유럽 일반 데이터 보호 규정 GDPR
데이터 보호에 관한 스위스의 연방법 : 알아야 할 사항
GDPR (General Data Protection Regulation)은 모든 유럽 (및 글로벌) 회사에 대한 전략적 도전입니다. 스위스에서는 조직이 더 큰 도전에 직면하고 있습니다. GDPR과 국가 법의 요구 사항을 모두 충족, 데이터 보호에 관한 스위스 연방법 (FADP).
FADP의 총 개정은 3 년간의 토론 후 2020 년 가을 연방 총회에서 채택되었습니다. 2022 년 하반기에 처음 계획된 새로운 스위스 연방법 (NFADP)의 구현은 2023 년 9 월 1 일에 시작될 것으로 예상됩니다.
DPO (Federal Act on Data Protection) 조례는 연방 협의회와의 협의 후 동시에 발행됩니다. 새로운 법에 따라 회사는보다 엄격한 규칙을 준수해야합니다.
요약
- 스위스 NFADP : 새로운 지침 및 범위: 스위스는 데이터 교환을위한 적절한 수준의 보호 수준을 가진 제 3 자 국가로 인정을 유지하기 위해 GDPR의 요구 사항에 입법을 더 가깝게 제공하는 것을 목표로합니다.
- 스위스 FADP와 NFADP의 10 가지 주요 변경 사항: 새로운 연방법은 민감한 개인 데이터의 정의와 두 가지 새로운 데이터 보호 원칙을 포함하여 회사에 대한 새로운 규정을 도입합니다.
- 스위스 NFADP의 범위: 새로운 법은 스위스 개인의 개인의 성격과 기본 권리를 보호하고 데이터 프로세서에 대한 투명성, 권리 및 책임을 촉진하는 것을 목표로합니다.
- 스위스의 데이터 보호에 관한 새로운 연방법을 준수하는 방법?: 스위스 회사는 개인 데이터 식별, 데이터 보호 선언 수정, 내부 프로세스 구축, 데이터 처리 레지스터 만들기, 영향 평가 수행, 계약 분석 및 데이터 보호 고문 임명과 같은 즉각적인 조치를 취해야합니다.
- 스위스 FADP 대 GDPR: 스위스의 회사는 새로운 FADP와 GDPR을 모두 준수해야합니다.
- 명심해야 할 3 가지 핵심 요점: 새로운 스위스 법률은 스위스 시민의 데이터 처리를 개선하면서 새로운 권리를 제공합니다. 또한 규모에 관계없이 모든 회사에 적용되며 스위스와 관련된 활동이나 데이터 처리가있는 외국 회사에도 영향을 미칩니다.
텍스트를 기반으로 한 15 개의 고유 한 질문
- Q : GDPR (General Data Protection Regulation)이 회사의 과제 인 이유?
- Q : 데이터 보호에 관한 스위스 연방법 (FADP)은 무엇입니까??
- Q : 새로운 스위스 연방법 (NFADP)이 시작될 예정인 새로운 스위스 연방법의 구현은 언제입니까??
- Q : 회사는 새로운 법에 따라보다 엄격한 규칙을 준수해야합니다?
- Q : 스위스 FADP와 NFADP의 주요 변화는 무엇입니까??
- Q : 스위스 NFADP의 범위는 얼마입니까??
- Q : 스위스 회사는 데이터 보호에 관한 새로운 연방법을 어떻게 준수 할 수 있습니까??
- Q : 스위스 FADP는 새로운 요구 사항을 준수 할 수있는 전환 시간을 허용합니까??
- Q : 데이터 보호에 관한 스위스 연방법과 관련하여 명심해야 할 핵심 요점은 무엇입니까??
- Q : 스위스는 적절한 보호 수준을 가진 타사 국가로 인정을 유지하는 방법?
- Q : 데이터 보호에 관한 새로운 스위스 연방법의 목표는 무엇입니까??
- Q : 데이터 보호에 관한 새로운 스위스 연방법이 법인에 적용됩니까??
- Q : 스위스 NFADP의 민감한 개인 데이터의 정의에 포함 된 내용?
- Q : 스위스 FADP에 어떤 데이터 보호 원칙이 포함되어 있는지?
- Q : 데이터 보호에 관한 새로운 스위스 연방법이 규모에 관계없이 모든 회사에 적용됩니까??
- Q : 스위스와 관련된 활동 또는 데이터 처리가있는 외국 기업에 적용되는 요구 사항?
A : GDPR은 요구 사항을 준수하는 데 필요한 회사에 전략적인 도전입니다.
A : 스위스 FADP는 스위스 조직이 GDPR 외에 준수 해야하는 국가 법입니다.
A : 데이터 보호에 관한 새로운 스위스 연방법의 구현은 2023 년 9 월 1 일에 시작될 것으로 예상됩니다.
A : 예, 회사는 새로운 스위스 연방 법에 따라 데이터 보호에 대한보다 엄격한 규칙을 준수해야합니다.
