Ponieważ ostatnie zmiany w przepisach dotyczących ochrony danych nie zezwalają na żadne okresy karencji, revFADP ich nie oferuje. W rezultacie firmy przetwarzające dane obywateli Szwajcarii mają tylko 8 miesięcy na dostosowanie się do nowego prawa.

RevFADP nie przewiduje sankcji karnych ani cywilnych wobec podmiotów ani osób fizycznych.  Zamiast tego przestępcy mogą zostać ukarani grzywną w wysokości do 2,5 miliona dolarów we frankach szwajcarskich — co może dotknąć dyrektorów C-Suite i inspektorów ochrony danych — zamiast ich firmy. Szwajcarska Federalna Komisja Ochrony Danych i Informacji (FDPIC) nie ma uprawnień do wnoszenia oskarżeń karnych.  Zamiast tego FDPIC może skierować oskarżenie do organów ścigania do zbadania działalności przestępczej. 

RevFADP nakłada na firmy grzywny w wysokości do 50 000 USD, jeśli znalezienie winnego zajmie zbyt dużo czasu.  Dzieje się tak dlatego, że władze nie muszą usilnie szukać pojedynczej osoby do ukarania. Zamiast tego mogą ukarać grzywną firmy. To pokazuje, w jaki sposób RevFADP koncentruje się na pociąganiu jednostek do odpowiedzialności i wyjaśnia, że ​​władze nie powinny usilnie szukać winnego.

RevFADP rozszerza definicję wrażliwych danych osobowych. Ta nowa lista zawiera dane biometryczne i genetyczne, które jednoznacznie identyfikują osobę fizyczną. Podczas przetwarzania tych danych ludzie muszą wyrazić wyraźną zgodę.

Nowy FADP jest prawnie zgodny zarówno z RODO UE, jak i GDPR revFADP.  Dodatkowo implementuje definicję „profilowania” zgodną z unijnym RODO. Ta sekcja revFADP była nieobecna w początkowym projekcie FADP. Profilowanie wysokiego ryzyka, takie jak analizy osobowości, musi zostać wyraźnie zatwierdzone przez osobę, której dane dotyczą.

FDPIC podkreśla znaczenie „niezależnego” inspektora ochrony danych. Inspektor ochrony danych jest opcjonalny dla organizacji prywatnych zgodnie z RODO i revFADP, ale szwajcarska Federalna Komisja ds. Ochrony Danych i Informacji mocno podkreśla znaczenie posiadania niezależnego inspektora ochrony danych. Oznacza to, że inspektor ochrony danych w organizacji powinien być oddzielony od innych operacji biznesowych, w tym porad prawnych i reprezentacji. Inne postępowanie może nie spełnić tego wymogu niezależności. FDPIC uważa, że ​​inspektorzy ochrony danych powinni znać przynajmniej jeden z języków Szwajcarii:  obejmuje to niemiecki, francuski, włoski, romański i język sklasyfikowany jako szwajcarski angielski. