве основы для обработки. Например, PPA определил, что обработка медицинских данных на рабочем месте во время пандемии COVID-19 может быть оправдана законным интересом.

    Отраслевое регулирование в области персональных данных

    Свобода печати и СМИ

    Помимо уголовно-правовой специфики закон «О полномочиях по предотвращению совершения правонарушений посредством сайтов в сети «Интернет» затрагивает регулирование свободы слова, основная проблема в регулировании которого заключается в поиске баланса между интересами государства в рамках защиты граждан и декларируемым органами власти Израиля принципом свободы слова. Верховный суд Израиля признал, что защита слова распространяется на все формы выражения и содержание такого выражения и включает свободу печати, политических лозунгов и распространения информации в сети «Интернет». Следовательно, этот принцип распространяется и на публикации в социальных сетях. Однако свобода слова не является абсолютной и может быть ограничена в определенных обстоятельствах, когда есть «почти уверенность» в том, что выражение может причинить «реальный вред» общественной безопасности. Право на свободу слова также может быть ограничено в обстоятельствах, когда оно противоречит праву на человеческое достоинство, защищенному Основными законами. Кроме того, запрещено подстрекательство к расизму, терроризму и насилию или отрицание Холокоста и восхваление злодеяний, совершенных нацистами, а также оскорбление государственного служащего и клевета.

    Трудовые отношения

    Как следует из постановлений израильского национального суда по трудовым спорам, согласие на сбор и обработку персональных данных работников в контексте занятости должно быть явным (обычно в письменной форме). При этом требуется соблюдение следующих условий:

    • условие законности: сбор и использование персональных данных должны быть ограничены основными деловыми целями;
    • условие соразмерности: работодатель должен изучить и выбрать средства, которые наименее вредны для частной жизни работников;
    • принцип соответствия цели: сбор информации ограничивается только тем, что необходимо для достижения первоначальной цели, ради которой информация была собрана.

    Локализация

    Требований по локализации в законодательстве нет.

    Урегулирование споров. Досудебная процедура. Право на обращение в суд.

    При нарушении неприкосновенности частной жизни наступает ответственность за гражданское правонарушение. Вместе с тем за умышленное нарушение, связанное с шпионажем, слежкой, фотографированием на частной территории, незаконным копированием переписки, незаконным использованием имени, наименования, изображения или голоса в целях получения прибыли) правонарушитель наказывается лишением свободы на срок до пяти лет.

    Субъект персональных данных вправе обратится в суд в случае, если владелец базы данных отказал ему в проведении проверки информации о нем в базе данных либо не направляет субъекту персональных данных уведомление о причинах отказа в выполнении его запроса по изменению или удалению информации о нем.

    Ответственность за нарушения в сфере персональных данных

    Административные средства правовой защиты / гражданские штрафы, применяемые регулирующими органами и правоохранительными органами.

    PPA имеет право налагать административные штрафы в размере от 10 000 ILS (около 2800 долларов США) до 25 000 ILS (около 7000 долларов США) за нарушение некоторых положений Закона о неприкосновенности частной жизни. За продолжающиеся нарушения, совершенные после уведомления о нарушении, выданного PPA, административный штраф будет включать 1/10 суммы, предусмотренной за указанное нарушение, за каждый день.

    Уголовные наказания.

    Как правило, любое лицо, умышленно нарушающее частную жизнь другого человека любым из способов, предусмотренных Законом о неприкосновенности частной жизни, наказывается лишением свободы на срок до пяти лет.

    Кроме того, любое лицо, совершившее определенные нарушения Закона о неприкосновенности частной жизни в отношении компьютеризированных баз данных, подлежит лишению свободы на срок до одного года (при этом такое преступление не требует доказательств преступного умысла или халатности). К ним относятся управление базой данных без регистрации или с целью, отличной от цели, для которой была зарегистрирована база данных, непредоставление субъектам данных или частичное их уведомление о конфиденциальности, непредоставление субъектам данных прав доступа и исправления и т.д.

