Regulamento Europeu de Proteção de Dados Geral GDPR

Lei Federal da Suíça sobre Proteção de Dados: O que você precisa saber

O Regulamento Geral de Proteção de Dados (GDPR) é um desafio estratégico para todas as empresas europeias (e globais). Na Suíça, as organizações estão enfrentando um desafio ainda maior: atender aos requisitos do GDPR e de uma lei nacional, A Lei Federal Suíça sobre Proteção de Dados (FADP).
A revisão total do FADP foi adotada pela Assembléia Federal no outono de 2020 após três anos de debate. Inicialmente planejado para o segundo semestre de 2022, a implementação da nova Lei Federal Suíça sobre Proteção de Dados (NFADP) deve começar em 1º de setembro, 1º, 2023.
A Portaria à Lei Federal sobre Proteção de Dados (DPO) será emitida ao mesmo tempo, após consulta com o Conselho Federal. De acordo com a nova lei, as empresas terão que cumprir regras mais rigorosas.

Resumo

  • NFADP suíço: novas diretrizes e escopo: A Suíça pretende aproximar sua legislação dos requisitos do GDPR para manter o reconhecimento como um estado de terceiros com um nível adequado de proteção para troca de dados.
  • 10 mudanças principais entre o FADP suíço e o NFADP: A nova lei federal apresenta novos regulamentos para empresas, incluindo a definição de dados pessoais sensíveis e dois novos princípios de proteção de dados.
  • Escopo do nfadp suíço: A nova lei tem como objetivo proteger a personalidade e os direitos fundamentais dos indivíduos na Suíça e promove maior transparência, direitos e responsabilidade por processadores de dados.
  • Como cumprir a nova Lei Federal sobre Proteção de Dados na Suíça?: As empresas suíças precisam tomar medidas imediatas, como identificar dados pessoais, modificar declarações de proteção de dados, construir processos internos, criar um registro de processamento de dados, realizar avaliações de impacto, analisar contratos e nomear um consultor de proteção de dados.
  • Swiss FADP versus GDPR: As empresas na Suíça devem cumprir o novo FADP e o GDPR.
  • 3 pontos -chave a serem lembrados: A nova lei suíça melhora o processamento de dados para os cidadãos suíços, fornecendo -lhes novos direitos. Também se aplica a todas as empresas, independentemente do tamanho e até afeta empresas estrangeiras com atividades ou processamento de dados relacionados à Suíça.

15 perguntas únicas baseadas no texto

  1. P: Por que o Regulamento Geral de Proteção de Dados (GDPR) é um desafio para as empresas?
  2. R: O GDPR é um desafio estratégico para as empresas, pois elas precisam cumprir seus requisitos.

  3. P: Qual é a Lei Federal da Suíça sobre Proteção de Dados (FADP)?
  4. .

  5. ?
  6. R: A implementação da nova Lei Federal Suíça sobre Proteção de Dados deve começar em 1º de setembro de 2023.

  7. P: As empresas são necessárias para cumprir regras mais rigorosas da nova lei?
  8. .

  9. P: Quais são as principais mudanças entre o FADP suíço e o NFADP?
  10. R: As principais mudanças incluem a definição de dados pessoais sensíveis e a introdução de dois novos princípios de proteção de dados.

  11. P: Qual é o escopo do nfadp suíço?
  12. R: O NFADP suíço pretende proteger a personalidade e os direitos fundamentais dos indivíduos na Suíça e promove maior transparência, direitos e responsabilidade pelos processadores de dados.

  13. P: Como as empresas suíças podem cumprir a nova Lei Federal sobre Proteção de Dados?
  14. R: As empresas suíças podem cumprir medidas como identificar dados pessoais, modificar declarações de proteção de dados, construir processos internos, criar um registro de processamento de dados, realizar avaliações de impacto, analisar contratos e nomear um consultor de proteção de dados.

  15. P: O FADP suíço permite um tempo de transição para cumprir os novos requisitos?
  16. R: Uma parte significativa das diretrizes na nova Lei Federal será aplicável assim que entrar em vigor. É crucial antecipar medidas para cumprir os novos requisitos.

