Европейское общее регулирование защиты данных GDPR

Федеральный акт Швейцарии о защите данных: что вам нужно знать

Общее регулирование защиты данных (GDPR) является стратегической задачей для всех европейских (и глобальных) компаний. В Швейцарии организации сталкиваются с еще большей проблемой: удовлетворение как требований GDPR, так и национального права, Швейцарский федеральный закон о защите данных (FADP).
Общий пересмотр FADP был принят Федеральным собранием осенью 2020 года после трех лет дебатов. Первоначально запланировано на вторую половину 2022 года, ожидается, что внедрение нового швейцарского федерального Закона о защите данных (NFADP) начнется 1 сентября, 2023 г.
Постановление о федеральном законе о защите данных (DPO) будет издано в то же время, после консультации с Федеральным советом. Согласно новому закону, компании должны будут соблюдать более строгие правила.

Краткое содержание

• Швейцарский NFADP: новые руководящие принципы и масштаб: Швейцария стремится приблизить свое законодательство к требованиям GDPR для поддержания признания в качестве стороннего государства с адекватным уровнем защиты для обмена данными.
• 10 основных изменений между швейцарским FADP и NFADP: Новый федеральный закон вводит новые правила для компаний, включая определение конфиденциальных личных данных и два новых принципа защиты данных.
• Сфера действия швейцарского NFADP: Новый закон направлен на защиту личности и фундаментальных прав отдельных лиц в Швейцарии и способствует повышению прозрачности, прав и подотчетности для процессоров данных.
• Как соблюдать новый федеральный закон о защите данных в Швейцарии?: Швейцарские компании должны принять немедленные меры, такие как выявление персональных данных, изменение заявлений о защите данных, создание внутренних процессов, создание регистра обработки данных, проведение оценки воздействия, анализ контрактов и назначение консультанта по защите данных.
• Швейцарский FADP против GDPR: Компании в Швейцарии должны соблюдать как новый FADP, так и GDPR.
• 3 ключевые моменты, которые следует иметь в виду: Новый швейцарский закон улучшает обработку данных для швейцарских граждан, предоставляя им новые права. Это также относится ко всем компаниям независимо от размера и даже затрагивает иностранные компании с помощью деятельности или обработки данных, связанных со Швейцарией.

15 уникальных вопросов на основе текста

1. В: Почему общее регулирование защиты данных (GDPR) является проблемой для компаний?

О: GDPR является стратегической задачей для компаний, поскольку им необходимо соблюдать свои требования.

2. В: Каков федеральный закон Швейцарии о защите данных (FADP)?

A: Швейцарский FADP – это национальный закон, которым швейцарские организации должны придерживаться в дополнение к GDPR.

3. Вопрос: Когда ожидается реализация нового федерального закона о защите данных (NFADP)?

A: Ожидается, что реализация нового швейцарского федерального закона о защите данных начнется 1 сентября 2023 года.

4. В: Должны ли компании соблюдать более строгие правила в соответствии с новым законом?

О: Да, компании должны будут соблюдать более строгие правила в соответствии с новым федеральным актом Швейцарии о защите данных.

5. Q: Каковы основные изменения между швейцарским FADP и NFADP?

A: Основные изменения включают определение конфиденциальных личных данных и введение двух новых принципов защиты данных.

6. Q: Какова область применения швейцарского NFADP?

A: Швейцарский NFADP направлен на защиту личности и фундаментальных прав отдельных лиц в Швейцарии и способствует повышению прозрачности, прав и подотчетности для процессоров данных.

7. В: Как швейцарские компании могут соответствовать новому федеральному закону о защите данных?

Ответ: Швейцарские компании могут соблюдать меры, принимая такие меры, как выявление персональных данных, изменение объявлений о защите данных, создание внутренних процессов, создание регистра по обработке данных, проведение оценки воздействия, анализ контрактов и назначение консультанта по защите данных.

8. Q: Разрешает ли швейцарский FADP время перехода, чтобы соответствовать новым требованиям?

О: Значительная часть директив в новом федеральном законе будет применима, как только он вступит в силу. Крайне важно предвидеть меры для соблюдения новых требований.

9. В: Каковы ключевые моменты, которые следует иметь в виду в отношении швейцарского федерального закона о защите данных?

