Europejskie ogólne rozporządzenie w sprawie ochrony danych RODO

Szwajcarska federalna ustawa o ochronie danych: co musisz wiedzieć

Ogólne rozporządzenie w sprawie ochrony danych (RODO) jest strategicznym wyzwaniem dla wszystkich firm europejskich (i globalnych). W Szwajcarii organizacje stoją przed jeszcze większym wyzwaniem: spełnienie zarówno wymagań RODO, jak i prawa krajowego, Szwajcarska federalna ustawa o ochronie danych (FADP).
Całkowita rewizja FADP została przyjęta przez Zgromadzenie Federalne jesienią 2020 r. Po trzech latach debaty. Początkowo zaplanowane w drugiej połowie 2022 r. Wdrożenie nowej szwajcarskiej ustawy federalnej w sprawie ochrony danych (NFADP) rozpocznie się 1 września 2023 r.
Rozporządzenie w sprawie ustawy o ochronie danych (DPO) zostanie wydane w tym samym czasie, po konsultacji z Radą Federalną. Zgodnie z nowym prawem firmy będą musiały przestrzegać bardziej rygorystycznych zasad.

Streszczenie

  • : Szwajcaria ma na celu zbliżenie swoich przepisów do wymogów RODO w celu utrzymania uznania jako państwa zewnętrznego z odpowiednim poziomem ochrony wymiany danych.
  • : Nowe prawo federalne wprowadza nowe przepisy dla firm, w tym definicję poufnych danych osobowych i dwie nowe zasady ochrony danych.
  • Zakres szwajcarskiego NFADP: Nowe prawo ma na celu ochronę osobowości i podstawowych praw osób w Szwajcarii oraz promuje większą przejrzystość, prawa i odpowiedzialność za procesory danych.
  • Jak przestrzegać nowej federalnej ustawy o ochronie danych w Szwajcarii?: Szwajcarskie firmy muszą podjąć natychmiastowe środki, takie jak identyfikacja danych osobowych, modyfikowanie deklaracji ochrony danych, budowanie procesów wewnętrznych, tworzenie rejestru przetwarzania danych, prowadzenie ocen wpływu, analiza umów i wyznaczanie doradcy ds. Ochrony danych.
  • : Firmy w Szwajcarii muszą przestrzegać zarówno nowego FADP, jak i RODPR.
  • : Nowe szwajcarskie prawo poprawia przetwarzanie danych dla obywateli szwajcarskich, jednocześnie zapewniając im nowe prawa. Dotyczy to również wszystkich firm niezależnie od wielkości, a nawet wpływa na zagraniczne firmy z działalnością lub przetwarzaniem danych związanych z Szwajcarią.

  1. P: Dlaczego ogólne rozporządzenie w sprawie ochrony danych (RODO) jest wyzwaniem dla firm?
  2. Odp.: RODO jest strategicznym wyzwaniem dla firm, ponieważ muszą spełniać swoje wymagania.

  3. P: Jaka jest szwajcarska federalna ustawa o ochronie danych (FADP)?
  4. Odp.: Szwajcarski FADP jest prawem krajowym, do którego organizacje szwajcarskie muszą przestrzegać oprócz RODO.

  5. P: Kiedy wdrożenie nowej szwajcarskiej ustawy federalnej w sprawie ochrony danych (NFADP) ma się rozpocząć?
  6. Odp.: Oczekuje się, że wdrożenie nowej szwajcarskiej ustawy o ochronie danych rozpocznie się 1 września 2023 r.

  7. P: Czy firmy zobowiązane do przestrzegania bardziej rygorystycznych zasad wynikających z nowego prawa?
  8. Odp.: Tak, firmy będą musiały przestrzegać bardziej rygorystycznych zasad na podstawie nowej szwajcarskiej ustawy federalnej w sprawie ochrony danych.

  9. P: Jakie są główne zmiany między szwajcarskim FADP a NFADP?
  10. .

  11. P: Jaki jest zakres szwajcarskiego NFADP?
  12. Odp.: Szwajcarski NFADP ma na celu ochronę osobowości i podstawowych praw osób w Szwajcarii oraz promuje większą przejrzystość, prawa i odpowiedzialność za procesory danych.

  13. P: Jak szwajcarskie firmy mogą przestrzegać nowej ustawy federalnej w sprawie ochrony danych?
  14. Odp.: Szwajcarskie firmy mogą przestrzegać podejmowania takich środków, jak identyfikacja danych osobowych, modyfikowanie deklaracji ochrony danych, budowanie procesów wewnętrznych, tworzenie rejestru przetwarzania danych, przeprowadzanie ocen wpływu, analizowanie umów i wyznaczanie doradcy ds. Ochrony danych.