  17. P: Quais são os pontos principais a serem lembrados em relação à Lei Federal Suíça sobre Proteção de Dados?
  18. R: Os principais pontos incluem a melhoria do processamento de dados para cidadãos suíços, fornecendo novos direitos, aplicação a todas as empresas, independentemente do tamanho e afetando empresas estrangeiras com atividades ou processamento de dados relacionados à Suíça.

  19. P: Como a Suíça pretende manter o reconhecimento como um estado de terceiros com um nível adequado de proteção?
  20. R: A Suíça pretende aproximar sua legislação dos requisitos do GDPR para manter o reconhecimento como um estado de terceiros com um nível adequado de proteção para troca de dados.

  21. P: Qual é o objetivo da nova Lei Federal Suíça sobre Proteção de Dados?
  22. R: O objetivo é proteger a personalidade e os direitos fundamentais dos indivíduos na Suíça e regular o processamento e impedir o uso abusivo de seus dados.

  23. P: A nova Lei Federal Suíça sobre Proteção de Dados se aplica a entidades legais?
  24. R: Não, a nova lei federal cobre apenas a proteção de dados pessoais para indivíduos ou pessoas naturais e não se aplica mais aos dados de entidades legais.

  25. P: O que está incluído na definição de dados pessoais sensíveis no NFADP suíço?
  26. R: A definição inclui dados genéticos e biométricos que permitem o reconhecimento de uma pessoa univocalmente.

  27. P: Quais princípios de proteção de dados estão incluídos no FADP suíço?
  28. R: Dois novos princípios de proteção de dados estão incluídos no FADP suíço, que não são mencionados no parágrafo.

  29. P: A nova Lei Federal Suíça sobre Proteção de Dados se aplica a todas as empresas, independentemente de seu tamanho?
  30. R: Sim, a nova Lei Federal Suíça sobre Proteção de Dados se aplica a todas as empresas, independentemente de seu tamanho.

  31. P: Quais requisitos se aplicam a empresas estrangeiras com atividades ou processamento de dados relacionados à Suíça?
  32. R: Empresas estrangeiras com atividades ou processamento de dados relacionados à Suíça deve cumprir com a nova Lei Federal Suíça sobre Proteção de Dados.

Regulamento Europeu de Proteção de Dados Geral GDPR

.

Lei Federal da Suíça sobre Proteção de Dados: O que você precisa saber

. , A Lei Federal Suíça sobre Proteção de Dados (FADP).

A revisão total do FADP foi adotada pela Assembléia Federal no outono de 2020 após três anos de debate. Inicialmente planejado para o segundo semestre de 2022, a implementação da nova Lei Federal Suíça sobre Proteção de Dados (NFADP) deve começar em 1º de setembro, 1º, 2023.

. .

Resumo

  • NFADP suíço: novas diretrizes e escopo
  • Escopo do nfadp suíço
  • Como cumprir a nova Lei Federal sobre Proteção de Dados na Suíça?
  • Swiss FADP versus GDPR
  • 3 pontos -chave a serem lembrados

NFADP suíço: novas diretrizes e escopo

Dada a rápida evolução tecnológica, o antigo ato federal suíço sobre proteção de dados está desatualizado. A revisão total do FADP permite adaptar as diretrizes aos desafios contemporâneos, tecnológicos e sociais.

Ao fortalecer o texto da lei, a Suíça pretende aproximar a legislação suíça dos requisitos do GDPR . Para o país, o desafio é permanecer reconhecido como um estado de terceiros, com um nível adequado de proteção para conduzir a troca de dados com o resto do mundo.

Esta nova lei melhora o processamento de dados pessoais para cidadãos suíços, enquanto lhes fornecemos novos direitos.

10 mudanças principais entre o FADP suíço e o NFADP

O NFADP suíço apresenta novos regulamentos para empresas:

  • A nova lei federal cobre apenas o Proteção de dados pessoais para indivíduos ou pessoas naturais. Ele não se aplica mais aos dados de entidades legais (associações, fundações, empresas comerciais, etc.)
  • A definição de dados pessoais sensíveis (associação sindical, saúde, opiniões políticas, etc.) também Inclui dados genéticos e biométricos (impressões digitais, DNA, etc.), Quando eles dão a possibilidade de reconhecer uma pessoa univocalmente.
  • Dois novos princípios de proteção de dados estão incluídos no FADP suíço:

Escopo do nfadp suíço

Didomi-Suisse-Cookie-Loi-lpd-1

A nova lei federal sobre a proteção de dados pessoais visa proteger a personalidade e os direitos fundamentais dos indivíduos que vivem na Suíça. Regula o processamento e impede o uso abusivo de seus dados por empresas privadas ou pelo estado. A segurança de dados de entidades legais não é mais garantida.