A : 주요 변경 사항에는 민감한 개인 데이터의 정의와 두 가지 새로운 데이터 보호 원칙 도입이 포함됩니다.
A : 스위스 NFADP는 스위스 개인의 개성과 기본 권리를 보호하고 데이터 프로세서에 대한 투명성, 권리 및 책임을 촉진하는 것을 목표로합니다.
A : 스위스 회사는 개인 데이터 식별, 데이터 보호 선언 수정, 내부 프로세스 구축, 데이터 처리 레지스터 만들기, 영향 평가 수행, 계약 분석 및 데이터 보호 고문 임명과 같은 조치를 취함으로써 준수 할 수 있습니다.
A : 새로운 연방법의 지침의 상당 부분은 발효 되 자마자 적용됩니다. 새로운 요구 사항을 준수 할 조치를 예상하는 것이 중요합니다.
A : 핵심 요점에는 스위스 시민의 데이터 처리 개선, 새로운 권리 제공, 규모에 관계없이 모든 회사에 적용하고 스위스와 관련된 활동 또는 데이터 처리가있는 외국 회사에 영향을 미칩니다.
A : 스위스는 데이터 교환을위한 적절한 수준의 보호 수준을 갖춘 타사 국가로 인정을 유지하기 위해 GDPR의 요구 사항에 입법을 더 가깝게 만드는 것을 목표로합니다.
A : 목표는 스위스의 개인의 성격과 기본 권리를 보호하고 처리를 규제하고 데이터의 학대 적 사용을 방지하는 것입니다.
A : 아니요, 새로운 연방법은 개인 또는 자연인을위한 개인 데이터 보호에만 적용되며 더 이상 법인의 데이터에 적용되지 않습니다.
A : 정의에는 사람의 인식을 허용하는 유전자 및 생체 인식 데이터가 포함됩니다.
A : 단락에 언급되지 않은 스위스 FADP에 두 가지 새로운 데이터 보호 원칙이 포함되어 있습니다.
A : 예, 데이터 보호에 관한 새로운 스위스 연방법은 규모에 관계없이 모든 회사에 적용됩니다.
A : 스위스와 관련된 활동 또는 데이터 처리가있는 외국 기업은 데이터 보호에 관한 새로운 스위스 연방법을 준수해야합니다.
유럽 일반 데이터 보호 규정 GDPR
스위스가 EU 또는 EEA의 회원이 아니기 때문에 유럽 데이터 보호법의 개혁은 스위스 사업에 직접적인 영향을 미치지 않습니다.
데이터 보호에 관한 스위스의 연방법 : 알아야 할 사항
GDPR (General Data Protection Regulation)은 모든 유럽 (및 글로벌) 회사에 대한 전략적 도전입니다. 스위스에서는 조직이 더 큰 도전에 직면하고 있습니다. GDPR과 국가 법의 요구 사항을 모두 충족, 데이터 보호에 관한 스위스 연방법 (FADP).
FADP의 총 개정은 3 년간의 토론 후 2020 년 가을 연방 총회에서 채택되었습니다. 2022 년 하반기에 처음 계획된 새로운 스위스 연방법 (NFADP)의 구현은 2023 년 9 월 1 일에 시작될 것으로 예상됩니다.
DPO (Federal Act on Data Protection) 조례는 연방 협의회와의 협의 후 동시에 발행됩니다. 새로운 법에 따라 회사는보다 엄격한 규칙을 준수해야합니다.
요약
- 스위스 NFADP : 새로운 지침 및 범위
- 스위스 FADP와 NFADP의 10 가지 주요 변경 사항
- 스위스 NFADP의 범위
- 스위스의 데이터 보호에 관한 새로운 연방법을 준수하는 방법?
- 스위스 FADP 대 GDPR
- 명심해야 할 3 가지 핵심 요점
스위스 NFADP : 새로운 지침 및 범위
빠른 기술 진화를 감안할 때, 데이터 보호에 관한 오래된 스위스 연방법은 구식입니다. FADP의 총 개정은 현대, 기술 및 사회적 도전에 지시를 적용 할 수있게 해줍니다.
스위스는 법의 텍스트를 강화함으로써 스위스 법률을 GDPR의 요구 사항에 더 가깝게 만드는 것을 목표로합니다 . 국가의 경우, 도전은 다른 세계와의 데이터 교환을 수행하기 위해 적절한 수준의 보호를 통해 제 3 자 국가로 인정되는 것입니다.
이 새로운 법률은 스위스 시민의 개인 데이터 처리를 향상시키고 새로운 권리를 제공합니다.
스위스 FADP와 NFADP의 10 가지 주요 변경 사항
스위스 NFADP는 회사를위한 새로운 규정을 소개합니다
- 새로운 연방법은 개인 또는 자연인을위한 개인 데이터 보호. 법인 (협회, 재단, 거래 회사 등)의 데이터에 더 이상 적용되지 않습니다.))
- 민감한 개인 데이터의 정의 (노조 회원, 건강, 정치적 의견 등.) 또한 유전자 및 생체 인식 데이터 (지문, DNA 등.)), 그들이 사람을 일관되게 인식 할 가능성을 줄 때.