  15. ?
  16. Odp.: Znaczna część dyrektyw nowej ustawy federalnej będzie miała zastosowanie, gdy tylko wejdzie w życie. Ważne jest, aby przewidzieć środki spełnione z nowymi wymaganiami.

  17. P: Jakie są kluczowe punkty, należy pamiętać o szwajcarskim ustawie federalnej w sprawie ochrony danych?
  18. Odp.: Kluczowe punkty obejmują poprawę przetwarzania danych dla obywateli szwajcarskich, dostarczanie im nowych praw, ubieganie się o wszystkie firmy bez względu na wielkość i wpływanie na zagraniczne firmy z działalnością lub przetwarzaniem danych związanych z Szwajcarią.

  19. P: Jak Szwajcaria ma na celu utrzymanie uznania jako państwa zewnętrznego z odpowiednim poziomem ochrony?
  20. Odp.: Szwajcaria zamierza zbliżyć swoje przepisy do wymogów RODO w celu utrzymania uznania jako państwa zewnętrznego z odpowiednim poziomem ochrony wymiany danych.

  21. P: Jaki jest cel nowej szwajcarskiej ustawy federalnej w sprawie ochrony danych?
  22. Odp.: Celem jest ochrona osobowości i podstawowych praw osób w Szwajcarii oraz regulacja przetwarzania i zapobieganie obelżywym wykorzystaniu ich danych.

  23. P: Czy nowa szwajcarska federalna ustawa o ochronie danych ma zastosowanie do podmiotów prawnych?
  24. Odp.: Nie, nowe prawo federalne obejmuje jedynie ochronę danych osobowych dla osób fizycznych lub naturalnych i nie ma już zastosowania do danych podmiotów prawnych.

  25. P: Co jest zawarte w definicji poufnych danych osobowych w szwajcarskim NFADP?
  26. Odp.: Definicja obejmuje dane genetyczne i biometryczne, które pozwalają na rozpoznanie osoby jednoznacznie.

  27. P: Jakie zasady ochrony danych są zawarte w szwajcarskim FADP?
  28. Odp.: Dwie nowe zasady ochrony danych są zawarte w szwajcarskim FADP, które nie są wymienione w akapicie.

  29. P: Czy nowa szwajcarska federalna ustawa o ochronie danych ma zastosowanie do wszystkich firm niezależnie od ich wielkości?
  30. Odp.: Tak, nowa szwajcarska federalna ustawa o ochronie danych dotyczy wszystkich firm, niezależnie od ich wielkości.

  31. P: Jakie wymagania mają zastosowanie do zagranicznych firm z działaniami lub przetwarzaniem danych związanych z Szwajcarią?
  32. Odp.: Firmy zagraniczne z działaniami lub przetwarzaniem danych związane ze Szwajcarią muszą przestrzegać nowej szwajcarskiej ustawy federalnej w sprawie ochrony danych.

Europejskie ogólne rozporządzenie w sprawie ochrony danych RODO

Ponieważ Szwajcaria nie jest członkiem UE ani EOG, reforma europejskiego ustawy o ochronie danych nie ma bezpośredniego wpływu na szwajcarskie przedsiębiorstwa.

Szwajcarska federalna ustawa o ochronie danych: co musisz wiedzieć

Ogólne rozporządzenie w sprawie ochrony danych (RODO) jest strategicznym wyzwaniem dla wszystkich firm europejskich (i globalnych). W Szwajcarii organizacje stoją przed jeszcze większym wyzwaniem: spełnienie zarówno wymagań RODO, jak i prawa krajowego, Szwajcarska federalna ustawa o ochronie danych (FADP).

Całkowita rewizja FADP została przyjęta przez Zgromadzenie Federalne jesienią 2020 r. Po trzech latach debaty. Początkowo zaplanowane w drugiej połowie 2022 r. Wdrożenie nowej szwajcarskiej ustawy federalnej w sprawie ochrony danych (NFADP) rozpocznie się 1 września 2023 r.

Rozporządzenie w sprawie ustawy o ochronie danych (DPO) zostanie wydane w tym samym czasie, po konsultacji z Radą Federalną. Zgodnie z nowym prawem firmy będą musiały przestrzegać bardziej rygorystycznych zasad.