A revisão total da lei oferece maior transparência para os suíços. A lei reforça seus direitos (acesso, retificação, exclusão, portabilidade) em relação aos seus dados pessoais. . Com novas disposições penal e maior supervisão, torna os processadores de dados mais responsáveis.

O novo FADP suíço se aplica a todas as empresas, independentemente de seu tamanho. Também diz respeito a atores econômicos “que têm efeitos na Suíça, mesmo que fossem produzidos no exterior“.

Eles podem ser empresas estrangeiras:

  • Comercialmente ativo no mercado suíço;
  • Para o qual o processamento de dados está relacionado à Suíça. Por exemplo, uma fotografia tirada na Suíça e depois publicada em um site estrangeiro.

Como cumprir a nova Lei Federal sobre Proteção de Dados na Suíça?

Para estar em conformidade com o NFADP, as empresas suíças devem imediatamente tomar medidas fortes para proteger dados pessoais:

  • Identificar dados pessoais e avaliar o risco para determinar os requisitos de conformidade;
  • Se necessário, verificando e modificando as declarações de proteção de dados em sites, conteúdo de publicidade, contratos, etc.;
  • Construir processos internos para trazer respostas rápidas às solicitações dos clientes relacionadas aos seus dados;
  • Criação de um registro de processamento de dados;
  • Implementar um processo para avaliações de impacto;
  • Analisando contratos com subcontratados. É a segurança dos dados fornecidos? É necessário adicionar cláusulas?
  • Nomear um consultor de proteção de dados na empresa.

É bom saber: o FADP suíço permite um tempo de transição para cumprir os novos requisitos?

Uma parte significativa das diretrizes da nova Lei Federal será aplicável assim que entrar em vigor. Para garantir uma proteção eficiente de dados em 1º de setembro de 2023, é crucial antecipar o máximo possível a identificação de possíveis medidas a serem tomadas.

Descubra nosso CMP

Swiss FADP versus GDPR

Na Suíça, as empresas devem respeitar duas leis sobre proteção de dados: o novo FADP e o GDPR. Descubra o escopo da aplicação da regulamentação européia no país, bem como as principais diferenças entre os dois textos.

O GDPR se aplica a empresas suíças em várias situações. O regulamento deve ser respeitado por qualquer processamento de dados pessoais:

  • Realizado por uma empresa suíça como subcontratado de uma empresa com sede na União Europeia;
  • Relacionado ao rastreamento do comportamento dos residentes da UE.

Principais diferenças entre o GDPR e o FADP suíço sobre proteção de dados pessoais

Em muitos aspectos, o NFADP suíço é semelhante às diretrizes do Regulamento Europeu de Proteção Geral de Proteção de Dados (GDPR). No entanto, a nova lei federal apresenta algumas particularidades:

  • Seus requisitos são menos rigoroso;
  • No novo FADP suíço, a nomeação de um consultor de proteção de dados é recomendada, mas não obrigatória. O GDPR requer um Oficial de Proteção de Dados (DPO) em alguns casos;
  • No caso de uma violação de dados, o GDPR exige um prazo de 72 horas para alertar as autoridades relevantes. O FADP revisado requer aviso “o mais rápido possível”;
  • O limite de penalidade é maior para o GDPR: 20 milhões.

Escolhendo Didomi, Você cria valor com confiança em todo o mundo, tornando a privacidade uma experiência única do cliente. Solução de gerenciamento de consentimento e preferência, você pode

  • Coletar consentimento de seus clientes com total conformidade;
  • Proteja sua reputação;
  • Mostre sua transparência para a coleta de dados pessoais;
  • Acompanhe suas métricas de consentimento;
  • Sincronizar dados pessoais entre CRM e ferramentas de automação de marketing.

Você quer fazer da conformidade com GDPR/FADP suíço um ativo comercial? Se você é um editor, um banco, um e-mercante ou um provedor de software: reserve uma demonstração!