- 스위스 FADP에는 두 가지 새로운 데이터 보호 원칙이 포함되어 있습니다
스위스 NFADP의 범위
개인 데이터 보호에 관한 새로운 연방법은 스위스에 사는 개인의 성격과 기본 권리를 보호하는 것을 목표로합니다. 처리를 규제하고 민간 기업이나 주에서 데이터를 학대하는 것을 방지합니다. 법인의 데이터 보안은 더 이상 보장되지 않습니다.
법의 총 개정은 스위스에 더 큰 투명성을 제공합니다. 법률은 개인 데이터에 대한 권리 (접근, 정류, 삭제, 휴대 성)를 강화합니다. 회사 내에서 NFADP는 예방 조치의 채택을 촉진합니다. 새로운 형벌 조항과 감독 증가로 데이터 프로세서가 더 책임을 져야합니다.
새로운 스위스 FADP는 규모에 관계없이 모든 회사에 적용됩니다. 그것은 또한 경제 행위자들과 관련이있다 “해외에서 생산 되었더라도 스위스에 영향을 미치는 사람“.
그들은 외국 회사 일 수 있습니다
- 스위스 시장에서 상업적으로 활동;
- 데이터 처리는 스위스와 관련이 있습니다. 예를 들어, 스위스에서 찍은 사진은 외국 웹 사이트에 게시되었습니다.
스위스의 데이터 보호에 관한 새로운 연방법을 준수하는 방법?
NFADP를 준수하려면 스위스 회사는 개인 데이터를 보호하기 위해 즉시 강력한 조치를 취해야합니다
- 개인 데이터를 식별 한 다음 규정 준수 요구 사항을 결정하기 위해 위험을 평가합니다
- 필요한 경우 웹 사이트, 광고 콘텐츠, 계약 등의 데이터 보호 선언을 확인 및 수정합니다.;
- 데이터와 관련된 고객의 요청에 대한 빠른 답변을 제공하기 위해 내부 프로세스 구축;
- 데이터 처리 레지스터 생성;
- 영향 평가를위한 프로세스 구현;
- 하청 업체와의 계약 분석. 제공된 데이터의 보안입니다? 조항을 추가해야합니까??
- 회사의 데이터 보호 고문을 임명합니다.
알아두면 좋다 : 스위스 FADP는 새로운 요구 사항을 준수 할 수있는 전환 시간을 허용합니까??
새로운 연방법의 지침의 상당 부분은 발효 되 자마자 적용됩니다. 2023 년 9 월 1 일에 효율적인 데이터 보호를 보장하려면 가능한 한 가능한 조치를 식별 할 수 있도록 예상하는 것이 중요합니다.
스위스 FADP 대 GDPR
스위스에서는 회사가 데이터 보호에 관한 두 가지 법률을 존중해야합니다 : 새로운 FADP와 GDPR. 국가의 유럽 규제의 응용 범위와 두 텍스트의 주요 차이점을 발견하십시오.
GDPR은 여러 상황에서 스위스 회사에 적용됩니다. 개인 데이터 처리에 대해서는 규정을 존중해야합니다
- EU에있는 스위스 회사의 유럽 지부 또는 자회사의 활동의 일부로 수행;
- 스위스 회사가 유럽 연합에 본사를 둔 회사의 하청 업체로 수행되었습니다
- 연합의 관련자에게 상품이나 서비스를 제공하는 것을 목표로합니다
- EU 거주자의 행동 추적과 관련.
개인 데이터 보호에 대한 GDPR과 스위스 FADP의 주요 차이점
여러 측면에서 스위스 NFADP는 유럽 일반 데이터 보호 규정 (GDPR)의 지침과 유사합니다. 그러나 새로운 연방법은 몇 가지 특성을 제시합니다
- 요구 사항이 있습니다 덜 엄격합니다;
- 새로운 스위스 FADP에서는 데이터 보호 고문을 임명하는 것이 권장되지만 필수는 아닙니다. GDPR은 a 데이터 보호 책임자 (DPO) 일부 경우에;
- 데이터 위반의 경우 GDPR은 관련 당국에 경고하기 위해 72 시간 마감일이 필요합니다. 개정 된 FADP는 “가능한 한 빨리”통지를 요구합니다
- GDPR의 경우 페널티 한도가 더 높습니다 : 2 천만 유로 대 새로운 스위스 데이터 보호법의 경우 250,000 프랑.
선택함으로써 Didomi, 전세계 신뢰로 가치를 창출하여 개인 정보를 고유 한 고객 경험으로 만듭니다. 우리와 함께 동의 및 선호도 관리 솔루션:
- 전체 규정 준수로 고객의 동의를 수집합니다
- 당신의 명성을 보호하십시오
- 개인 데이터 수집에 대한 투명성을 보여줍니다
- 동의 지표를 추적하십시오
- CRM과 마케팅 자동화 도구간에 개인 데이터를 동기화하십시오.
