У цій статті йдеться про Федеральний закон Швейцарії про захист даних.
Факти про Федеральний закон про захист даних
Швейцарія визнала технологічний прогрес ще у 1992 році та розпочала розробку і прийняття нового регулювання, що відповідає чинному європейському законодавству. Перший Федеральний закон про захист даних було ухвалено у липні 1993 року. У вересні 2023 року набрав чинності новий Закон про захист даних (DSG). [1] Новий закон закріплює права суб’єктів даних та регулює обов’язки осіб, які працюють із персональними даними. Крім того, він гарантує реалізацію захисту даних як на федеральному, так і на кантональному рівні. [2] Закон також запровадив низку нових принципів і визначень, але найголовніше — докорінно змінив процедуру оцінки впливу на захист даних згідно зі статтею 22. [3] Особи, відповідальні за обробку, зобов’язані проводити оцінку ризиків, якщо запланована обробка даних становить високий ризик для прав і свобод фізичних осіб. [4] Мета змін до нового закону — заохотити відповідальних за обробку даних до більшої відповідальності, а також запровадити кодекси поведінки, які полегшують виконання цих завдань. [5] Загалом ці зміни наближають швейцарське законодавство про захист даних до Загального регламенту ЄС про захист даних (GDPR), доповнюючи його окремими вимогами, адаптованими до швейцарського контексту. [6] Основна мета нового закону (DSG), залишилась незмінною — забезпечення безпеки зростаючих потоків персональних даних.
Згідно з новим Федеральним законом про захист даних, особа, відповідальна за обробку, зобов’язана провести оцінку ризиків на захист даних, якщо нововпроваджена технологія або збір даних, пов’язані з операціями обробки, можуть становити високий ризик для суб’єкта даних. Оцінка ризиків повинна описувати заплановану обробку, оцінювати ризики для особистості або основних прав суб’єктів даних та описувати заходи щодо захисту особистості й основних прав. [7] Відповідальні за обробку даних повинні документувати всі процеси збору даних і забезпечити їхнє безпечне зберігання. Це також включає створення відповідного юридичного відділу або залучення зовнішнього уповноваженого з питань захисту даних (DSB), залежно від характеру оброблюваної діяльності. [8]
Ще однією важливою формальною вимогою є негайне повідомлення Федерального уповноваженого із захисту даних та прозорості (EDÖB) у разі неправомірної обробки даних, як це передбачено процедурою повідомлення відповідно до GDPR. Відповідно до статті 23, абзац 1, якщо результати аналізу ризиків свідчать про те, що заплановані заходи не усувають ризик, особа, відповідальна за обробку, зобов’язана отримати коментар від EDÖB до початку операцій з обробки. [8]
Компанії, що здійснюють діяльність у Швейцарії, повинні розуміти свої юридичні зобов’язання та вживати відповідних заходів для забезпечення дотримання Закону про захист даних. Таким чином вони можуть захистити приватність особи, зменшити юридичні ризики та ефективно проводити оцінку ризиків на захист даних. Окрім посилення прав суб’єктів даних, Федеральна рада підкреслює так званий ризик-орієнтований підхід як орієнтир для перегляду свого регулювання. Згідно з цим підходом, держава та компанії повинні заздалегідь виявляти ризики для приватності та інформаційного самовизначення і враховувати питання захисту даних ще на етапі планування своїх цифрових проектів. Високі ризики, а також організаційні та технічні заходи, що вживаються для їх усунення або зменшення, мають бути задокументовані за допомогою аналізу ризиків. [9]
Існує кілька варіантів того, як може бути структуровано оцінку впливу на захист даних. Наприклад, у інформаційному листі щодо згідно зі статтями 22–23 DSG було запропоновано можливий спосіб проведення цієї оцінки, що спрощує її для відповідальної за обробку особи. Відповідальний за обробку даних повинен лише надати інформацію, яка запитується у запропонованому шаблоні.
Згідно зі статтею 22, абзац 3 DSG, процес включає: опис запланованої обробки даних, оцінку ризиків для основних прав суб’єкта даних, визначення заходів щодо захисту цих прав, а також оцінку впливу запланованих заходів з метою з’ясування, чи існує високий ризик. Усі ці етапи можна розглядати як початок процесу виявлення ризиків. [7]
Тут, у DGVM, ми спеціалізуємося на тому, щоб допомогти вам досягти ваших цілей у сфері захисту даних за підтримки наших досвідчених фахівців. Наша команда пропонує всебічні та індивідуально розроблені рішення, які охоплюють усі аспекти захисту даних та управління конфіденційністю. Ми можемо допомогти вам створити чіткий процес оцінки впливу на захист даних, а також розробити унікальний проект саме для вашої діяльності, щоб ви заздалегідь знали, з якими ризиками можете зіткнутися як підприємець.
Наш досвід щодо Федерального закону про захист даних
Комплексне обслуговування у сфері захисту даних
Ми пропонуємо широкий спектр послуг, спрямованих на захист конфіденційної інформації вашої компанії. Наші послуги включають:
Оцінка впливу на захист даних: Ми проводимо ретельні оцінки для виявлення та мінімізації ризиків, пов’язаних з обробкою даних, а також для забезпечення дотримання відповідних нормативних вимог.
Управління порушеннями захисту даних: Наші експерти розробляють і впроваджують надійні політики реагування на порушення захисту даних, надають рекомендації щодо дій у разі інцидентів та забезпечують повідомлення відповідних органів.