Solicite uma demonstração

3 pontos -chave a serem lembrados

  • A nova Lei Federal Suíça sobre Proteção de Dados entrará em vigor em 1º de setembro de 2023;
  • O FADP fortalece a proteção de dados pessoais de pessoas naturais;
  • Apesar de algumas especificidades, o NFADP é essencialmente inspirado nas medidas do GDPR.

Regulamento Europeu de Proteção de Dados Geral GDPR

O Regulamento Europeu de Proteção de Dados Geral (GDPR) entrou em vigor em maio de 2018. Embora seja uma regulamentação européia, também se aplica a empresas suíças sob determinadas condições.

Regulamento Europeu de Proteção de Dados Geral GDPR

A quem se aplica o GDPR?

O GDPR se aplica a qualquer manuseio de dados pessoais por empresas suíças, se a empresa

  • Possui um escritório regional na UE, como uma filial, agência, escritório ou subsidiária de representantes locais, desde que este último não aja de forma independente, mas em nome da empresa controladora suíça, e processe dados pessoais em conexão com o escritório regional (exemplo: uma filial na França vende produtos ou serviços para a sede na Switzerland e usa o nome e o endereço de clientes final’s contatos da França);
  • não está estabelecido na UE: se a empresa oferecer bens ou serviços na UE (exemplo: uma empresa na Suíça distribui ativamente bens ou serviços para a Alemanha por meio de um site ou um software como provedor de serviço (SaaS) na Suíça que possui clientes na empresa) ou observa o comportamento das pessoas na UE (exemplo: os biscoitos são usados ​​na empresa)’.

Quais são as consequências do não conformidade?

Uma violação do GDPR pode ter as seguintes consequências:

  • As autoridades europeias podem impor multas de até 20 milhões de euros ou – se mais alto – quatro por cento da empresa culpada’s rotatividade anual mundial.
  • Os contratos geralmente exigem conformidade com a lei aplicável em geral ou a lei de proteção de dados em particular. Nesses casos, uma infração pode levar a multas contratuais, rescisão prematura, reivindicações de danos e perda de direitos.

Informações detalhadas sobre o GDPR e o que as empresas suíças precisam fazer, incluindo uma lista de verificação, podem ser encontradas em nossa folha de informações.

GDPR – Consequências para empresas suíças

Como a Suíça não é membro da UE ou da EEE, a reforma da lei européia de proteção de dados não tem um impacto direto nos negócios suíços.

Autor: Andreas Knijpenga

No entanto, a reforma ainda será relevante do ponto de vista dos negócios suíços da seguinte forma:

O novo regime de proteção de dados da UE será diretamente relevante para qualquer processamento de dados realizado por entidades de grupo localizadas nas empresas da UE e suíça, se elas conduzirem atividades comerciais na área da UE e tiver acesso a dados pessoais de seus clientes da UE, fornecedores e funcionários empregados da UE.

Nesse contexto, existem alguns novos requisitos significativos, como (para citar apenas alguns):

  • Notificação de violação de dados dentro de 72 horas
  • Requisitos do Diretor de Proteção de Dados
  • Sanções de até 4% do total de rotatividade anual em todo o mundo ou até 20 milhões de euros
  • Consentimento inequívoco ou explícito

Lei Federal de Proteção de Dados (FDPA) A revisão será fortemente influenciada por:

  • A modernização da “Convenção Ratificada pela Suíça para a proteção de indivíduos em relação ao processamento automático de dados pessoais” pelo Conselho da Europa
  • O novo GDPR (dados pessoais de indivíduos)
  • A nova diretiva de proteção de dados para o setor de polícia e justiça criminal

Por fim, todas as três novas disposições européias seguem os mesmos princípios. Embora os princípios principais do FDPA devam permanecer os mesmos, e apenas pequenos ajustes do FDPA atuais são necessários, os legisladores suíços podem copiar grandes partes do GDPR final em seu FDPA revisado para manter a harmonização da área econômica.

