Elveția si protecția datelor
- Nu există perioadă de grație pentru conformitate
Spre deosebire de modificările recente aduse legislației privind protecția datelor, revFADP nu oferă o perioadă de grație pentru ca întreprinderile să se pună la punct. Prin urmare, companiile care prelucrează date ale cetățenilor elvețieni au la dispoziție puțin peste opt luni pentru a se conforma. - Sancțiuni
RevFADP nu impune sancțiuni civile entităților. Cu toate acestea, încălcările intenționate ale legii pot duce la sancțiuni penale de până la 250 000 de franci elvețieni (CHF) împotriva persoanelor fizice (potențial DPO și directori), mai degrabă decât împotriva entității. - Comisia federală elvețiană pentru protecția datelor și informații (FDPIC) nu are dreptul de a depune o plângere penală. Autoritățile de aplicare a legii și autoritățile de urmărire penală tradiționale vor fi responsabile de aplicarea sancțiunilor penale. Deși persoanele fizice se pot confrunta cu amenzi în temeiul revFADP, companiile pot fi, de asemenea, amendate cu până la 50 000 CHF dacă o investigație pentru a determina persoana fizică pasibilă de pedeapsă din cadrul companiei sau organizației ar presupune un efort disproporționat – ceea ce demonstrează că revFADP se concentrează pe tragerea la răspundere a persoanelor fizice și că autoritățile nu ar trebui să fie nevoite să caute din greu o persoană responsabilă.
Sancțiunile prevăzute în cadrul revFADP reprezintă un contrast uriaș față de GDPR, care amendează doar companiile pentru încălcări și nu persoanele fizice. - Definiția extinsă a datelor sensibile.
RevFADP extinde lista de date care intră în categoria „date personale sensibile”. Noua listă include date genetice și biometrice care identifică fără echivoc o persoană fizică. Consimțământul explicit al persoanei vizate este necesar atunci când se prelucrează date cu caracter personal sensibile. - Profilarea.
La fel ca RGPD, RevFADP conține acum o definiție juridică a „profilării” care corespunde RGPD UE și care nu a fost inclusă în FADP anterior. Consimțământul explicit al persoanei vizate este necesar pentru crearea de profiluri cu risc ridicat (de exemplu, profiluri de personalitate) de date cu caracter personal. - Importanța subliniată a unui DPO „independent”.
Deși un DPO este opțional pentru entitățile private în temeiul RGPD și revFADP, Comisia federală elvețiană pentru protecția datelor și informații (FDPIC) subliniază cu tărie importanța unui DPO independent – ceea ce înseamnă că activitățile DPO ar trebui să rămână separate de alte activități comerciale ale companiei, inclusiv de alte activități de consiliere și reprezentare juridică. Astfel, utilizarea unui post intern sau a unui consilier extern poate să nu satisfacă cerința de independență pentru DPO. În plus, FDPIC a recomandat ca RPD să vorbească cel puțin una dintre limbile elvețiene (de exemplu, franceza, germana, italiana, româna) pentru a comunica eficient cu persoanele vizate din Elveția. În special, engleza nu este o limbă oficială a Confederației Elvețiene. - Notificarea privind încălcarea dreptului la confidențialitate doar pentru atacuri grave + niciun termen clar de notificare. În conformitate cu articolul 24 din Noua lege federală elvețiană privind protecția datelor, operatorul trebuie să notifice FDPIC cu privire la anumite încălcări grave ale datelor cu caracter personal „cât mai curând posibil”. Nu este clar dacă „cât mai curând posibil” este mai rapid sau mai lent decât cerința de 72 de ore prevăzută de GDPR. FDPIC subliniază, de asemenea, că notificarea încălcărilor ar trebui făcută numai dacă acestea reprezintă un „pericol iminent” pentru persoanele vizate. Astfel, operatorii nu sunt obligați, în temeiul revFADP, să informeze FDPIC cu privire la atacurile cibernetice nereușite.
- Transferurile de date. Există o așteptare de a utiliza SCC-uri specifice Elveției pentru transferurile exclusiv elvețiene. Cu toate acestea, FDPIC nu a emis încă un mecanism exclusiv elvețian pentru transferuri. În plus, FDPIC nu a publicat nicio decizie de adecvare, dar se presupune că țările adecvate pentru transferurile de date vor reflecta decizia (deciziile) Comisiei Europene. Între timp, clauzele contractuale standard ale UE (SCC UE) și normele corporative obligatorii aprobate sunt mecanisme adecvate pentru transferul de date cu caracter personal către și dinspre Elveția.
- Politica de confidențialitate.
Articolul 25 revFADP ( revDSG_EN ) conține o listă extinsă de informații minime pe care operatorii de date trebuie să le divulge persoanelor vizate. Politicile de confidențialitate ar trebui să fie actualizate pentru a reflecta următoarele informații:
- identitatea și datele de contact ale operatorului;
- scopul prelucrării datelor;
- identitatea destinatarilor datelor și categoriile de destinatari ai datelor în cazul transferului de date către terți;
- jurisdicția în care sunt transferate datele;
- garanțiile necesare puse în aplicare în cazul transferului transfrontalier de date; și
- după cum s-a menționat mai sus, operatorii de date private trebuie să notifice în prealabil persoanele vizate de fiecare dată când sunt colectate, direct sau indirect, date sensibile la timp sau date pentru crearea de profiluri.
10. Evaluarea impactului asupra protecției datelor (DPIA) este necesară.
Evaluările de impact asupra protecției datelor nu reprezintă nimic nou în legislația elvețiană privind protecția datelor, organismele federale fiind deja obligate să efectueze DPIA. În temeiul art. 22 revFADP, operatorii de date din sectorul privat trebuie să efectueze acum, de asemenea, DPIA dacă prelucrarea planificată poate implica un risc ridicat pentru viața privată sau drepturile fundamentale ale persoanelor vizate. Prelucrarea este considerată cu risc ridicat dacă se planifică crearea de profiluri sau prelucrarea extinsă a datelor sensibile.
11. Inregistrări ale activităților de prelucrare din Elveția. RevFADP impune atât operatorilor, cât și persoanelor împuternicite de operatori să păstreze o listă a tuturor activităților de prelucrare a datelor. Această listă reflectă detaliile de prelucrare din anexa I.B. din CSC UE. Lista trebuie să fie actualizată în permanență. RevFADP prevede o excepție de la această cerință pentru întreprinderile cu mai puțin de 250 de angajați și în cazul în care prelucrarea datelor implică un risc scăzut de încălcare a confidențialității pentru persoanele vizate.