Streszczenie

  • Szwajcarski NFADP: nowe wytyczne i zakres
  • 10 głównych zmian między szwajcarskim FADP a NFADP
  • Zakres szwajcarskiego NFADP
  • Jak przestrzegać nowej federalnej ustawy o ochronie danych w Szwajcarii?
  • Szwajcarski FADP kontra RODPR
  • 3 Kluczowe punkty, o których należy pamiętać

Szwajcarski NFADP: nowe wytyczne i zakres

Biorąc pod uwagę szybką ewolucję technologiczną, stara szwajcarska federalna ustawa o ochronie danych jest przestarzała. Całkowita rewizja FADP pozwala mu dostosować dyrektywy do współczesnych, technologicznych i społecznych wyzwań.

Wzmacniając tekst prawa, Szwajcaria dąży do zbliżenia szwajcarskich przepisów do wymogów RODO . Dla kraju wyzwaniem jest pozostanie uznane za państwa trzeciej, z odpowiednim poziomem ochrony do prowadzenia wymiany danych z resztą świata.

To nowe prawo poprawia przetwarzanie danych osobowych dla obywateli szwajcarskich, jednocześnie zapewniając im nowe prawa.

10 głównych zmian między szwajcarskim FADP a NFADP

Szwajcarski NFADP wprowadza nowe przepisy dla firm:

  • Nowe prawo federalne obejmuje tylko ochrona danych osobowych dla osób fizycznych lub naturalnych. Nie dotyczy już danych podmiotów prawnych (stowarzyszenia, fundacji, firm handlowych itp.)
  • .) Również Zawiera dane genetyczne i biometryczne (odciski palców, DNA itp.), Kiedy dają możliwość rozpoznania osoby jednoznacznie.
  • Dwie nowe zasady ochrony danych są zawarte w szwajcarskim FADP:

Zakres szwajcarskiego NFADP

Didomi-Suisse-Cookie-Loi-Lpd-1

Nowe prawo federalne dotyczące ochrony danych osobowych ma na celu ochronę osobowości i podstawowych praw osób mieszkających w Szwajcarii. Reguluje przetwarzanie i zapobiega obelżywym wykorzystaniu ich danych przez prywatne firmy lub przez państwo. Bezpieczeństwo danych podmiotów prawnych nie jest już zapewnione.

Całkowita rewizja prawa oferuje Szwajcarom większą przejrzystość. . W ramach firm NFADP promuje przyjęcie środków zapobiegawczych. Dzięki nowym przepisom karnym i zwiększonym nadzorowaniu sprawia, że ​​procesory danych są bardziej odpowiedzialne.

Nowy szwajcarski FADP dotyczy wszystkich firm, niezależnie od ich wielkości. Dotyczy również podmiotów gospodarczych “którzy mają skutki w Szwajcarii, nawet jeśli zostali wyprodukowani za granicą.

Mogą to być firmy zagraniczne:

  • Aktywny komercyjnie na rynku szwajcarskim;
  • Dla których przetwarzanie danych jest związane ze Szwajcarią. .

Jak przestrzegać nowej federalnej ustawy o ochronie danych w Szwajcarii?

Aby być zgodnym z NFADP, szwajcarskie firmy muszą natychmiast podjąć silne środki w celu ochrony danych osobowych:

  • Identyfikacja danych osobowych, a następnie ocena ryzyka w celu ustalenia wymagań zgodności;
  • W razie potrzeby sprawdzanie i modyfikowanie deklaracji ochrony danych na stronach internetowych, treści reklamowych, w umowach itp.;
  • Tworzenie rejestru przetwarzania danych;
  • . To bezpieczeństwo dostarczonych danych? ?
  • Mianowanie doradcy ds. Ochrony danych w firmie.

?

Znaczna część dyrektyw nowej ustawy federalnej będzie miała zastosowanie, gdy tylko wejdzie w życie. Aby zapewnić skuteczną ochronę danych w dniu 1 września 2023 r., Ważne jest, aby w jak największym stopniu przewidzieć identyfikację możliwych środków.

Odkryj nasz CMP

Szwajcarski FADP kontra RODPR

. .

RODO dotyczy szwajcarskich firm w kilku sytuacjach. Rozporządzenie musi być przestrzegane w celu przetwarzania danych osobowych:

  • Przeprowadzone w ramach działalności europejskiej oddziału lub spółki zależnej szwajcarskiej spółki w UE;
  • Przeprowadzony przez szwajcarską firmę jako podwykonawcę firmy z siedzibą w Unii Europejskiej;
  • Mające na celu oferowanie towarów lub usług dla osób zaniepokojonych w związku;
  • Związane z śledzeniem zachowania mieszkańców UE.