스위스 GDPR/FADP 준수를 상업 자산으로 만들고 싶습니까?? 편집자, 은행, e-Merchant 또는 소프트웨어 제공 업체이든 : 데모 예약!
명심해야 할 3 가지 핵심 요점
- 데이터 보호에 관한 새로운 스위스 연방법은 2023 년 9 월 1 일에 시행 될 것입니다
- FADP는 자연인의 개인 데이터 보호를 강화합니다
- 일부 특이성에도 불구하고 NFADP는 본질적으로 GDPR의 측정에서 영감을 얻습니다.
유럽 일반 데이터 보호 규정 GDPR
2018 년 5 월에 유럽 일반 데이터 보호 규정 (GDPR)이 발효되었습니다. 유럽 규제이지만 특정 조건에서 스위스 회사에도 적용됩니다.
GDPR은 누구에게 적용됩니까??
GDPR은 회사 인 경우 스위스 회사의 개인 데이터 처리에 적용됩니다
- EU에 지점, 기관, 지역 대표 사무실 또는 자회사와 같은 지역 사무소가 있으며, 후자가 독립적으로 행동하지 않고 스위스 모회사를 대신하여 행동하지 않고 지역 사무소와 관련하여 개인 데이터를 처리하고 (예 : 프랑스의 지점은 스위스의 본부에 제품 또는 서비스를 판매하고 최종 고객 또는 구매자의 이름과 주소를 사용합니다’프랑스의 연락처);
- 유럽’스위스의 S 웹 사이트는 웹 사이트 방문자의 행동에 대한 결론을 도출 할 수 있으며이 데이터는 평가됩니다).
비준수의 결과는 무엇입니까??
GDPR의 침해는 다음과 같은 결과를 초래할 수 있습니다
- 유럽 당국은 최대 2 천만 유로의 벌금을 부과 할 수 있습니다’S 전세계 연간 매출.
- 계약은 종종 일반적으로 해당 법률 또는 데이터 보호법을 준수해야합니다. 그러한 경우, 침해는 계약 처벌, 조기 해지, 손해에 대한 청구 및 권리 상실로 이어질 수 있습니다.
GDPR에 대한 자세한 정보와 체크리스트를 포함하여 스위스 회사가해야 할 일은 정보 시트에서 찾을 수 있습니다.
GDPR- 스위스 비즈니스의 결과
스위스가 EU 또는 EEA의 회원이 아니기 때문에 유럽 데이터 보호법의 개혁은 스위스 사업에 직접적인 영향을 미치지 않습니다.
저자 : Andreas Knijpenga
그러나 개혁은 여전히 스위스 비즈니스 관점에서 다음과 같이 관련이있을 것입니다
새로운 EU 데이터 보호 체제는 EU 및 스위스 기반 회사에 위치한 그룹 엔티티가 수행 한 모든 데이터 처리와 직접 관련이 있으며 EU 영역 내에서 비즈니스 활동을 수행하고 EU 고객, 공급 업체 및 EU 고용 직원의 개인 데이터에 액세스 할 수있는 경우.
이러한 맥락에서는 몇 가지 중요한 새로운 요구 사항이 있습니다
- 72 시간 이내에 데이터 유출 알림
- 데이터 보호 책임자 요구 사항
- 전세계 총 연간 회전율의 최대 4% 또는 최대 2 천만 유로의 제재
- 모호하거나 명백한 동의
둘째, 보류 중입니다 연방 데이터 보호법 (FDPA) 개정은 다음과 같이 크게 영향을받습니다
- 유럽 협의회의 “개인 데이터의 자동 처리와 관련하여 개인의 보호를 위해 스위스가 비준 한 협약”의 현대화
- 새로운 GDPR (개인의 개인 데이터)
- 경찰 및 형사 사법 부문을위한 새로운 데이터 보호 지침
궁극적으로 세 가지 새로운 유럽 조항 모두 동일한 원칙을 따릅니다. FDPA의 핵심 원칙은 동일하게 유지 될 것으로 예상되지만 현재 FDPA의 사소한 조정 만 필요하지만 스위스 법률 제작자는 최종 GDPR의 많은 부분을 개정 된 FDPA에 복사하여 경제 영역의 조화를 유지할 수 있습니다.
FDPA 개정과는 달리, 새로운 EU 데이터 보호 체제는 EU 영역 내에서 비즈니스 활동을 수행하고 EU 고객, 공급 업체 및 EU 고용 직원의 개인 데이터에 액세스 할 경우 많은 스위스 기반 회사와 직접 관련이 있습니다. 또한 모든 스위스 회사가 새로운 GDPR 및 그 요구 사항에 익숙해지고 새로운 규칙의 영향을받는 지 평가를 시작하고 준비 작업을 시작하는 것이 중요합니다 (이자형.g. 새로운 동의 및 투명성 요구 사항을 준수하여 필요한 경우 데이터 프로세서와의 계약을 검토 및 수정하여 EU 및 스위스의 새로운 데이터 보호 요구 사항을 준수하기 위해 필요한 모든 조정이 제 시간에 이루어 지도록 클라이언트 직면 자료를 검토하십시오.