Independente da revisão da FDPA, o novo regime de proteção de dados da UE será diretamente relevante para muitas empresas baseadas em suíços, se conduzirem atividades comerciais na área da UE e terem acesso a dados pessoais de seus clientes da UE, fornecedores e funcionários empregados da UE. Também será fundamental para todas as empresas suíças se familiarizarem com o novo GDPR e seus requisitos, já começar a avaliar se são afetados pelas novas regras e iniciar o trabalho preparatório (e.g. Revise os materiais voltados para o cliente para garantir a conformidade com os novos requisitos de consentimento e transparência, revisar e alterar contratos com os processadores de dados, quando necessário), para que todos os ajustes necessários sejam feitos a tempo de cumprir os novos requisitos de proteção de dados na UE e na Suíça.

Por favor, fiquei ligado para mais atualizações do FDPA.

A nova Lei de Proteção de Dados Swiss entra em vigor em 1º de setembro de 2023: Comparação com o GDPR

Lei de Proteção de Dados Swiss 20202

A nova Lei de Proteção de Dados Suíços (NFADP) foi finalmente concluída. Seguindo a resolução das últimas diferenças em “perfil” Na quarta -feira, o parlamento federal suíço aprovou na sexta -feira, 25 de setembro de 2020, a nova lei. . Como próximo passo, as ordenanças de apoio serão agora elaboradas e enviadas para consulta pública. ’S Decisão de Adequação, que permite transferências de dados sem obstáculos para a Suíça. A UE poderia pressionar a Suíça para acelerar colocando o DPA revisado em vigor.

Mais governança: registros de atividades de processamento de dados, DPIA, obrigação de relatório

Assim como no caso do GDPR, as principais mudanças no novo DPA são novas obrigações de governança, como o requisito de manter registros de atividades de processamento de dados, a obrigação de relatar perdas de dados e outras violações de segurança de dados ao Comissário Federal de Proteção de Dados e Informação (FDPIC) e a obrigação de realizar avaliações de impacto de dados de dados (“DPIA”) para processamento de dados sensíveis. . Aqueles que têm podem adotar os inventários existentes de processamento de dados mais ou menos diretamente e ter seus procedimentos de notificação de violação de dados alterados para também cumprir a lei suíça (o DPA prevê limiares ligeiramente diferentes sobre quando uma notificação se torna necessária, mas essencialmente trabalha nas mesmas linhas que a obrigação de notificação no GDPR). Os legisladores suíços também têm “copiado” O conceito de um DPIA, que até agora não existiu formalmente sob a lei suíça, embora já seja bem conhecido sob a lei de proteção de dados suíços como “boa prática” no caso de atividade sensível de processamento de dados.

Princípios básicos inalterados

Embora o DPA tenha sido totalmente revisado, o setor privado não terá que mudar a maneira como processa dados pessoais. Os princípios básicos do processamento de dados permanecem inalterados no novo DPA, com uma exceção: os dados pessoais de entidades legais não estão mais protegidos, mesmo que certas proteções gerais continuem aplicando. O conceito suíço, segundo o qual o processamento de dados no setor privado é em princípio permitido e justificativa (ou “motivos legais”) é necessário apenas em determinadas situações, permanece inalterado.

Assim, o DPA continua se desviando do Regulamento Geral de Proteção de Dados da UE (GDPR): Lá, o processamento de dados pessoais é geralmente proibido, a menos que haja um fundamento legal, como consentimento, o desempenho de um contrato, um interesse legítimo suficiente ou uma disposição legal na lei.

Consentimento: menos restritivo do que sob o GDPR

A Suíça também não chega ao GDPR em termos dos requisitos para consentimento válido; Essencialmente, nada muda aqui em comparação com a situação legal atual na Suíça, com exceção de uma pequena mudança em relação ao perfil (veja abaixo). Não há necessidade de informar sobre a possibilidade de retirada, e várias declarações de consentimento podem ser combinadas.

Os motivos pelos quais as atividades de processamento de dados podem ser justificadas permanecem mais ou menos as mesmas do DPA atual e vão além do que é fornecido no GDPR. O que foi redigido um pouco mais restritivamente é a justificativa para fins de processamento não pessoais (e.g., usos estatísticos) e a justificativa sobre a qual as agências de crédito confiam; Eles agora precisam excluir dados com mais de dez anos no caso de um titular de dados, para que solicite.