Główne różnice między RODO a szwajcarskim FADP w zakresie ochrony danych osobowych

. Jednak nowe prawo federalne przedstawia pewne szczególne szczegóły:

  • Jego wymagania są Mniej surowe;
  • W nowym szwajcarskim FADP zalecane jest wyznaczenie doradcy ds. Ochrony danych, ale nie obowiązkowe. RODO wymaga Oficer ochrony danych (DPO) w niektórych przypadkach;
  • W przypadku naruszenia danych RODO wymaga 72-godzinnego terminu, aby powiadomić odpowiednie organy. Zmieniony FADP wymaga powiadomienia „jak najszybciej”;
  • Limit kary jest wyższy dla RODO: 20 milionów euro w porównaniu z 250 000 franków dla nowej szwajcarskiej ustawy o ochronie danych.

Wybierając Didomi, Tworzysz wartość z zaufaniem na całym świecie, czyniąc prywatność wyjątkową obsługą klienta. Z naszym Rozwiązanie do zarządzania zgodą i preferencją, możesz:

  • Zbieraj zgodę od klientów z pełną zgodnością;
  • Chroń swoją reputację;
  • Zaprezentuj swoją przejrzystość do gromadzenia danych osobowych;
  • Śledź wskaźniki zgody;
  • Synchronizować dane osobowe między CRM a narzędziami automatyzacji marketingu.

Czy chcesz, aby szwajcarski zgodność z RODP/FADP aktywem komercyjnym? Niezależnie od tego, czy jesteś redaktorem, bankiem, elektronicznym, czy dostawcą oprogramowania: Zarezerwuj demo!

Poproś o demo

3 Kluczowe punkty, o których należy pamiętać

  • Nowa szwajcarska federalna ustawa o ochronie danych wejdzie w życie 1 września 2023 r.;
  • FADP wzmacnia ochronę danych osobowych osób naturalnych;
  • Pomimo pewnych specyficzności NFADP jest zasadniczo inspirowana miarami RODO.

Europejskie ogólne rozporządzenie w sprawie ochrony danych RODO

Europejskie ogólne rozporządzenie w sprawie ochrony danych (RODO) wprowadzone w życie w maju 2018 r. Chociaż jest to regulacja europejska, dotyczy również szwajcarskich firm w określonych warunkach.

Europejskie ogólne rozporządzenie w sprawie ochrony danych RODO

Do kogo obowiązuje RODO?

RODO dotyczy wszelkich obsługi danych osobowych przez szwajcarskie firmy, jeśli firma

  • Ma regionalne biuro w UE, takie jak oddział, agencja, lokalne biuro przedstawicielskie lub spółka zależna, pod warunkiem, że ta ostatnia nie działa niezależnie, ale w imieniu szwajcarskiej spółki macierzystej, oraz przetwarza dane osobowe w związku z biurem regionalnym (przykład: oddział we Francji sprzedaje produkty lub usługi dla siedziby głównej w Switzerland’S kontakty z Francji);
  • nie jest ustanowione w UE: jeśli firma oferuje towary lub usługi w UE (przykład: firma w Szwajcarii aktywnie dystrybuuje towary lub usługi do Niemiec za pośrednictwem strony internetowej lub oprogramowania jako usługa (SaaS) w Szwajcarii ma klientów w UE) lub obserwuje zachowanie osób w UE (’S strona internetowa w Szwajcarii, za pomocą której można wyciągnąć wnioski na temat zachowania odwiedzających witrynę i dane te są oceniane).

Jakie są konsekwencje niezgodności?

Naruszenie RODO może mieć następujące konsekwencje:

  • Władze europejskie mogą nałożyć grzywny w wysokości do 20 milionów euro lub – jeśli wyższe – cztery procent winy firmy’S coroczny obrót na całym świecie.
  • . W takich przypadkach naruszenie może prowadzić do kar umownych, przedwczesnego rozwiązania, roszczeń o szkody i utraty praw.

Szczegółowe informacje na temat RODO i tego, co muszą zrobić szwajcarskie firmy, w tym lista kontrolna, można znaleźć w naszym arkuszu informacyjnym.

RODO – konsekwencje dla szwajcarskich firm

Ponieważ Szwajcaria nie jest członkiem UE ani EOG, reforma europejskiego ustawy o ochronie danych nie ma bezpośredniego wpływu na szwajcarskie przedsiębiorstwa.

Autor: Andreas Knijpenga

Nowy system ochrony danych UE będzie bezpośrednio istotny dla każdego przetwarzania danych podjętego przez podmioty grupowe znajdujące się w firmach UE i szwajcarskich, jeśli prowadzą działalność gospodarczą w obszarze UE i mają dostęp do danych osobowych od swoich klientów UE, dostawców i pracowników UE zatrudnionych w UE.