추가 FDPA 업데이트를 위해 계속 지켜봐 주시기 바랍니다.
새로운 스위스 데이터 보호법은 2023 년 9 월 1 일에 시행됩니다 : GDPR과 비교
NFADP (New Swiss Data Protection Act)가 마침내 완료되었습니다. 마지막 차이의 해결에 따라 “프로파일 링” 수요일, 스위스 연방 의회는 2020 년 9 월 25 일 금요일에 새로운 법을 통과했습니다. 2023 년 9 월 1 일에 시행 될 것으로 예상됩니다. 다음 단계로, 지원 조례는 이제 공개 상담을 위해 제출되고 제출됩니다. 물론 상황이 얼마나 빨리 진행 되는가 EU에도 달려 있습니다. 스위스는 여전히 유럽위원회의 갱신을 기다리고 있습니다’스위스로 방해받지 않는 데이터 전송을 허용하는 적절성 결정. EU는 스위스에게 수정 된 DPA를 발효하도록 속도를 높이도록 압력을 가할 수 있습니다.
더 많은 거버넌스 : 데이터 처리 활동, DPIA,보고 의무 기록
GDPR의 경우와 마찬가지로 새로운 DPA의 주요 변경 사항은 데이터 처리 활동의 기록을 유지하기위한 요구 사항, 데이터 손실 및 기타 데이터 보안 위반을 연방 데이터 보호 및 정보 커미셔너 (FDPIC)에보고 해야하는 의무 및 데이터 보호 영향 평가를 수행 할 의무와 같은 새로운 거버넌스 의무입니다“DPIA”) 민감한 데이터 처리. 세 가지 요구 사항은 모두 GDPR에 따른 해당 조항과 비교할 수 있으며 GDPR의 목적 상에 아직 프로세스를 거치지 않은 회사에 대한 추가 작업 부하가 발생합니다. 기존 데이터 처리 인벤토리를 다소 직접 채택하고 스위스 법률을 준수하기 위해 데이터 유출 알림 절차를 수정할 수있는 사람들 (DPA는 알림이 필요한시기에 대해 약간 다른 임계 값을 제공하지만 GDPR에 따른 알림 의무와 동일한 라인을 따라 작동합니다). 스위스 의원들도 있습니다 “복사” 스위스 데이터 보호법에 따라 이미 잘 알려져 있지만 지금까지 스위스 법에 따라 공식적으로 존재하지 않은 DPIA의 개념은 “좋은 연습” 민감한 데이터 처리 활동의 경우.
기본 원칙은 변하지 않았습니다
DPA가 완전히 개정되었지만 민간 부문은 일반적으로 개인 데이터를 처리하는 방식을 변경할 필요가 없습니다. 데이터 처리의 기본 원칙은 새로운 DPA에서 변경되지 않은 상태로 유지되며, 한 가지 예외 : 법인의 개인 데이터는 더 이상 보호되지 않습니다. 민간 부문의 데이터 처리가 원칙적으로 허용되고 정당화되는 스위스 개념 (또는 “법적 근거”) 특정 상황에서만 필요하며 변경되지 않은 상태입니다.
따라서 DPA는 EU 일반 데이터 보호 규정 (GDPR)에서 계속해서 벗어나고 있습니다. 그곳에서 동의, 계약 수행, 충분한 합법적이자 또는 법률의 법적 조항과 같은 법적 근거가없는 한 개인 데이터 처리는 일반적으로 금지됩니다.
동의 : GDPR보다 덜 제한적입니다
스위스는 또한 유효한 동의에 대한 요구 사항 측면에서 GDPR까지 진행되지 않습니다. 본질적으로 스위스의 현재 법적 상황과 비교하여 여기에서는 아무것도 변하지 않으며, 프로파일 링과 관련된 사소한 변화를 제외하고 (아래 참조). 철회 가능성에 대해 알릴 필요가 없으며 다중 동의 선언을 결합 할 수 있습니다.
데이터 처리 활동을 정당화 할 수있는 근거는 현재 DPA와 동일하게 유지되며 GDPR에 제공되는 것 이상으로 이동합니다. 약간 더 제한적으로 말한 것은 비인격 처리 목적 (e.g., 통계적 사용) 및 신용 대행사가 의존하고있는 정당성; 이제 데이터 주제가 요청하는 경우 10 년 이상 된 데이터를 삭제해야합니다.
원리 “디자인 별 개인 정보” 이제 법에 명시 적으로 포함되었지만 엄격하게 말하면, 현재 DPA에 따라 항상 존재했습니다. 실제로 새로운 조항은 스위스 버전입니다 “기본적으로 개인 정보”, (온라인) 서비스 제공 업체가 해당 서비스의 일부로 데이터 보호 설정을 제공하는 경우에만 관련이 있으며, 이는 데이터 처리를 의도 된 최소값으로 제한하기 위해 기본적으로 설정해야합니다.