A: Ключевые моменты включают улучшение обработки данных для швейцарских граждан, предоставление им новых прав, применение ко всем компаниям независимо от размера и затронув иностранных компаний с помощью деятельности или обработки данных, связанных со Швейцарией.

10. В: Как Швейцария стремится поддерживать признание как стороннее государство с адекватным уровнем защиты?

A: Швейцария стремится приблизить свое законодательство к требованиям GDPR для поддержания признания в качестве стороннего штата с адекватным уровнем защиты для обмена данными.

11. В: Какова цель нового федерального акта швейцарского федерального акта по защите данных?

О: Цель состоит в том, чтобы защитить личность и фундаментальные права отдельных лиц в Швейцарии и регулировать обработку и предотвратить оскорбительное использование их данных.

12. Вопрос: Применяется ли новый федеральный акт швейцарского федерального уровня к защите данных к юридическим организациям?

A: Нет, новый федеральный закон охватывает только защиту личных данных для отдельных лиц или естественных лиц и больше не применяется к данным юридических лиц.

13. Q: Что включено в определение конфиденциальных личных данных в швейцарском NFADP?

A: Определение включает в себя генетические и биометрические данные, которые позволяют распознавать человека в одностороннем возрасте.

14. В: Какие принципы защиты данных включены в швейцарский FADP?

A: Два новых принципа защиты данных включены в швейцарский FADP, которые не упоминаются в абзаце.

15. Вопрос: Применяется ли новый федеральный акт швейцарского федерального акта на все компании независимо от их размера?

О: Да, новый федеральный акт швейцарского федерального акта в отношении защиты данных применяется ко всем компаниям независимо от их размера.

16. В: Какие требования применяются к иностранным компаниям с действиями или обработкой данных, связанными с Швейцарией?

О: Иностранные компании с деятельностью или обработкой данных, связанные со Швейцарией, должны соответствовать новому швейцарскому федеральному закону о защите данных.

Европейское общее регулирование защиты данных GDPR

Поскольку Швейцария не является членом ЕС или ЕЭЗ, реформа Европейского закона о защите данных не оказывает непосредственного влияния на швейцарские предприятия.

Федеральный акт Швейцарии о защите данных: что вам нужно знать

Общее регулирование защиты данных (GDPR) является стратегической задачей для всех европейских (и глобальных) компаний. В Швейцарии организации сталкиваются с еще большей проблемой: удовлетворение как требований GDPR, так и национального права, Швейцарский федеральный закон о защите данных (FADP).

Общий пересмотр FADP был принят Федеральным собранием осенью 2020 года после трех лет дебатов. Первоначально запланировано на вторую половину 2022 года, ожидается, что внедрение нового швейцарского федерального Закона о защите данных (NFADP) начнется 1 сентября, 2023 г.

Постановление о федеральном законе о защите данных (DPO) будет издано в то же время, после консультации с Федеральным советом. Согласно новому закону, компании должны будут соблюдать более строгие правила.

Краткое содержание

• Швейцарский NFADP: новые руководящие принципы и масштаб
• 10 основных изменений между швейцарским FADP и NFADP
• Сфера действия швейцарского NFADP
• Как соблюдать новый федеральный закон о защите данных в Швейцарии?
• Швейцарский FADP против GDPR
• 3 ключевые моменты, которые следует иметь в виду

Швейцарский NFADP: новые руководящие принципы и масштаб

Учитывая быструю технологическую эволюцию, старый федеральный акт швейцарского федерального акта в области защиты данных устарел. Общий пересмотр FADP позволяет адаптировать директивы к современным, технологическим и социальным проблемам.

Укрепляя текст закона, Швейцария стремится приблизить швейцарское законодательство к требованиям GDPR . Для страны задача состоит в том, чтобы оставаться признанным сторонним государством, с достаточным уровнем защиты для проведения обмена данными с остальным миром.

Этот новый закон улучшает обработку личных данных для швейцарских граждан, одновременно предоставляя им новые права.