W tym kontekście istnieje kilka istotnych nowych wymagań, takich jak (do wymienienia tylko kilku):

  • Powiadomienie o naruszeniu danych w ciągu 72 godzin
  • Sankcje w wysokości do 4% całkowitego rocznego obrotu na całym świecie lub do 20 mln EUR

Po drugie, oczekuje Federalna ustawa o ochronie danych (FDPA) Na zmianę będzie miała wpływ:

  • Modernizacja „Konwencji ratyfikowanej przez Szwajcarię w celu ochrony osób w odniesieniu do automatycznego przetwarzania danych osobowych” przez Radę Europy
  • Nowa dyrektywa ochrony danych dla sektora policji i wymiaru sprawiedliwości w sprawach karnych

Ostatecznie wszystkie trzy nowe przepisy europejskie są zgodne z tymi samymi zasadami. Chociaż oczekuje się, że podstawowe zasady FDPA pozostaną takie same i wymagane są tylko niewielkie korekty obecnego FDPA, szwajcarscy twórcy prawa mogą skopiować duże części ostatecznego RODO w zmienionym FDPA, aby utrzymać harmonizację obszaru gospodarczego.

. Będzie to również kluczowe dla wszystkich szwajcarskich firm zapoznanie się z nowym RODO i jego wymaganiami, aby już zacząć oceniać, czy mają wpływ nowe zasady i zainicjować prace przygotowawcze (mi.. .

Zachowaj się do dalszych aktualizacji FDPA.

Szwajcarska ustawa o ochronie danych 20202

. Po rozwiązaniu ostatnich różnic w “” W środę szwajcarski parlament federalny uchwalił w piątek, 25 września 2020 r., Nowe prawo. Oczekuje się, że wejdzie w życie 1 września 2023. W następnym kroku rozporządzenia wspierające będą teraz opracowane i przedłożone do konsultacji publicznych. Jak szybko rzeczy teraz postępy będą oczywiście zależeć również od UE: Szwajcaria wciąż czeka na odnowienie Komisji Europejskiej’. UE może wywierać presję na Szwajcarię, aby przyspieszyć wprowadzenie zmienionego DPA.

Więcej zarządzania: zapisy działań w zakresie przetwarzania danych, DPIA, obowiązek raportowania

Podobnie jak w przypadku RODO, głównymi zmianami w nowym DPA są nowe zobowiązania zarządzania, takie jak wymóg utrzymania rejestrów działań w zakresie przetwarzania danych, obowiązek zgłaszania strat danych i innych naruszeń bezpieczeństwa danych do Federalnego Komisarza ds. Ochrony danych i informacji (FDPIC) oraz obowiązek przeprowadzania oceny wpływu na ochronę danych (“DPIA”) W celu poufnego przetwarzania danych. Wszystkie trzy wymagania są porównywalne z odpowiednimi przepisami w ramach RODO i spowodują dodatkowe obciążenie dla firm, które nie przeszły jeszcze procesu do celów RODO. Ci, którzy mogą przyjąć istniejące zapasy przetwarzania danych mniej lub bardziej bezpośrednio bezpośrednio i dokonują zmian w procedurach powiadomienia o naruszeniu danych, aby również przestrzegać prawa szwajcarskiego (DPA przewiduje nieco inne progi, kiedy powiadomienie staje się konieczne, ale zasadniczo działa w tych samych liniach, co zobowiązanie powiadomienia w ramach GDPR). Szwajcarski prawodawcy też mieli “skopiowane” koncepcja DPIA, która jak dotąd nie istniała formalnie zgodnie z prawem szwajcarskim, chociaż jest już dobrze znana zgodnie z prawem ochrony danych “dobra praktyka” W przypadku poufnych działań przetwarzania danych.

Podstawowe zasady niezmienione

Chociaż DPA zostało całkowicie zmienione, sektor prywatny ogólnie nie będzie musiał zmieniać sposobu, w jaki przetwarza dane osobowe. Podstawowe zasady przetwarzania danych pozostają niezmienione w nowym DPA, z jednym wyjątkiem: dane osobowe podmiotów prawnych nie są już chronione, mimo że nadal obowiązują pewne ogólne zabezpieczenia. Szwajcarska koncepcja, zgodnie z którym przetwarzanie danych w sektorze prywatnym jest zasadniczo dopuszczalne i uzasadnione (lub “”) jest wymagane tylko w niektórych sytuacjach, pozostaje niezmienione.

Zatem DPA nadal odbiega od ogólnego rozporządzenia w sprawie ochrony danych UE (RODO): tam przetwarzanie danych osobowych jest ogólnie zabronione, chyba że istnieje podstawa prawna, jak zgoda, wykonanie umowy, wystarczający uzasadniony interes lub przepis prawny w prawie prawnym.