데이터 보호 책임자를 임명 할 의무가 없습니다
새로운 DPA는 기업이 지칭되는 것을 임명 할 수 있도록 제공합니다 “데이터 보호 고문” (본질적으로 데이터 보호 책임자 인 경우) GDPR과 달리 그렇게 할 의무는 없습니다. 그러나 대부분의 중형 및 대기업은 데이터 보호를 다루는 책임있는 사람을 임명하지 않으면 데이터 보호를 제대로 구현할 수 없습니다. 또한 스위스에서 중대한 활동을하는 외국 기업은 스위스 대표를 임명해야하지만, 우리는이 요구 사항에 따라 소수의 회사만이 대상이 될 것으로 예상합니다. 따라서 의무는 GDPR 제 27 조의 해당 조항보다 훨씬 덜합니다.
정보에 대한 권리는 제한됩니다
데이터 주제의 권리는 다소 확장되었지만 동시에 조금 더 명확하게 정의했습니다. 데이터 피험자가 회사로부터 자체 데이터를 요청하는 것이 더 쉬울 것이지만, 새로운 DPA는 또한 학대적인 액세스 요청을 거부하기위한 새로운 주장도 제공합니다. 예를 들어, 개인 데이터 만 “따라서” 요청 될 수 있습니다 “독점적으로” 데이터 보호 권한을 주장하는 데 필요한 것. 그만큼 “잊을 권리” GDPR에서 알려진 것은 DPA에 모두 존재했으며. 여전히 절대적이지는 않지만 이해의 균형을 제공합니다. 마찬가지로, 데이터가 멀리 처리 될 수 있다는 원칙은 계속 적용됩니다. 그러나 DPA에 완전히 익숙하지 않은 것은 스위스 의원들이 GDPR에서 복사 한 데이터 이식성에 대한 권리입니다. 실제로 데이터 보호와 관련이 없지만 소비자는 그러한 데이터를 경쟁 업체로 전송하기 위해 온라인 또는 기타 서비스 제공 업체에 저장된 데이터를 얻을 수 있습니다. 또한 완전히 새로운 것은 사람이 독점적으로 이루어진 중요한 결정과 그 본질적으로 해석을 허용하는 중요한 결정을 재고 할 것을 요구할 권리가 있습니다. 이 조항은 자동화 된 개별 결정에 대한 GDPR 조항과 비교할 수 있지만 DPA는 컨트롤러 만 그러한 결정에 대해 알리고 데이터가 인간의 개입을 요청할 수 있도록 요구합니다.
데이터 처리 계약
데이터 프로세서와의 계약 요구 사항, i.이자형. 컨트롤러가 클라우드 서비스 제공 업체와 같은 개인 데이터 처리를 위임하는 회사는 다소 강화되었습니다. 즉, 하청 업체의 사용은 이제 컨트롤러의 승인을 받아야합니다. 그러나 새로운 조항은 여전히 GDPR의 조항에 미치지 못합니다. 제 28 조 GDPR에 따른 요구 사항은 오늘날 업계에서 표준으로 간주되므로 컨트롤러가 DPA에 따른 새로운 규칙을 준수 할 수있는 문제는 예상되지 않습니다. 프로세서와 합의 된 조항은 일반적으로 GDPR뿐만 아니라 DPA를 참조하기 위해 적응하면됩니다.
개인 정보 보호 정책은 필수가됩니다
정보 제공 의무는 새로운 DPA에 따라 확장되었습니다. 이것은 회사가 수집 한 개인 데이터에 관한 특정 필수 정보를 제공하는 데이터 보호 선언이 있어야 함을 의미합니다. 이 유형의 정보는 일반적으로 회사에 제공됩니다’ 웹 사이트 및 양식 및 계약 이용 약관에 포함 된 링크를 통해. 개념적으로, 새로운 DPA에 따른 정보 의무는 GDPR에 따른 정보 의무와 매우 유사하지만 GDPR만큼 필수 컨텐츠가 필요하지 않습니다. 유일한 예외는 개인 데이터가 수출되는 국가와 회사가 그렇게하는 데 의존하는 법적 조항을 나타내는 컨트롤러의 의무입니다. 그러나 우리의 견해로는 각 국가를 나열 할 필요는 없습니다. 다음과 같은 용어 “유럽” 또는 “세계적인” 작동해야합니다. 회사가 데이터 보호 고문 또는 담당자를 임명 한 경우 이에 대한 정보도 제공해야합니다. 결과적으로, 기존 데이터 보호 문에 대한 특정 조정이 필요하지만, 이것이 큰 문제를 일으킬 것으로 기대하지는 않습니다.