    Частные средства правовой защиты.

    Нарушение положений Закона о конфиденциальности, касающихся баз данных, представляет собой деликт в соответствии с Законом о деликтах, и любой субъект данных, понесший ущерб в результате нарушения, может потребовать возмещения ущерба (включая подачу коллективного иска).

    Кроме того, Закон о неприкосновенности частной жизни определяет, что в случае уголовного осуждения за нарушение права на неприкосновенность частной жизни физического лица в гражданско-правовом процессе суд может взыскать с виновного установленный законом ущерб в размере до 61 000 ILS (около 17 000 долларов США), которые должны быть выплачены потерпевшему лицу (при некоторых обстоятельствах может быть назначена двойная сумма).

    Публикация нарушения: общепринятой практикой для PPA является публикация своего определения о том, что лицо нарушило определенное положение законодательства о конфиденциальности, на своем веб-сайте. Такое определение может служить основанием для гражданского судопроизводства, включая подачу ходатайств о предъявлении групповых исков (опираясь на определение регулирующим органом незаконности как достаточной для покрытия бремени доказывания prima facie причины иска).

    Значимые особенности регулирования

    В Законе о защите частной жизни используется термин «Прямая почтовая рассылка», которая определяется как обращение письменно, печатно, по телефону, факсу, компьютерным способом или другими средствами к лицу лично, исходя из принадлежности этого лица к группе населения, объединенной по одному или нескольким критериям.  Другими словами, этот термин означает целенаправленную профильную коммуникацию.

    Данному вопросу посвящена отдельная глава закона, которая подробно регламентирует данную сферу.

    Закон устанавливает следующие требования и права субъекта персональных данных в отношении прямой почтовой рассылки:

    • базы данных, используемые для прямой рассылки, должны быть зарегистрированы;
    • менеджеры и владельцы баз данных, используемых для прямой почтовой рассылки, обязаны хранить документацию по источнику, из которого они получили данные, содержащиеся в базе данных, дате получения данных и тому, кому они были переданы;
    • каждое прямое почтовое сообщение должно содержать четкую и заметную информацию, включая регистрационный номер базы данных, данные владельца базы данных и опцию отказа;
    • каждый человек имеет право на удаление данных, относящихся к этому человеку, из базы данных прямой рассылки;
    • каждое физическое лицо имеет право требовать, чтобы персональные данные, относящиеся к данному физическому лицу, не передавались какому-либо лицу, типу лиц или конкретным лицам в течение определенного периода времени или бессрочно;
    • владельцы баз данных обязаны уведомить физическое лицо о том, что они предприняли в отношении обращения об удалении информации из базы данных, либо о выполнении установленных условий/правил использования информации: физические лица имеют право на возмещение ущерба, если владелец базы данных не предоставит такое уведомление по истечении 30 дней с момента запроса.

    Кроме того, Закон о связи (телекоммуникации и вещание) 5741-1982 годов запрещает использование телекоммуникационных средств таким образом, который может причинить вред, запугать, беспокоить, вызвать беспокойство или расстройство, а также устанавливает гражданскую и уголовную ответственность за нарушения, связанные с прямой почтовой рассылкой.

    Надзорный орган в сфере персональных данных, его полномочия.

    Надзорным органом в сфере персональных данных Израиля является PPA. Данный орган обладает законодательной инициативой.  PPA публикует руководящие принципы, которые отражают интерпретацию PPA обязательств по Закону о неприкосновенности частной жизни. PPA обладает административными и следственными полномочиями и может проводить проверки и аудиты в отношении любого субъекта, подпадающего под действие Закона о неприкосновенности частной жизни. После завершения расследования все материалы передаются в прокуратуру. При определенных обстоятельствах ППА может также налагать административные штрафы.

    РРА является Регистратором баз данных и обязан вести Реестр баз данных и уполномочен контролировать соблюдение положений Закона о неприкосновенности частной жизни и изданных в соответствии с ним нормативных актов.

     

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство Израиля

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.