10 основных изменений между швейцарским FADP и NFADP

Швейцарский NFADP вводит новые правила для компаний:

• Новый федеральный закон только покрывает Защита личных данных для отдельных лиц или естественных людей. Это больше не применяется к данным юридических организаций (ассоциации, фонды, торговые компании и т. Д.)
• Определение конфиденциальных личных данных (членство в профсоюзе, здоровье, политические мнения и т. Д.) также Включает генетические и биометрические данные (отпечатки пальцев, ДНК и т. Д.), Когда они дают возможность распознавания человека в одностороннем возрасте.
• Два новых принципа защиты данных включены в швейцарский FADP:

Сфера действия швейцарского NFADP

Новый федеральный закон о защите личных данных направлен на защиту личности и фундаментальных прав лиц, проживающих в Швейцарии,. Он регулирует обработку и предотвращает оскорбительное использование своих данных частными компаниями или государством. Безопасность данных юридических организаций больше не гарантирована.

Общая пересмотра закона обеспечивает большую прозрачность для швейцарцев. Закон укрепляет их права (доступ, исправление, удаление, переносимость) в отношении их личных данных. В рамках компаний NFADP способствует принятию превентивных мер. С новыми положениями по уголовным делам и увеличению надзора, это делает процессоры данных более подотчетными.

Новый швейцарский FADP применяется ко всем компаниям, независимо от их размера. Это также касается экономических субъектов »которые оказывают последствия в Швейцарии, даже если они были произведены за границей“.

Они могут быть иностранными компаниями:

• Коммерчески активно на швейцарском рынке;
• Для чего обработка данных связана со Швейцарией. Например, фотография, сделанная в Швейцарии, а затем опубликована на иностранном веб -сайте.

Как соблюдать новый федеральный закон о защите данных в Швейцарии?

Чтобы соответствовать NFADP, швейцарские компании должны немедленно принять сильные меры для защиты личных данных:

• Выявление личных данных, а затем оценка риска для определения требований соответствия;
• При необходимости проверка и изменение заявлений о защите данных на веб -сайтах, рекламном контенте, контрактах и ​​т. Д.;
• Создание внутренних процессов, чтобы принести быстрые ответы на запросы клиентов, связанные с их данными;
• Создание регистра обработки данных;
• Реализация процесса оценки воздействия;
• Анализ контрактов с субподрядчиками. Безопасность предоставленных данных? Необходимо ли добавить пункты?
• Назначение консультанта по защите данных в компании.

Хорошо знать: разрешает ли швейцарский FADP время перехода в соответствии с новыми требованиями?

Значительная часть директив в новом федеральном законе будет применима, как только он вступит в силу. Чтобы обеспечить эффективную защиту данных 1 сентября 2023 года, крайне важно как можно больше предвидеть идентификацию возможных мер, которые нужно принять.

Швейцарский FADP против GDPR

В Швейцарии компании должны соблюдать два закона, касающиеся защиты данных: новый FADP и GDPR. Откройте для себя применение применения европейского регулирования в стране, а также основные различия между двумя текстами.

GDPR применяется к швейцарским компаниям в нескольких ситуациях. Регламент должен быть уважается для любой обработки персональных данных:

• Осуществляется в рамках деятельности европейского отделения или дочерней компании швейцарской компании в ЕС;
• Осуществляется швейцарской компанией в качестве субподрядчика компании, базирующейся в Европейском союзе;
• Нацелен на предложение товаров или услуг заинтересованным лицам в Союзе;
• Связано с отслеживанием поведения жителей ЕС.

Основные различия между GDPR и швейцарским FADP по защите личных данных

Во многих аспектах швейцарский NFADP похож на руководящие принципы Европейского общего регулирования защиты данных (GDPR). Однако новый федеральный закон представляет некоторые особенности:

• Его требования менее строгий;
• В новом швейцарском FADP рекомендуется назначить консультанта по защите данных, но не обязательно. GDPR требует Сотрудник по защите данных (DPO) в некоторых случаях;
• В случае нарушения данных GDPR требуется 72-часовой крайний срок, чтобы предупредить соответствующие власти. Пересмотренный FADP требует уведомления «как можно скорее»;
• Предел штрафа выше для GDPR: 20 миллионов евро по сравнению с 250 000 франков для нового Закона о защите данных швейцарских данных.

Выбирая Дидоми, Вы создаете ценность с доверием по всему миру, делая конфиденциальность уникальным обслуживанием клиентов. С нашим решение по управлению согласия и предпочтения, вы можете:

• Собирайте согласие от ваших клиентов с полным соответствием;
• Защитите свою репутацию;
• Продемонстрировать свою прозрачность для сбора персональных данных;
• Отслеживайте показатели вашего согласия;
• Синхронизировать личные данные между CRM и инструментами автоматизации маркетинга.