해외 이체 : 더 쉬울 것입니다
개정 된 DPA는 과거와 약간 다르게 개인 데이터의 국경 간 전송을 관리하지만 실질적인 결과는 매우 제한적입니다. 적절한 수준의 데이터 보호를받은 것으로 간주되는 국가와 특별한 예방 조치없이 데이터를 수출 할 수있는 국가를 구속 적으로 결정하는 것은 이제 연방 협의회에 달려 있습니다. 지금까지 주제에 대한 평가를 통해 국가 목록을 유지 한 것은 FDPIC 였지만이 목록은 구속력이 없었습니다 (이것은 또한 ECJ 결정의 영향이 이유이기도합니다 “Schrems II” 스위스에서는 EEA보다 훨씬 더 제한적이었습니다). 데이터 수출에 대한 EU 표준 계약 조항은 여전히 사용될 수 있습니다. FDPIC를 알리는 의무가 새로운 DPA에서 제거되었습니다. 외국 당국에 개인 데이터를 공개하는 것도 쉬워 질 것입니다. 이전에는 사법 절차의 맥락에서만 가능했습니다.
더 많은 벌금이 가능하지만 여전히 예외입니다
DPA의 집행은 또한 새로운 법에 따라 변경 될 것입니다. 과거에는 FDPIC가 문제 만 발행 할 수있었습니다 “권장 사항” 그의 의견으로는 DPA를 준수하지 않은 데이터 컨트롤러 및 프로세서에. 그들이 자신의 추천을 준수하지 않았다면, 그는 그들을 고소 할 수있었습니다. 앞으로 그는 컨트롤러 및 프로세서에 대한 주문을 직접 발행 할 것입니다. 예를 들어, 그는 특정 데이터 처리 활동을 중지하도록 주문할 수 있습니다. 즉, 이러한 새로운 힘은 또한 FDPIC를 초래할 것입니다’S 절차가 더 복잡해지고 현재 DPA의 절차보다 더 많은 자원이 필요합니다. 새로운 개념이 더 많은 집행으로 이어질지 아니면 실제로 FDPIC가 주어지면 실제로 더 적은 경우를 보일지 여부는 여전히 남아 있습니다’S 일정한 직원. FDPIC는 여전히 벌금을 부과 할 수 없습니다.
벌금을 부과 할 수있는 권리는 캔톤 법 집행 기관 (데이터 보호에 특화되지 않은)과 함께 있으며, 벌금 카탈로그는 크게 확장되었습니다. 과거에는 정보의 의무 위반, 데이터 주제 접근 권한을 준수해야 할 의무 및 FDPIC와 협력 할 의무가 가능했습니다. 이제 데이터 수출에 대한 조항 위반, 시운전 프로세서에 대한 조항 및 데이터 보안 조치의 특정 위반도 벌금을 부과 할 수 있습니다. 벌금은 주로 의사 결정자가 지불해야하지만 의도적으로 행동 한 경우에만. 그들은 CHF 250의 금액까지 책임을 질 수 있습니다’000. (€ 230’000)이 금액은 GDPR에 따른 금액과 비교하여 창백하지만 개인적 성격을 지니고 보험에 가입 할 수 없다는 점을 감안할 때 더욱 효과적 일 것입니다. 우리는 데이터 보호 위반에 대한 벌금이 스위스에서 계속 예외가 될 것이라고 가정합니다. 또한 DPA의 기본 원칙 위반은 계속 처벌에서 면제됩니다 – GDPR의 중요한 차이점. 또한 개정 된 DPA는 모든 직업에 대한 일반적인 전문 비밀을 소개합니다 (최대 CHF 250의 벌금’000) 및 신원 도용에 대한 새로운 조항.
프로파일 링에 동의 할 필요가 없습니다
새로운 DPA에 대한 심의의 주요 뼈는 “프로파일 링”, GDPR에서 DPA에서 동일한 의미를 갖습니다. GDPR에 따라 주목할만한 “프로파일 링” 따라서 매우 제한적입니다. 프로파일 링은 본질적으로 개인의 특정 측면에 대한 의견의 자동 형성입니다. 프로파일 링은 새로운 DPA에서 정의 된 용어이지만 적어도 민간 부문과 관련하여 DPA를 참조하는 조항은 거의 없습니다. 일반적으로보고 된 내용과 달리 새로운 DPA는 프로파일 링에 동의가 필요하다는 것을 제공하지 않습니다. 새로운 DPA가 말하는 것은 특정한 경우 동의가 필요하다면 그러한 동의는 “위험”. 프로파일 링은 개인의 더 상세한 프로파일을 초래하면 위험이 높은 것으로 간주됩니다. 이것은 이미 기존 DPA에 따른 현재의 법적 상황과 일치합니다. 다시 말해 : 새로운 DPA에 따라 실제로는 거의 변하지 않습니다. 그와 같이 프로파일 링은 동의가 필요하지 않지만, 물론 – 데이터 처리 작업이 지금까지 정당화가 필요할 수 있습니다. 동의는 정당화의 한 가지 형태이지만 컨트롤러는 상황에 따라 우선적 인 사적 이익에 의존 할 수도 있습니다.
