W Szwajcarii nowa ustawa o ochronie danych osobowych wejdzie w życie 1 września 2023 roku. Ma ona na celu przede wszystkim dostosowanie warunków ochrony danych w Szwajcarii do GDPR.
Wszystko co musisz wiedzieć o zmianach prawnych znajdziesz tutaj.
Po co nowa szwajcarska ustawa o ochronie danych?
Ściśle rzecz biorąc, istnieją trzy zestawy przepisów, które Szwajcaria przygotowała: Nowa Szwajcarska Federalna Ustawa o Ochronie Danych Osobowych (FADP), nowe Rozporządzenie o Ochronie Danych Osobowych (DPA) oraz nowe Rozporządzenie o Certyfikacji Ochrony Danych (DPC). Wszystkie trzy wejdą w życie 1 września 2023 roku.
Obecnie obowiązująca wersja szwajcarskiej federalnej ustawy o ochronie danych osobowych pochodzi z 1993 r. i nie jest już równoważna z GDPR obowiązującym w UE. W związku z tym kwestionuje się decyzję Komisji UE o adekwatności z 2000 r. Jeśli sytuacja ta będzie się nadal pogarszać, Szwajcaria może zostać uznana za państwo trzecie na mocy prawa o ochronie danych w rozumieniu GDPR, co spowodowałoby problemy gospodarcze dla Szwajcarii. Konieczne byłoby wówczas wprowadzenie zabezpieczeń, na przykład poprzez standardowe klauzule umowne (art. 46 GDPR).
Jednak Szwajcaria poddaje się teraz presji, by ruszyć od czasu wprowadzenia GDPR i dostosowuje własne prawo o ochronie danych do GDPR.
Co reguluje nowa szwajcarska ustawa o ochronie danych osobowych?
Tutaj znajdziesz przegląd najważniejszych przepisów nowej szwajcarskiej ustawy o ochronie danych osobowych:
Zakres
Zakres przedmiotowy FADP został rozszerzony. Obejmuje on wszelkie przetwarzanie danych, które wywołuje skutki w Szwajcarii, nawet jeśli zostało zainicjowane za granicą.
W zakresie podmiotowym ochronie podlegają tylko osoby fizyczne, osoby prawne nie.
Rozszerzone obowiązki informacyjne dla osób odpowiedzialnych
Rozszerzone zostały również obowiązki informacyjne administratorów danych zawarte w RODO. Rozszerzają się one teraz na przetwarzanie wszelkich danych osobowych. Są one porównywalne z art. 13 i 14 ustawy o ochronie danych.
Prawa osób, których dane dotyczą
Nowa ustawa o ochronie danych stanowi, że osoby, których dane dotyczą, mają prawo do wyczerpujących informacji, przenoszenia danych i oddawania danych. Wszystkie te prawa muszą być bezpłatne.
Zasady privacy by design i privacy by default można znaleźć w nowej ustawie o ochronie danych osobowych w taki sam sposób jak w GDPR.
Wymagania dotyczące dokumentacji
Zgodnie z nową ustawą o ochronie danych osobowych, administratorzy danych i podmioty przetwarzające dane są zobowiązani do dokumentowania wszystkich procesów przetwarzania danych. Jednak to zbieranie danych nie musi już być rejestrowane. Nowa DSG wymienia, jakie informacje musi posiadać katalog.
Zautomatyzowane podejmowanie decyzji i profilowanie
Jeżeli administrator danych stosuje zautomatyzowane podejmowanie decyzji, musi poinformować o tym osobę, której dane dotyczą. Osoba, której dane dotyczą, może zażądać, aby ta decyzja została zweryfikowana przez człowieka.
Ponadto profilowanie zasadniczo nie wymaga zgody, chyba że jest to tzw. profilowanie wysokiego ryzyka, które polega na łączeniu danych umożliwiających ocenę osobowości.
Przetwarzanie pracy
Nowe RODO wprowadza pojęcie "podmiotu przetwarzającego", które odpowiada "procesorowi" w GDPR. Przekazanie procesów przetwarzania danych temu ostatniemu jest możliwe, jeśli są one realizowane w taki sam sposób, w jaki musiałby je realizować administrator. Ponadto, jeśli istnieje obowiązek zachowania poufności, nie można zlecić przetwarzania. Administrator musi zapewnić, że podmiot przetwarzający spełnia odpowiednie wymogi. Jeśli przetwarzający chce przekazać przetwarzanie danych, musi uzyskać zgodę administratora.
Ocena skutków w zakresie ochrony danych
Nowe RODO wprowadza ocenę skutków dla ochrony danych, która w dużej mierze odpowiada tej z GDPR.
Bezpieczeństwo danych
Nowe RODO wymaga również od administratorów danych i podmiotów przetwarzających wdrożenie odpowiednich środków technicznych i organizacyjnych (RODO) w celu zapewnienia bezpieczeństwa danych. W tym przypadku nowa ustawa o ochronie danych, podobnie jak GDPR, wykorzystuje pojęcie ryzyka. Potrzebne są bardziej szczegółowe przepisy Rady Federalnej dotyczące minimalnych wymagań.
Naruszenia danych również muszą być zgłaszane, tak jak w GDPR. Jednak tylko te, które stanowią wysokie ryzyko dla osób, których dane dotyczą. Procesor zamówienia musi skierować zgłoszenie takich incydentów do administratora, a administrator z kolei do Federalnego Komisarza Ochrony Danych i Informacji (FDPIC).
Przedstawiciel zagranicznych przetwórców
Kontrolerzy, którzy przetwarzają dane w Szwajcarii, ale nie mają tam siedziby, muszą mieć przedstawiciela w Szwajcarii w trzech przypadkach. Przypadki te dotyczą oferowania towarów i usług w Szwajcarii lub monitorowania zachowań osób w Szwajcarii, rozległego i regularnego przetwarzania lub wysokiego ryzyka dla prywatności osób, których dane dotyczą. Regulacja jest więc podobna do tej, która dotyczy przedstawiciela UE w GDPR.
Organy ochrony danych i sankcje
Szwajcarski organ ochrony danych (FDPIC) otrzymał rozszerzone zadania i kompetencje na mocy nowego FADP. Jest więc podobny do europejskich organów ochrony danych, ale nie może nakładać kar pieniężnych.
Możliwe sankcje w nowym DPA są znacznie wyższe niż grzywny w GDPR. Odpowiedzialne są prokuratury kantonalne. W centrum uwagi znajdują się osoby prywatne, a nie firmy jak w przypadku GDPR. Jednak nie wszystkie naruszenia obowiązków są wymienione w katalogu kar pieniężnych.
Nad czym należy się teraz zastanowić?
Szwajcarskie prawo ochrony danych osobowych zbliża się obecnie bardzo do GDPR.
Administratorzy danych mający związek ze Szwajcarią powinni dokonać bilansu swoich operacji przetwarzania danych w celu zidentyfikowania potrzeby podjęcia działań. Należy określić odpowiednie procesy, ustanowić procesy powiadamiania, stworzyć katalog, dokonać przeglądu procesorów i, w razie potrzeby, wyznaczyć przedstawiciela.
Potrzebujesz wsparcia w temacie ochrony i bezpieczeństwa danych? Nasz zespół ekspertów z chęcią Ci pomoże. Skontaktuj się z nami tutaj.