Дотримання законодавчих вимог: Ми допомагаємо вам випереджати вимоги щодо відповідності у сфері захисту даних завдяки про-активному управлінню інформацією та консультаціям з питань зниження ризиків.
Індивідуальні рішення у сфері захисту даних
Наші фахівці мають великий досвід у розробці, проектуванні, перевірці, впровадженні та оновленні політик конфіденційності та безпеки для компаній. Ми надаємо консультації з широкого кола питань, зокрема:
Політики щодо повідомлення про порушення (викриття неправомірних дій)
Використання телефону, інтернету та електронної пошти працівниками
Обробка даних клієнтів та отримання згоди
Реагування на інциденти та кібербезпека
У разі кібератак наші експерти з DGVM надають необхідні рекомендації щодо взаємодії з клієнтами, органами влади та пресою. Ми допомагаємо вам орієнтуватися в складній сфері кібербезпеки та гарантуємо, що ваша компанія буде готова ефективно реагувати на будь-які інциденти.
Чому варто обрати саме DGVM?
Міждисциплінарна експертиза
Наша команда складається з досвідчених юристів та ІТ-експертів із різних галузей, зокрема в сфері регулювання, технологій, корпоративного, договірного, бізнес-аутсорсингу, інтелектуальної власності, конкурентного та трудового права. Такий мультидисциплінарний підхід забезпечує всебічне охоплення всіх аспектів захисту даних і конфіденційності. Ми допоможемо вам працювати у відповідності до Федерального закону про захист даних.
Тісна взаємодія з органами влади
У DGVM ми підтримуємо тісні зв’язки з органами влади, що дозволяє нам оперативно реагувати на зміни та надавати цінну інформацію про майбутні нормативні нововведення. Це забезпечує відповідність вашого бізнесу вимогам законодавства та його обізнаність.
Індивідуалізоване обслуговування
У DGVM ми розуміємо, що кожна організація є унікальною. Наші послуги адаптовані до ваших конкретних потреб і забезпечують індивідуальну та високоякісну підтримку у сфері захисту даних та конфіденційності.
Відданість досконалості
Ми прагнемо надавати нашим клієнтам найвищий рівень обслуговування. Наша команда фахівців націлена на те, щоб допомогти вам досягти цілей у сфері захисту даних і забезпечити, щоб ваш бізнес був захищений та відповідав усім відповідним нормативним вимогам.
Ми в DGVM — ваш надійний партнер у досягненні цілей у сфері захисту даних. Завдяки підтримці наших фахівців ви можете бути впевнені, що дані вашої компанії знаходяться в надійних руках.
Висновок
Федеральний закон про захист даних (DSG) є важливим кроком у зусиллях Швейцарії щодо захисту персональних даних і приватності в дедалі більш цифровому світі. Завдяки оновленню та розширенню сфери дії початкового закону 1993 року новий DSG наближає Швейцарію до міжнародних стандартів, таких як Загальний регламент ЄС із захисту даних (GDPR). Це узгодження має вирішальне значення для того, щоб швейцарські компанії та організації могли ефективно діяти на глобальному рівні, водночас зберігаючи довіру своїх клієнтів і зацікавлених сторін.
Відповідно до Федерального закону Швейцарії про захист даних, компанії тепер зобов’язані впроваджувати суворіші заходи для захисту персональних даних. Введення аналізу ризиків на захист даних для операцій обробки з високим рівнем ризику є суттєвою зміною. Ця вимога не лише сприяє виявленню та зменшенню потенційних ризиків, але й підкреслює зобов’язання DSG надавати пріоритет правам і свободам особи. Для організацій, що ведуть діяльність у Швейцарії, розуміння та дотримання цих нових зобов’язань, передбачених Федеральним законом про захист даних, є необхідними для забезпечення відповідності та уникнення можливих санкцій.
Крім того, Федеральний закон про захист даних підкреслює важливість прозорості та підзвітності при обробці даних. Компанії повинні забезпечити, щоб їхні практики у сфері захисту даних були чіткими, задокументованими та доступними як для наглядових органів, так і для громадськості. Такий перехід до більшої прозорості має на меті зміцнити довіру між компаніями та їхніми клієнтами, а також гарантувати, що особа може бути впевненою в тому, що її персональні дані обробляються з максимальною ретельністю та відповідно до закону.
Підсумовуючи, можна сказати, що Федеральний закон Швейцарії про захист даних є не лише нормативною вимогою, а й ключовим елементом сучасного ведення бізнесу в Швейцарії. Завдяки глибокому розумінню та впровадженню положень DSG організації можуть захиститися від юридичних ризиків, побудувати міцніші стосунки зі своїми клієнтами та сприяти формуванню культури конфіденційності та безпеки. Оскільки дані у цифрову епоху стають усе більш цінним ресурсом, значення Федерального закону Швейцарії про захист даних і надалі зростатиме, що робить інформованість і дотримання норм обов’язковими для всіх компаній.
Цитати
[1] nDSG (2024).
[2] FAQ-Datenschutzrecht (2023) 2.
[3] DSG (2020).
[4] NDSG (2024).
[5] FAQ-Datenschutzrecht (2023) 2 ff.
[6] NDSG (2024).
[7] DSG (2020) Art. 22-23.
[8] nDSG (2024).
[9]EDÖB (2021) 4 ff.
[10] https://dgvm.ch
[11] https://link.springer.com/chapter/10.1007/978-3-319-96229-0_10
[13] https://dgvm.ch/practice-area/
[14] https://www.lenzstaehelin.com/practices/advice-on-data-protection-and-privacy/