행동이 필요합니다
지금해야 할 일? 대부분의 회사는 개정 된 DPA의 가장 중요한 조항을 구현하기에 충분한 시간이 있어야합니다. 먼저, 새로운 요구 사항에 비추어 데이터 보호 문을 검토하고 필요한 경우, 필요한 경우 새 요구 사항을 만들어야합니다. 프로세스에서 가장 시간이 많이 걸리는 부분은 일반적으로 데이터 보호 활동에 대한 내부 검토입니다 회사가 개인 데이터를 조달하는 모든 사례를 보장하기 위해. 회사 가이 정보를 얻은 후에는 데이터 보호 문을 만들거나 업데이트하고 데이터 처리 활동 목록을 설정할 수 있습니다. 그러한 진술과 재고가 GDPR의 목적으로 이미 작성된 경우 DPA에 대해 대부분 재사용 할 수 있습니다.
GDPR 레지스터를 사용하여 처리 활동 기록 작성 70% 더 빠릅니다! 무료로 14 일을 시도하십시오!
추가 단계에서, 컨트롤러 프로세서 관계를 식별하고 관련 계약을 확인하고 확인하고 새로운 계약 규칙에 따라 점검하고 조정해야합니다. 이 작업이 GDPR을 위해 이미 수행 된 경우, 다시는 많은 변화가 필요하지 않습니다. 일반적으로 필요한 것은 GDPR에 대한 참조를 확장하여 DPA도 포함하는 것입니다. 비슷한 방식으로 컨트롤러 및 프로세서는 국제 데이터 전송을 식별하고 DPA 이행 여부를 확인해야합니다’비준수가 앞으로 벌금을 부과 할 수 있다는 점을 감안할 때 S 요구 사항. DPA 인 경우’현재의 요구 사항이 충족되며, 대부분의 변경이 필요하지 않을 가능성이 높습니다.
회사는 또한 데이터 보호 영향 평가를위한 프로세스를 구현하고 필요한 경우 법에 의해 요구되지 않는 경우에도 데이터 보호 책임자를 임명해야합니다. 데이터 보안 유출 식별, 분석,보고 및 처리 프로세스 (의도하지 않은 데이터 손실 및 잘못된 전자 메일 포함)도 도입해야합니다. 모든 회사는 또한 영향을받는 개인의 요청에 응답하기 위해 절차 (아직 설치되지 않은 경우)가 있어야합니다.g., 개인 데이터에 대한 액세스를 요청하는 사람들. 언급 할 때 “프로세스”, 우리는 회사가 최소한 개인을 임명해야한다는 것을 의미합니다. 각 경우에해야 할 일을 알고있는 관련 주제 또는 수행해야 할 작업에 대한 관련 정보를 어디서 얻을 수 있는지.
마지막으로, 자동화 된 개별 결정을 식별해야하며, 관련된 경우 데이터 과목에게 알리고 인간의 개입을 요청할 기회를 주어야합니다. 또한, 비 개인적인 목적 및 신용성에 대한 데이터뿐만 아니라 유전자 및 생체 인식 데이터의 처리를 새로운 요구 사항에 따라 식별, 점검 및 조정해야합니다. 물론 기존 교육은 개정 된 DPA의 요구 사항에 해당하도록 조정되어야하며 감사를 수행하여 새로운 요구 사항의 구현을 확인하는 것이 합리적 일 수 있습니다.
NFADP’S 12 주요 요구 사항 :
스위스 중소기업은 NFADP를 준수하기 위해 다음 12 가지 조치를 구현해야합니다
- 데이터 보호 문 (웹 사이트, 계약, 광고 컨텐츠 등) 확인 및 수정.))
- 기업 데이터 처리 지침 초안 (또는 수정)
- 데이터 처리 레지스터 설정 (직원이 250 명 미만인 회사 제외 및 개인 정보 보호 위험이 중대한 위험이없는 경우)
- 데이터 주제에 즉시 응답하는 절차를 설정하십시오’ 요청 (e.g., 정보 또는 데이터 삭제)
- 데이터 위반보고 절차를 구현하십시오
- 데이터 처리가 위험이 높을 때 필요한 영향 평가 프로세스를 설정합니다 (E.g., 광범위한 공개 도메인의 체계적인 모니터링의 경우)
- 데이터 보안이 제공되는지 확인하고 이와 관련하여 조항을 추가하기 위해 하청 업체와 계약을 분석하여 (데이터 유출 알림 포함)
- 데이터를 삭제하거나 익명으로 렌더링 할 수 있도록 제공합니다 (그리고 처리 된 원래의 목적에 더 이상 필요하지 않은 직후)
- 간단한 클라우드 백업을 포함하여 데이터가 전송되는 국가를 검토하십시오 (이 국가는 연방 협의회 목록에 있어야합니다. 그렇지 않은 경우 더 엄격한 요구 사항이 적용됩니다)
- 적절한 기술 및 조직 측정을 통해 데이터 보안을 보장하십시오
- 데이터가 전자 형식으로 제공되는지 확인하십시오 (자동화 된 데이터 처리의 경우, 특히 계약의 결론 또는 구현)
- 데이터 보호 고문을 지정하고 연락처 세부 정보를 게시합니다 (이 사람에게 FDPIC (Federal Data Protection and Information Commissioner)에게 통보하는 것이 좋습니다).