Вы хотите сделать Swiss GDPR/FADP соблюдением коммерческого актива? Являетесь ли вы редактором, банком, электронными компонентами или поставщиком программного обеспечения: забронируйте демонстрацию!

3 ключевые моменты, которые следует иметь в виду

• Новый федеральный акт Швейцарии о защите данных вступит в силу 1 сентября 2023 года;
• FADP укрепляет защиту личных данных природных лиц;
• Несмотря на некоторые особенности, NFADP по сути вдохновлен показателями GDPR.

Европейское общее регулирование защиты данных GDPR

Европейское общее правила защиты данных (GDPR) вступило в силу в мае 2018 года. Хотя это европейское регулирование, оно также применяется к швейцарским компаниям при определенных условиях.

К кому применяется GDPR?

GDPR применяется к любой обработке персональных данных швейцарскими компаниями, если компания

• Имеет региональный офис в ЕС, такой как филиал, агентство, местное представительство или дочерняя компания, при условии, что последнее действует не независимо, а от имени швейцарской материнской компании и обрабатывает личные данные в связи с региональным офисом (пример: филиал во Франции продает продукты или услуги для головного офиса в Швейцарии и использует название и адрес конечных клиентов или покупатель’S контакты из Франции);
• не установлен в ЕС: если компания предлагает товары или услуги в ЕС (пример: компания в Швейцарии активно распределяет товары или услуги в Германию через веб -сайт или программное обеспечение в качестве поставщика услуг (SAAS) в Швейцарии в ЕС) или наблюдает за поведением лиц в ЕС (пример: COOMPEE’Сайт S в Швейцарии, с помощью которого можно сделать выводы о поведении посетителей сайта, и эти данные оцениваются).

Каковы последствия несоблюдения?

Нарушение GDPR может иметь следующие последствия:

• Европейские власти могут наложить штраф в размере до 20 миллионов евро или – если выше – четыре процента от виновной компании’S Всемирный ежегодный оборот.
• Контракты часто требуют соблюдения применимого законодательства в целом или закона о защите данных в частности. В таких случаях нарушение может привести к договорным наказаниям, преждевременному прекращению, претензии на ущерб и потерю прав.

Подробная информация о GDPR и о том, что должны сделать швейцарские компании, включая контрольный список, можно найти в нашем информационном листе.

GDPR – Последствия для швейцарских предприятий

Поскольку Швейцария не является членом ЕС или ЕЭЗ, реформа Европейского закона о защите данных не оказывает непосредственного влияния на швейцарские предприятия.

Автор: Андреас Книпенга

Тем не менее, реформа все еще будет актуальна с точки зрения швейцарского бизнеса следующим образом:

Новый режим защиты данных ЕС будет иметь непосредственное значение для любой обработки данных, предпринятых групповыми организациями, расположенными в компаниях ЕС и швейцарских компаний, если они проводят деловую деятельность в районе ЕС и имеют доступ к персональным данным от своих клиентов ЕС, поставщиков и сотрудников ЕС.

В этом контексте есть несколько значительных новых требований, таких как (чтобы назвать лишь некоторые из них):

• Уведомление о нарушении данных в течение 72 часов
• Требования сотрудников по защите данных
• Санкции до 4% от общего годового оборота по всему миру или до 20 миллионов евро до 20 миллионов евро
• Однозначное или явное согласие

Во -вторых, ожидание Федеральный закон о защите данных (FDPA) На редакцию будет сильно повлиять:

• Модернизация «Конвенции, ратифицированной Швейцарией для защиты людей в отношении автоматической обработки личных данных» Советом Европы
• Новый GDPR (личные данные отдельных лиц)
• Новая директива по защите данных для сектора полиции и уголовного правосудия

В конечном счете, все три новых европейских положения следуют тем же принципам. Хотя ожидается, что основные принципы FDPA останутся прежними, и требуются только незначительные коррективы в текущем FDPA, швейцарские законодатели могут копировать большую часть окончательного GDPR в его пересмотренном FDPA, чтобы поддерживать гармонизацию экономической области.