O princípio de “Privacidade por design” agora também está explicitamente incluído na lei, mas estritamente falando, ela sempre existiu – mesmo sob o DPA atual. “Privacidade por padrão”, que é relevante apenas nos casos em que um provedor de um serviço (online) fornece configurações de proteção de dados como parte desse serviço, que deve ser definido por padrão, de modo a limitar o processamento de dados ao mínimo pretendido.

Sem dever de nomear um oficial de proteção de dados

Enquanto o novo DPA estabelece que as empresas podem nomear o que é referido como um “” (que, em essência, é um oficial de proteção de dados), há – diferente do GDPR – sem obrigação de fazê -lo. No entanto, a maioria das empresas de médio e maior número. Além disso, empresas estrangeiras com atividades significativas na Suíça terão que nomear um representante suíço, mas esperamos que apenas algumas empresas estejam sujeitas a esse requisito. Assim, a obrigação vai muito menos longe do que a disposição correspondente no artigo 27 do GDPR.

O direito à informação é restrito

Os direitos dos titulares de dados são um pouco estendidos, mas ao mesmo tempo também definidos um pouco mais claramente. Embora seja mais fácil para os titulares de dados solicitarem seus próprios dados de uma empresa, o novo DPA também oferece novos argumentos para rejeitar solicitações de acesso abusivo. Por exemplo, apenas dados pessoais “Como tal” pode ser solicitado e “exclusivamente” O que é necessário afirmar direitos de proteção de dados. O “direito de ser esquecido” conhecido pelo GDPR existia sob o DPA o tempo todo e permanecerá. Ainda não é absoluto, mas proporciona um equilíbrio de interesses. Da mesma forma, o princípio de que os dados só podem ser processados ​​até agora e desde que o necessário continue a aplicar. Inteiramente novo para o DPA, no entanto, é o direito à portabilidade de dados, que os legisladores suíços copiaram do GDPR: na verdade não tem muito a ver com proteção de dados, mas permite que os consumidores obtenham seus dados armazenados com provedores on -line ou outros serviços para transferir esses dados para concorrentes. Também completamente novo é o direito de exigir que uma pessoa reconsidere decisões importantes que foram tomadas exclusivamente de forma automatizada e que por sua natureza permitem a interpretação. A disposição é comparável à provisão do GDPR em decisões individuais automatizadas, mas o DPA exige apenas um controlador para informar sobre essas decisões e permitir que o sujeito dos dados solicite a intervenção humana.

Acordos de processamento de dados

Os requisitos para contratos com processadores de dados, I.e. As empresas a quem os controladores delegam seu próprio processamento de dados pessoais, como provedores de serviços em nuvem, foram um pouco mais apertados; ou seja, o uso de subcontratados deve agora ser aprovado pelo controlador. No entanto, as novas disposições ainda ficam aquém das do GDPR. Como os requisitos do Artigo 28 do GDPR são atualmente considerados padrão no setor, não esperamos que nenhum problema para os controladores garantam a conformidade com as novas regras sob o DPA. .

A política de privacidade se torna obrigatória

A obrigação de fornecer informações foi expandida sob o novo DPA. Isso significa que as empresas devem ter uma declaração de proteção de dados na qual fornecem certas informações obrigatórias sobre os dados pessoais que coletam. Esse tipo de informação geralmente é fornecido nas empresas’ sites e por meio de links incluídos em seus formulários e termos de contrato e condições. Conceitualmente, a obrigação de informação sob o novo DPA é muito semelhante à obrigação de informação sob o GDPR, mas não requer tanto conteúdo obrigatório quanto o GDPR. A única exceção é a obrigação de um controlador de indicar os países para os quais os dados pessoais são exportados e as disposições legais sobre as quais a empresa se baseia em fazê -lo. No entanto, em nossa opinião, não é necessário listar todos os países; termos como “Europa” “mundialmente” deve trabalhar também. Se uma empresa nomeou um consultor de proteção de dados ou um representante, as informações sobre isso também devem ser fornecidas. Como conseqüência, certos ajustes nas declarações de proteção de dados existentes são, portanto, necessários, mas não esperamos que isso crie grandes problemas.