Zgoda: mniej restrykcyjne niż w ramach RODO

. Nie ma potrzeby informować o możliwości wycofania się i można łączyć wiele deklaracji zgody.

Podstawy, na których można uzasadnić przetwarzanie danych, pozostają mniej więcej takie same jak w bieżącym DPA i wykraczają poza to, co jest przewidziane w RODO. To, co zostało nieco bardziej ograniczone, jest uzasadnieniem dla nieosobowych celów przetwarzania (e.., .

Zasada “Prywatność według projektu” jest teraz również wyraźnie uwzględnione w prawie, ale ściśle mówiąc, zawsze istniało – nawet w ramach obecnego DPA. Rzeczywiście, jedynym nowym przepisem jest szwajcarska wersja “Prywatność domyślnie”, .

“Doradca ds. Ochrony danych” (który w istocie jest urzędnikiem ds. Ochrony danych), istnieje – w przeciwieństwie do RODO – nie ma obowiązku tego zrobić. Jednak większość firm średnich i większych nie będzie w stanie odpowiednio wdrożyć ochrony danych. Ponadto zagraniczne firmy o znacznych działaniach w Szwajcarii będą musiały wyznaczyć szwajcarskiego przedstawiciela, ale spodziewamy się, że tylko kilka firm będzie przedmiotem tego wymogu. .

Prawo do informacji jest ograniczone

Prawa osobników danych są nieco rozszerzone, ale jednocześnie zdefiniowały nieco wyraźniej. . Na przykład tylko dane osobowe “takie jak” może być żądane i “wyłącznie” co konieczne jest dochodzenie praw do ochrony danych. “Prawo do zapomnienia” znany z RODO istniał pod DPA przez cały czas i pozostanie. Nadal nie jest absolutne, ale zapewnia równowagę zainteresowań. Podobnie zasada, że ​​dane mogą być przetwarzane tylko tak daleko i tak długo, jak to konieczne, nadal ma zastosowanie. Jednak zupełnie nowa w DPA jest jednak prawo do przenośności danych, które szwajcarski prawodawcy skopiowali z RODO: w rzeczywistości nie ma to wiele wspólnego z ochroną danych, ale umożliwia konsumentom uzyskanie danych przechowywanych w Internecie lub innych dostawcach usług w celu przeniesienia takich danych konkurencji. Zupełnie nowe jest również prawo do żądania, aby osoba ponownie rozważa ważne decyzje, które zostały podejmowane wyłącznie na zasadzie zautomatyzowanej i które ze swojej natury pozwalają na interpretację. Przepis jest porównywalny z przepisem RODPR w zakresie zautomatyzowanych indywidualnych decyzji, ale DPA wymaga jedynie kontrolera, aby poinformować o takich decyzjach i umożliwić danych podlegających zażądaniu interwencji człowieka.

Umowy przetwarzania danych

Wymagania dotyczące umów z procesorami danych, i.mi. Firmy, do których kontrolery przekazują własne przetwarzanie danych osobowych, takie jak dostawcy usług w chmurze, zostały nieco zaostrzone; mianowicie, użycie podwykonawców musi być teraz zatwierdzone przez kontroler. Jednak nowe przepisy wciąż nie są w zależności od RODO. Ponieważ wymagania wynikające z art. 28 RODO są obecnie uważane za standardowe w branży, nie oczekujemy żadnych problemów, aby kontrolerzy zapewnią zgodność z nowymi zasadami w ramach DPA. Klauzule zgodziły się z procesorami zwykle będą musiały być dostosowane tylko w celu odniesienia się nie tylko do RODO, ale także do DPA.

Polityka prywatności staje się obowiązkowa

Obowiązek dostarczania informacji został rozszerzony w ramach nowego DPA. Oznacza to, że firmy muszą mieć deklarację ochrony danych, w której dostarczają pewnych obowiązkowych informacji dotyczących gromadzonych danych osobowych. Tego rodzaju informacje są zwykle dostarczane dla firm’ strony internetowe i za pomocą linków zawartych w ich formularzach i warunkach kontraktowych. Koncepcyjnie obowiązek informacyjny w ramach nowego DPA jest bardzo podobny do zobowiązania informacji w ramach RODO, ale nie wymaga tak dużej treści, jak RODO. Jedynym wyjątkiem jest obowiązek kontrolera do wskazania krajów, do których eksportowane są dane osobowe, oraz przepisy prawne, na których firma opiera się na tym. Naszym zdaniem jednak nie jest konieczne wymienianie każdego kraju; Warunki takie jak “Europa” Lub “na całym świecie” powinien też działać. Jeżeli firma wyznaczyła doradcę ds. Ochrony danych lub przedstawiciela, należy również podać informacje na ten temat. W rezultacie konieczne są pewne korekty istniejących stwierdzeń dotyczących ochrony danych, ale nie oczekujemy, że stworzy to jakiekolwiek duże problemy.