Независимо от пересмотра FDPA, новый режим защиты данных ЕС будет иметь непосредственное значение для многих швейцарских компаний, если они будут проводить деловую деятельность в районе ЕС и иметь доступ к персональным данным от своих клиентов ЕС, поставщиков и сотрудников, работающих в ЕС. Для всех швейцарских компаний также будет ключом к новому GDPR и его требованиям, чтобы уже начать оценивать, влияют ли они новые правила и инициировать подготовительную работу (e.г. Просмотрите клиентские материалы, обращенные к материалам, чтобы обеспечить соответствие новым требованиям согласия и прозрачности, просмотреть и внести изменения в контракты с процессорами данных, где это необходимо), чтобы все необходимые корректировки были выполнены вовремя для выполнения новых требований к защите данных в ЕС и Швейцарии.

Пожалуйста, оставайтесь настроен для дальнейших обновлений FDPA.

Новый Швейцарский Закон о защите данных вступит в силу 1 сентября 2023 года. Сравнение с GDPR

Новый Швейцарский Закон о защите данных (NFADP) наконец завершен. После разрешения последних различий на “Профилирование” В среду швейцарский федеральный парламент прошел в пятницу, 25 сентября 2020 года, новый закон. Ожидается, что он вступит в силу 1 сентября 2023 года. В качестве следующего шага, подтверждающие постановления будут разработаны и представлены для публичных консультаций. Как быстро сейчас прогресс, конечно, также будет зависеть от ЕС: Швейцария все еще ждет обновления Европейской комиссии’S Адекватное решение, которое позволяет беспрепятственно передавать данные в Швейцарию. ЕС может оказать давление на Швейцарию, чтобы ускорить введение пересмотренного DPA.

Больше управления: записи деятельности по обработке данных, DPIA, обязательство отчетности

Так же, как в случае GDPR, основными изменениями в новом DPA являются новые обязательства по управлению, такие как требование о ведении записей о деятельности по обработке данных, обязательство сообщать о потерях данных и других нарушениях безопасности данных для Федерального комиссара по защите данных и информации (FDPIC) и обязательства по оценке воздействия на защиту данных (“DPIA”) для конфиденциальной обработки данных. Все три требования сопоставимы с соответствующими положениями в соответствии с GDPR и приведут к дополнительной рабочей нагрузке для компаний, которые еще не прошли процесс для целей GDPR. Те, кто имеет, могут принять существующие запасы обработки данных более или менее напрямую и иметь их процедуры уведомления об уведомлении о нарушении данных. Швейцарские законодатели также “скопированный” Концепция DPIA, которая до сих пор формально не существовала в соответствии с законодательством Швейцарии, хотя она уже хорошо известна в соответствии с законодательством о защите данных как “хорошая практика” В случае конфиденциальной активности обработки данных.

Основные принципы без изменений

Хотя DPA был полностью пересмотрен, частный сектор в целом не должен менять способ обработки личных данных. Основные принципы обработки данных остаются неизменными в новом DPA, за одним исключением: личные данные юридических организаций больше не защищены, даже если определенные общие средства защиты продолжают применяться. Швейцарская концепция, согласно которой обработка данных в частном секторе является принципиальным допустимым и оправданием (или “юридические основания”) требуется только в определенных ситуациях, остается неизменным.

Таким образом, DPA продолжает отклоняться от общего регулирования защиты данных ЕС (GDPR): Там обработка личных данных, как правило, запрещена, если не существует правового основания, такого как согласие, выполнение договора, достаточный законное интерес или юридическое положение в законе.

Согласие: менее ограничительно, чем при GDPR

Швейцария также не доходит до GDPR с точки зрения требований для действительного согласия; По сути, здесь ничего не меняется по сравнению с текущей юридической ситуацией в Швейцарии, за исключением незначительных изменений в отношении профилирования (см. Ниже). Нет необходимости информировать о возможности снятия средств, и объявления о нескольких согласия могут быть объединены.

Основа, на которых можно оправдать действия по обработке данных, остаются более или менее такими же, как в текущем DPA, и выходить за рамки того, что предусмотрено в GDPR. Что было сформулировано немного более ограниченным, так это оправдание для неличностных целей обработки (E.г., статистическое использование) и оправдание, на которое полагаются кредитные агентства; Теперь им приходится удалять данные, которые старше десяти лет в случае, если субъект данных запрашивает.

