Nowe prawo ochrony danych w Szwajcarii

W Szwajcarii nowa ustawa o ochronie danych osobowych wejdzie w życie 1 września 2023 roku. Ma ona na celu przede wszystkim dostosowanie warunków ochrony danych w Szwajcarii do GDPR.

Wszystko co musisz wiedzieć o zmianach prawnych znajdziesz tutaj.

Po co nowa szwajcarska ustawa o ochronie danych?

Ściśle rzecz biorąc, Szwajcaria opracowała trzy zestawy przepisów: Nowy Szwajcarska ustawa federalna o ochronie danych (DSG), nowe rozporządzenie o ochronie danych (DSV) i nowe rozporządzenie w sprawie certyfikacji ochrony danych (VDSZ). Wszystkie trzy wejdą w życie 1 września 2023 r.

Obecna wersja szwajcarskiej ustawy federalnej o ochronie danych pochodzi z 1993 r. i nie jest już równoważna z RODO obowiązującym w UE. The Decyzja Komisji Europejskiej w sprawie adekwatności od roku 2000 zaczyna zatem słabnąć. Jeśli ta sytuacja dojdzie do skutku, Szwajcaria może zostać uznana za kraj, w którym ochrona danych jest na najwyższym poziomie. Państwo trzecie w rozumieniu RODO co spowodowałoby problemy gospodarcze dla Szwajcarii. Konieczne byłoby wówczas wprowadzenie zabezpieczeń, na przykład poprzez standardowe klauzule umowne (art. 46 RODO).

Jednak Szwajcaria poddaje się teraz presji, by ruszyć od czasu wprowadzenia GDPR i dostosowuje własne prawo o ochronie danych do GDPR.

Co reguluje nowa szwajcarska ustawa o ochronie danych osobowych?

Tutaj znajdziesz przegląd najważniejszych przepisów nowej szwajcarskiej ustawy o ochronie danych osobowych:

Zakres

Zakres przedmiotowy FADP został rozszerzony. Obejmuje on wszelkie przetwarzanie danych, które wywołuje skutki w Szwajcarii, nawet jeśli zostało zainicjowane za granicą.

W zakresie podmiotowym ochronie podlegają tylko osoby fizyczne, osoby prawne nie.

Rozszerzone obowiązki informacyjne dla osób odpowiedzialnych

Rozszerzono również obowiązki informacyjne administratorów danych określone w RODO. Obejmują one teraz przetwarzanie wszelkich dane osobowe. Są one porównywalne z art. 13 i 14 RODO.

Prawa osób, których dane dotyczą

Nowa ustawa o ochronie danych stanowi, że osoby, których dane dotyczą, mają prawo do wyczerpujących informacji, przenoszenia danych i oddawania danych. Wszystkie te prawa muszą być bezpłatne.

Zasady privacy by design i privacy by default można znaleźć w nowej ustawie o ochronie danych osobowych w taki sam sposób jak w GDPR.

Wymagania dotyczące dokumentacji

Zgodnie z nową ustawą o ochronie danych osobowych, administratorzy danych i podmioty przetwarzające dane są zobowiązani do dokumentowania wszystkich procesów przetwarzania danych. Jednak to zbieranie danych nie musi już być rejestrowane. Nowa DSG wymienia, jakie informacje musi posiadać katalog.

Zautomatyzowane podejmowanie decyzji i profilowanie

Jeżeli administrator danych stosuje zautomatyzowane podejmowanie decyzji, musi poinformować o tym osobę, której dane dotyczą. Osoba, której dane dotyczą, może zażądać, aby ta decyzja została zweryfikowana przez człowieka.

Ponadto profilowanie zasadniczo nie wymaga zgody, chyba że jest to tzw. profilowanie wysokiego ryzyka, które polega na łączeniu danych umożliwiających ocenę osobowości.

Przetwarzanie pracy

Nowe RODO wprowadza pojęcie "podmiotu przetwarzającego", które odpowiada "procesorowi" w GDPR. Przekazanie procesów przetwarzania danych temu ostatniemu jest możliwe, jeśli są one realizowane w taki sam sposób, w jaki musiałby je realizować administrator. Ponadto, jeśli istnieje obowiązek zachowania poufności, nie można zlecić przetwarzania. Administrator musi zapewnić, że podmiot przetwarzający spełnia odpowiednie wymogi. Jeśli przetwarzający chce przekazać przetwarzanie danych, musi uzyskać zgodę administratora.

Ocena skutków w zakresie ochrony danych

Nowe RODO wprowadza ocenę skutków dla ochrony danych, która w dużej mierze odpowiada tej z GDPR.

Bezpieczeństwo danych

Nowe RODO wymaga również od administratorów danych i podmiotów przetwarzających wdrożenie odpowiednich środków technicznych i organizacyjnych (RODO) w celu zapewnienia bezpieczeństwa danych. W tym przypadku nowa ustawa o ochronie danych, podobnie jak GDPR, wykorzystuje pojęcie ryzyka. Potrzebne są bardziej szczegółowe przepisy Rady Federalnej dotyczące minimalnych wymagań.

Naruszenia danych również muszą być zgłaszane, tak jak w GDPR. Jednak tylko te, które stanowią wysokie ryzyko dla osób, których dane dotyczą. Procesor zamówienia musi skierować zgłoszenie takich incydentów do administratora, a administrator z kolei do Federalnego Komisarza Ochrony Danych i Informacji (FDPIC).

Przedstawiciel zagranicznych przetwórców

Kontrolerzy, którzy przetwarzają dane w Szwajcarii, ale nie mają tam siedziby, muszą mieć przedstawiciela w Szwajcarii w trzech przypadkach. Przypadki te dotyczą oferowania towarów i usług w Szwajcarii lub monitorowania zachowań osób w Szwajcarii, rozległego i regularnego przetwarzania lub wysokiego ryzyka dla prywatności osób, których dane dotyczą. Regulacja jest więc podobna do tej, która dotyczy przedstawiciela UE w GDPR.

Organy ochrony danych i sankcje

Szwajcarski organ ochrony danych (FDPIC) otrzymał rozszerzone zadania i kompetencje na mocy nowego FADP. Jest więc podobny do europejskich organów ochrony danych, ale nie może nakładać kar pieniężnych.

Możliwe sankcje w nowym DPA są znacznie wyższe niż grzywny w GDPR. Odpowiedzialne są prokuratury kantonalne. W centrum uwagi znajdują się osoby prywatne, a nie firmy jak w przypadku GDPR. Jednak nie wszystkie naruszenia obowiązków są wymienione w katalogu kar pieniężnych.

Nad czym należy się teraz zastanowić?

Szwajcarskie prawo ochrony danych osobowych zbliża się obecnie bardzo do GDPR.

Administratorzy danych mający związek ze Szwajcarią powinni dokonać bilansu swoich operacji przetwarzania danych w celu zidentyfikowania potrzeby podjęcia działań. Należy określić odpowiednie procesy, ustanowić procesy powiadamiania, stworzyć katalog, dokonać przeglądu procesorów i, w razie potrzeby, wyznaczyć przedstawiciela.

Potrzebujesz wsparcia w temacie ochrony i bezpieczeństwa danych? Nasz zespół ekspertów z chęcią Ci pomoże. Skontaktuj się z nami tutaj.