Transferência para o exterior: será mais fácil

O DPA revisado governa as transferências transfronteiriças de dados pessoais ligeiramente diferentes do que no passado, mas as consequências práticas são muito limitadas. Agora cabe ao Conselho Federal determinar vincularmente os países que são considerados como tendo um nível adequado de proteção de dados e para quais dados podem ser exportados sem precauções especiais. Até agora, foi o FDPIC que manteve uma lista de países com sua avaliação sobre o assunto, mas essa lista não foi vinculativa (essa também é a razão pela qual os efeitos da decisão do TJE “Schrems II” Na Suíça, eram muito mais limitados do que no EEA). As cláusulas contratuais padrão da UE para exportações de dados ainda podem ser usadas; A obrigação de notificar o FDPIC foi removida do novo DPA. A divulgação de dados pessoais às autoridades estrangeiras também se tornará mais fácil; Anteriormente, isso muitas vezes só era possível no contexto de procedimentos judiciais.

Mais multas são possíveis, mas ainda a exceção

A aplicação do DPA também mudará sob a nova lei. No passado, o fdpic só era capaz de emitir “Recomendações” aos controladores de dados e processadores que, em sua opinião, não cumpriram o DPA. Se eles não cumprissem sua recomendação, ele poderia processá -los. No futuro, ele emitirá ordens diretamente contra controladores e processadores. Por exemplo, ele poderá ordenar que uma atividade específica de processamento de dados seja interrompida. Dito isto, esses novos poderes também resultarão no fdpic’S Procedimentos se tornam mais complicados e exigindo mais recursos do que aqueles sob o DPA atual. Resta saber se o novo conceito levará a mais execução ou resultará em menos casos, dado o fdpic’s constante falta de pessoal. O fdpic ainda não poderá impor multas.

O direito de impor multas está nas autoridades da aplicação da lei cantonal (que não são especializadas em proteção de dados), e o catálogo de multas foi significativamente expandido. No passado, as multas eram possíveis para a violação do dever de informar, o dever de cumprir com o direito de acesso ao titular dos dados e o dever de cooperar com o fdpic. Agora, violações das disposições sobre exportação de dados, as disposições sobre processadores de comissionamento e certas violações das medidas de segurança de dados também podem ser multadas. As multas devem ser pagas principalmente pelos tomadores de decisão, mas apenas se eles agiram intencionalmente. Eles podem ser considerados responsáveis ​​até a quantidade de CHF 250’000. (€ 230’000) Embora esses valores empalidecem em comparação com os valores sob o GDPR, eles provavelmente serão ainda mais eficazes, pois são de natureza pessoal e não podem ser segurados. Assumimos que as multas por violações de proteção de dados continuarão sendo a exceção na Suíça. Além disso, violações dos princípios fundamentais do DPA continuam isentos de punição – uma diferença importante para o GDPR. Além disso, o DPA revisado apresenta sigilo profissional geral para todas as profissões (com multas de até CHF 250’000) e uma nova disposição contra roubo de identidade.

Sem consentimento necessário para o perfil

O principal osso da discussão das deliberações no novo DPA foi “perfil”, que tem o mesmo significado sob o DPA e no GDPR. Digno de nota, como sob o GDPR, o significado legal de “perfil” como tal é muito limitado. O perfil é, em essência, a formação automatizada de uma opinião sobre certos aspectos de um indivíduo. Embora o perfil seja um termo definido no novo DPA, quase não existem disposições do DPA que se referem a ele, pelo menos em relação ao setor privado. Ao contrário do que geralmente foi relatado, o novo DPA não fornece que o perfil requer consentimento. O que o novo DPA diz é que, se for necessário o consentimento em um caso específico, esse consentimento deve ser de natureza expressa no caso de perfil com um “alto risco”. O perfil é considerado de alto risco se resultar em um perfil mais detalhado de um indivíduo. Isso já está alinhado com a situação legal atual sob o DPA existente. Em outras palavras: quase nada realmente muda sob o novo DPA. . O consentimento é uma forma possível de justificativa, mas o controlador também pode confiar em um interesse privado primordial, dependendo das circunstâncias.