Принцип “Конфиденциальность по дизайну” В настоящее время также явно включено в закон, но строго говоря, он всегда существовал – даже в текущем DPA. Действительно, единственное новое положение – это швейцарская версия “Конфиденциальность по умолчанию”, что соответствует только в тех случаях, когда поставщик (онлайн) службы предоставляет настройки защиты данных как часть такой услуги, которая должна быть установлена ​​по умолчанию, чтобы ограничить обработку данных на предполагаемый минимум.

Нет обязанности назначить сотрудника по защите данных

В то время как новый DPA предусматривает, что компании могут назначать то, что называется “Консультант по защите данных” (Что, по сути, является сотрудником по защите данных), в отличие от GDPR – нет обязательства. Тем не менее, большинство средних и более крупных компаний не смогут должным образом реализовать защиту данных, если они не назначат ответственное лицо для борьбы с защитой данных. Кроме того, иностранные компании, имеющие значительную деятельность в Швейцарии. Таким образом, обязательство становится гораздо меньше, чем соответствующее положение в статье 27 GDPR.

Право на информацию ограничено

Права субъектов данных несколько расширены, но в то же время также определяются немного более четко. Несмотря на то, что субъектам данных будет проще запросить свои собственные данные у компании, новый DPA также предлагает новые аргументы для отклонения запросов на оскорбление доступа. Например, только личные данные “как таковой” может быть запрошено и “исключительно” Что нужно утверждать права на защиту данных. А “Право быть забытым” известно из GDPR, существовали под DPA и останется. Это все еще не абсолютно, но обеспечивает баланс интересов. Аналогичным образом, принцип, согласно которому данные могут быть обработаны только до тех пор, пока необходимо продолжает применяться. Однако совершенно новичок в DPA – это право на переносимость данных, которое швейцарские законодатели скопировали из GDPR: на самом деле это не имеет большого отношения к защите данных, но позволяет потребителям получать данные, хранящиеся с помощью онлайн или других поставщиков услуг, чтобы передавать такие данные конкурентам. Также совершенно новым является право требовать, чтобы человек пересматривал важные решения, которые были приняты исключительно на автоматизированной основе и который по своей природе допускает интерпретацию. Это положение сопоставимо с положением GDPR об автоматизированных индивидуальных решениях, но DPA требует, чтобы контроллер информировал о таких решениях и разрешал данные, подлежащие запросу вмешательства человека.

Соглашения о обработке данных

Требования к контрактам с процессорами данных, я.эн. Компании, которым контролеры делегируют свою собственную обработку персональных данных, такие как поставщики облачных услуг, были несколько ужесточены; а именно, использование субподрядчиков теперь должно быть одобрено контроллером. Тем не менее, новые положения по -прежнему не соответствуют положениям GDPR. Поскольку требования в соответствии с статьей 28 GDPR в настоящее время считаются стандартными в отрасли, мы не ожидаем, что контроллеры не ожидаем, что контролеры обеспечат соответствие новым правилам в соответствии с DPA. Положения, согласованные с процессорами, обычно должны быть адаптированы только для обращения не только к GDPR, но и к DPA.

Политика конфиденциальности становится обязательной

Обязательство предоставлять информацию было расширено в соответствии с новым DPA. Это означает, что компании должны иметь заявление о защите данных, в которой они предоставляют определенную обязательную информацию о личных данных, которые они собирают. Этот тип информации обычно предоставляется в компаниях’ Веб -сайты и с помощью ссылок, включенных в их формы и условия контракта. Концептуально, информационное обязательство в соответствии с новым DPA очень похоже на информационное обязательство в соответствии с GDPR, но не требует такого большого обязательного содержания, как GDPR. Единственным исключением является обязательство контролера указать страны, в которые экспортируются личные данные, и юридические положения, на которые компания полагается на это. Однако, по нашему мнению, нет необходимости перечислять каждую страну; такие термины, как “Европа” или “Мировой” тоже должен работать. Если компания назначила консультанта по защите данных или представителю, также должна быть предоставлена ​​информация об этом. Как следствие, поэтому необходимы определенные корректировки существующих заявлений о защите данных, но мы не ожидаем, что это создаст какие -либо большие проблемы.