Transfer za granicą: będzie łatwiej

Zmieniony DPA reguluje transgraniczne transfery danych osobowych nieco inaczej niż w przeszłości, ale praktyczne konsekwencje są bardzo ograniczone. Obecnie do rady federalnej zależy wiarygodnie określenie krajów, które są uważane za odpowiedni poziom ochrony danych i do których danych można wyeksportować bez specjalnych środków ostrożności. Jak dotąd FDPIC utrzymał listę krajów z jego oceną na ten temat, ale lista ta nie była wiążąca (jest to również powód, dla którego skutki decyzji ECJ “Schrems II” W Szwajcarii były znacznie bardziej ograniczone niż w EOG). Można nadal stosować standardowe klauzule umowne dla eksportu danych; Obowiązek powiadomienia FDPIC został usunięty z nowego DPA. Ujawnienie danych osobowych władzom zagranicznym również stanie się łatwiejsze; Wcześniej było to często możliwe tylko w kontekście postępowania sądowego.

Możliwe są więcej grzywny, ale nadal jest wyjątkiem

Egzekwowanie DPA zmieni się również zgodnie z nowym prawem. “Zalecenia” do kontrolerów danych i procesorów, którzy jego zdaniem nie były zgodne z DPA. Gdyby nie zastosowali się do jego zalecenia, mógłby je pozwać. W przyszłości będzie on bezpośrednio wydać rozkazy przeciwko kontrolerom i procesorom. Na przykład będzie mógł zamówić, aby określić określone działanie przetwarzania danych. ’Procedury S stają się coraz bardziej skomplikowane i wymagające większej ilości zasobów niż te w ramach obecnego DPA. Okaże się, czy nowa koncepcja doprowadzi do większego egzekwowania, czy też nie spowoduje mniejszej liczby przypadków, biorąc pod uwagę FDPIC’S ciągłe mało personelu. FDPIC nadal nie będzie w stanie nałożyć grzywny.

Prawo do nakładania grzywien leży w kantonalnych organach organów ścigania (które nie są specjalizowane w ochronie danych), a katalog grzywny został znacznie rozszerzony. . Teraz naruszenia postanowień dotyczących eksportu danych przepisy dotyczące uruchomienia procesorów i niektórych naruszeń środków bezpieczeństwa danych można również ukarać grzywną. Grzywny mają być przede wszystkim wypłacane przez decydenci, ale tylko wtedy, gdy działali celowo. Można je uznać za odpowiedzialność za ilość CHF 250’000. ’000) Chociaż kwoty te blade w porównaniu z kwotami w ramach RODO, prawdopodobnie będą one jeszcze bardziej skuteczne, biorąc pod uwagę, że mają charakter osobisty i nie można ich ubezpieczyć. Zakładamy, że grzywny za naruszenia ochrony danych będą nadal wyjątkiem w Szwajcarii. Ponadto naruszenia podstawowych zasad DPA nadal są zwolnione z kary – ważna różnica dla RODO. ’000) i nowy przepis przeciwko kradzieży tożsamości.

Brak zgody na profilowanie

Główną kością twierdzenia o obradach nowej DPA była “profilowy”, . Godne uwagi, podobnie jak w ramach RODO, znaczenie prawne “profilowy” Jako takie jest bardzo ograniczone. . Chociaż profilowanie jest określonym terminem w nowym DPA, nie ma prawie żadnych przepisów DPA, które się do niego odnoszą, przynajmniej w odniesieniu do sektora prywatnego. W przeciwieństwie do tego, co ogólnie zostało zgłoszone, nowy DPA nie zapewnia, że ​​profilowanie wymaga zgody. Nowa DPA mówi, że jeśli zgoda jest wymagana w określonym przypadku, taka zgoda musi mieć wyraźny charakter w przypadku profilowania za pomocą “”. . Jest to już zgodne z obecną sytuacją prawną w ramach istniejącego DPA. Innymi słowy: prawie nic nie zmienia się pod nowym DPA. Chociaż profilowanie jako takie nie wymaga zgody, jest – oczywiście – już możliwe, że operacja przetwarzania danych do tej pory jest wymagana. Zgoda to jedna możliwa forma uzasadnienia, ale kontroler może być również w stanie polegać na nadrzędnym prywatnym odsetkom w zależności od okoliczności.