Necessidade de ação

O que precisa ser feito agora? A maioria das empresas deve ter tempo suficiente para implementar as disposições mais importantes do DPA revisado. Primeiro, eles devem revisar suas declarações de proteção de dados à luz dos novos requisitos e adaptá -los ou, se necessário, criar novos se não tiverem nenhum no lugar. A parte mais demorada do processo é geralmente a revisão interna das atividades de proteção de dados para garantir que todos os casos em que a empresa adquira dados pessoais sejam cobertos. Depois que uma empresa obtém essas informações, ela pode criar ou atualizar a declaração de proteção de dados e estabelecer um inventário de atividades de processamento de dados. Se tais declarações e inventários já foram criados para os fins do GDPR, eles podem, em grande parte, serão reutilizados para o DPA.

! Tente 14 dias de graça!

Em uma etapa adicional, as relações controlador-processador precisam ser identificadas e contratos relacionados verificados e adaptados de acordo com as novas regras de engajamento mais rigorosas. Se este trabalho já foi feito para o GDPR, novamente, não serão necessárias muitas mudanças; O que geralmente é necessário é expandir as referências ao GDPR para incluir também o DPA. De maneira semelhante, controladores e processadores devem identificar transferências de dados internacionais e verificar se cumprem o DPA’s requisitos, dado que a não conformidade pode ser multada no futuro. Se o DPA’s requisitos atuais são atendidos, provavelmente nenhuma alteração é necessária.

As empresas também devem implementar um processo para avaliações de impacto de proteção de dados e, se necessário, nomear um oficial de proteção de dados, mesmo que não seja exigido por lei. Um processo para identificar, analisar, relatar e lidar com violações de segurança de dados (que o termo inclui perdas de dados não intencionais e e-mails mal direcionados) também deve ser introduzido. Toda empresa também deve ter um processo – se ainda não estiver em vigor – para responder a solicitações de indivíduos afetados e.g., aqueles que solicitam acesso aos seus dados pessoais. Quando se referir a “processos”, Queremos dizer que uma empresa deve pelo menos nomear um indivíduo para ser responsável por lidar com o tópico relevante que sabe o que fazer em cada caso ou onde obter as informações relevantes sobre o que deve ser feito.

Finalmente, as decisões individuais automatizadas devem ser identificadas e, se relevantes, os titulares de dados devem ser informados e ter a oportunidade de pedir intervenção humana. Além disso, o processamento de dados genéticos e biométricos, bem como dados para fins não pessoais e credibilidade, deve ser identificado, verificado e adaptado aos novos requisitos. Obviamente, o treinamento existente também deve ser adaptado para corresponder aos requisitos do DPA revisado e pode fazer sentido verificar a implementação dos novos requisitos por meio de conduzir auditorias.

O nfadp’s 12 Requisitos principais:

As PMEs suíças devem implementar as 12 medidas a seguir para cumprir o NFADP:

  1. Verifique e modifique as declarações de proteção de dados (site, contratos, conteúdo de publicidade, etc.)
  2. Recluir (ou modificar) Diretrizes de manuseio de dados corporativos
  3. Estabeleça um registro de processamento de dados (exceto para empresas com menos de 250 funcionários e se não houver risco significativo de privacidade)
  4. Estabelecer procedimentos para responder prontamente aos titulares de dados’ Solicitações (e.g., Para obter informações ou exclusão de dados)
  5. Implementar um procedimento de relatório de violação de dados
  6. Estabelecer um processo para avaliações de impacto necessárias quando o processamento de dados é de alto risco (e.g., no caso de monitoramento sistemático do domínio público mais amplo)
  7. Analise os contratos com subcontratados, para verificar se a segurança dos dados é fornecida e adicionar cláusulas a esse respeito (incluindo notificação de violação de dados)
  8. Prevê que os dados sejam excluídos ou renderizados anônimos (e imediatamente depois de não forem mais necessários para o objetivo original para o qual foram processados)
  9. Revise os países onde os dados são transmitidos, inclusive para backup de nuvem simples (esses países devem estar em uma lista do Conselho Federal. Caso contrário, requisitos mais rigorosos se aplicam)
  10. Garanta a segurança dos dados por meio de medidas técnicas e organizacionais apropriadas
  11. Verifique se os dados são fornecidos no formato eletrônico (no caso de processamento de dados automatizado e, em particular, a conclusão ou implementação de um contrato)
  12. Designe um consultor de proteção de dados e publique seus detalhes de contato (recomenda -se que essa pessoa seja notificada ao Comissário Federal de Proteção e Informação (FDPIC))).