Передача за границу: это будет проще

Пересмотренный DPA регулирует трансграничные передачи личных данных немного иначе, чем в прошлом, но практические последствия очень ограничены. В настоящее время федеральный совет должен обязательно определить страны, которые, как считается, имеют адекватный уровень защиты данных и для которых данные могут быть экспортированы без особых мер предосторожности. До сих пор именно FDPIC поддерживал список стран с его оценкой по этой теме, но этот список не был обязательным (это также причина, по которой последствия решения Ecj “Schrems II” В Швейцарии были гораздо более ограничены, чем в ЕЭЗ). Стандартные договорные положения ЕС для экспорта данных все еще могут использоваться; Обязательство уведомить FDPIC было удалено из нового DPA. Раскрытие личных данных иностранным органам также станет проще; Ранее это часто было возможным только в контексте судебного разбирательства.

Возможно больше штрафов, но все же исключение

Применение DPA также изменится в соответствии с новым законом. В прошлом FDPIC мог только выпустить “рекомендации” контроллерам и процессорам данных, которые, по его мнению, не соответствовали DPA. Если бы они не соответствовали его рекомендации, он мог бы подать в суд на них. В будущем он напрямую вынесет заказы против контроллеров и процессоров. Например, он сможет заказать, чтобы конкретная деятельность по обработке данных была остановлена. Тем не менее, эти новые полномочия также приведут к FDPIC’Процедуры становятся более сложными и требуют большего количества ресурсов, чем процедуры в текущем DPA. Еще неизвестно, приведет ли новая концепция к большему принуждению или приведет к меньшему количеству случаев, учитывая FDPIC’S Постоянные недоукомплектования. FDPIC все еще не сможет навязать штрафы.

Право навязывать штрафы лежит в кантональных правоохранительных органах (которые не специализируются на защите данных), а каталог штрафов был значительно расширен. В прошлом штрафы были возможны для нарушения обязанности информировать, обязанность соблюдать право доступа к данным и обязанность сотрудничать с FDPIC. Теперь, нарушения положений об экспорте данных, положения о процессе ввода в эксплуатацию и определенные нарушения мер безопасности данных также могут быть оштрафованы. Штрафы в первую очередь должны быть оплачены лицами, принимающими решения, но только если они действовали намеренно. Они могут быть найдены ответственными в соответствии с суммой 250 швейцарских франков’000. (230 евро’000) Хотя эти суммы бледны по сравнению с суммами в соответствии с GDPR, они, вероятно, будут еще более эффективными, учитывая, что они имеют личный характер и не могут быть застрахованы. Мы предполагаем, что штрафы за нарушения защиты данных будут оставаться исключением в Швейцарии. Кроме того, нарушения фундаментальных принципов DPA по -прежнему освобождаются от наказания – важное различие для GDPR. Кроме того, пересмотренный DPA вводит общую профессиональную секретность для всех профессий (с штрафами до 250 ChF 250’000) и новое положение против кражи личных данных.

Нет согласия для профилирования

Основной костью раздора обсуждений на новом DPA была “Профилирование”, который имеет то же значение под DPA, что и при GDPR. Примечательно, как под GDPR, юридическое значение “Профилирование” как таковой очень ограничен. Профилирование, по сути, является автоматизированным формированием мнения о определенных аспектах индивидуума. Хотя профилирование является определенным термином в новом DPA, вряд ли есть какие -либо положения DPA, которые относятся к нему, по крайней мере, в отношении частного сектора. В отличие от того, что обычно сообщалось, новый DPA не предусматривает, что профилирование требует согласия. Новый DPA говорит, что, если в конкретном случае требуется согласие, такое согласие должно быть явного характера в случае профилирования с помощью “высокий риск”. Профилирование считается высоким риском, если оно приводит к более подробному профилю человека. Это уже соответствует текущей юридической ситуации в рамках существующего DPA. Другими словами: почти ничего не меняется под новым DPA. Хотя профилирование как таковое не требует согласия, это, конечно, уже возможно, что операция по обработке данных заходит так далеко, что требуется оправдание. Согласие – это одна из возможных форм оправдания, но контроллер также может полагаться на первостепенный личный интерес в зависимости от обстоятельств.