Potrzeba działania

Co należy teraz zrobić? Większość firm powinna mieć wystarczająco dużo czasu na wdrożenie najważniejszych przepisów zmienionego DPA. Po pierwsze, powinni przejrzeć swoje oświadczenia dotyczące ochrony danych w świetle nowych wymagań i dostosować je lub, jeśli to konieczne, tworzą nowe, jeśli nie mają żadnych. Najbardziej czasochłonną częścią tego procesu jest zwykle wewnętrzny przegląd działań w zakresie ochrony danych Aby zapewnić, że wszystkie przypadki, w których firma zamieszcza dane osobowe, są objęte. Po uzyskaniu tych informacji może utworzyć lub zaktualizować instrukcję ochrony danych i ustanowić zapasy działań przetwarzania danych. Jeżeli takie oświadczenia i zapasy zostały już utworzone do celów RODO, można je w dużej mierze ponownie wykorzystać do DPA.

Utwórz zapisy działań przetwarzania 70% szybciej dzięki rejestrze RODO! Spróbuj 14 dni za darmo!

W kolejnym etapie należy zidentyfikować relacje z procesorem kontrolera, a powiązane umowy sprawdzone i dostosowane zgodnie z nowymi, surowszymi zasadami zaangażowania. Jeśli ta praca została już wykonana dla RODO, znowu niewiele zmian będzie koniecznych; Zwykle konieczne jest rozszerzenie odniesień do RODO, aby obejmować również DPA. ’S Wymagania, biorąc pod uwagę, że niezgodność może zostać ukarana grzywną w przyszłość. Jeśli DPA’S Obryjne wymagania są spełnione, najprawdopodobniej żadne zmiany nie są konieczne.

Firmy powinny również wdrożyć proces oceny wpływu na ochronę danych i, w razie potrzeby, wyznaczyć urzędnika ds. Ochrony danych, nawet jeśli nie jest to wymagane przez prawo. Należy również wprowadzić proces identyfikacji, analizy, raportowania i obsługi naruszeń bezpieczeństwa danych (który termin obejmuje niezamierzone straty danych i źle skierowane e-maile). Każda firma powinna również mieć proces – jeśli nie jest już w miejscu – w celu odpowiedzi na wnioski od osób dotkniętych dotkniętymi osobami E.G., osoby, które proszą o dostęp do swoich danych osobowych. Odnosząc się do “”, .

Wreszcie należy zidentyfikować zautomatyzowane indywidualne decyzje i, w razie istotności, podmiotów danych powinny być informowane i mieć możliwość poproszenia o interwencję człowieka. Ponadto, przetwarzanie danych genetycznych i biometrycznych, a także danych do celów nieosobowych i wiarygodności kredytowej należy zidentyfikować, sprawdzić i dostosować do nowych wymagań. .

NFADP’S 12 Kluczowe wymagania:

Szwajcarskie MŚP muszą wdrożyć następujące 12 miar, aby przestrzegać NFADP:

  1. Sprawdź i modyfikuj oświadczenia dotyczące ochrony danych (strona internetowa, umowy, treści reklamowe itp.)
  2. Szkic (lub zmodyfikuj) wytyczne dotyczące obsługi danych korporacyjnych
  3. Ustanowić rejestr przetwarzania danych (z wyjątkiem firm z mniej niż 250 pracowników i jeśli nie ma istotnego ryzyka prywatności)
  4. Ustal procedury niezwłocznie reagowania na osoby z danymi’ żądania (e.G., Aby uzyskać informacje lub usunięcie danych)
  5. Wdrożyć procedurę raportowania naruszenia danych
  6. Ustanowienie procesu ocen wpływu, które są wymagane, gdy przetwarzanie danych jest wysokie (e.G., W przypadku systematycznego monitorowania szerszej domeny publicznej)
  7. Zapewnij, że dane zostaną usunięte lub renderowane anonimowe (i bezpośrednio po tym, jak nie są już konieczne do pierwotnego celu, dla których zostały przetworzone)
  8. Przejrzyj kraje, w których dane są przesyłane, w tym w celu prostej kopii zapasowej w chmurze (kraje te muszą znajdować się na liście rady federalnej. Jeśli nie, obowiązują bardziej rygorystyczne wymagania)
  9. Zapewnij bezpieczeństwo danych poprzez odpowiednie środki techniczne i organizacyjne
  10. Upewnij się, że dane są dostarczane w formacie elektronicznym (w przypadku automatycznego przetwarzania danych, a zwłaszcza wniosku lub wdrożenia umowy)
  11. .