Необходимость в действии

Что нужно сделать сейчас? У большинства компаний должно быть достаточно времени для реализации наиболее важных положений пересмотренного DPA. Во -первых, они должны просмотреть свои заявления о защите данных в свете новых требований и адаптировать их или, если необходимо, создать новые, если у них нет на месте. Наиболее трудоемкой частью процесса обычно является внутренний обзор деятельности по защите данных Для обеспечения того, чтобы все случаи, когда компания приобретает персональные данные. Как только компания получила эту информацию, она может создать или обновить оператор по защите данных и установить инвентаризацию действий по обработке данных. Если такие заявления и запасы уже были созданы для целей GDPR, они могут в значительной степени повторно использовать для DPA.

Создать записи о обработчиках на 70% быстрее с регистра GDPR! Попробуйте 14 дней бесплатно!

На еще один шаг необходимо определить отношения и адаптированные контракты контроллера и адаптированные контракты в соответствии с новыми, более строгими правилами взаимодействия. Если эта работа уже была проведена для GDPR, опять же, не будет много изменений; Обычно необходимо расширить ссылки на GDPR, чтобы также включить DPA. Аналогичным образом, контроллеры и процессоры должны определить международные передачи данных и проверить, выполняют ли они DPA’требования, учитывая, что несоблюдение может быть оштрафовано в будущем. Если DPA’S текущие требования выполняются, скорее всего, никаких изменений не требуется.

Компании также должны реализовать процесс оценки воздействия на защиту данных и, при необходимости, назначить сотрудника по защите данных, даже если не требуется по закону. Также должен быть введен процесс выявления, анализа, отчетности и обработки нарушений безопасности данных (который включает в себя непреднамеренные потери данных и неправильные электронные письма). Каждая компания также должна иметь процесс – если еще не на месте – для ответа на запросы от пострадавших лиц E.г., Те, кто требует доступа к своим личным данным. При ссылке на “процессы”, Мы имеем в виду, что компания должна, по крайней мере, назначить человека, чтобы нести ответственность за обращение с соответствующей темой, которая знает, что делать в каждом случае или где получить соответствующую информацию о том, что должно быть сделано.

Наконец, автоматизированные отдельные решения должны быть выявлены и, если это уместно, субъекты данных должны быть проинформированы, и предоставлена ​​возможность попросить о вмешательстве человека. Кроме того, обработка генетических и биометрических данных, а также данных для неличных целей и кредитоспособности должна быть идентифицирована, проверена и адаптирована к новым требованиям. Конечно, существующее обучение также должно быть адаптировано для соответствия требованиям в соответствии с пересмотренным DPA, и может иметь смысл проверить реализацию новых требований путем проведения аудитов.

NFADP’S 12 Ключевые требования:

Швейцарские МСП должны внедрить следующие 12 мер для соблюдения NFADP:

1. Проверьте и изменяйте заявления о защите данных (веб -сайт, контракты, рекламный контент и т. Д.)
2. Проект (или изменить) Руководство по обработке корпоративных данных
3. Создайте регистр обработки данных (за исключением компаний с менее чем 250 сотрудниками, и если нет значительного риска конфиденциальности)
4. Установить процедуры для быстрого реагирования на субъекты данных’ запросы (e.г., Для получения информации или удаления данных)
5. Реализовать процедуру отчетности по нарушению данных
6. Установить процесс оценки воздействия, которые требуются, когда обработка данных имеет высокий риск (e.г., В случае систематического мониторинга более широкого общественного достояния)
7. Анализ контрактов с субподрядчиками, чтобы проверить, предоставляется ли безопасность данных, и добавить положения в этом отношении (включая уведомление о нарушении данных)
8. Предоставьте данные, которые будут удалены или оказаны анонимными (и сразу после того, как они больше не понадобятся для первоначальной цели, для которой они были обработаны)
9. Просмотрите страны, в которых передаются данные, в том числе для простого резервного копирования облаков (эти страны должны быть в списке федеральных советов. Если нет, применяются более строгие требования)
10. Обеспечить безопасность данных с помощью соответствующих технических и организационных мер
11. Убедитесь, что данные предоставлены в электронном формате (в случае автоматической обработки данных и, в частности, заключения или реализации контракта)
12. Определите консультанта по защите данных и опубликовать его или ее контактные данные (рекомендуется, чтобы это лицо было уведомлено Федеральному комиссару по защите данных и информации (FDPIC)).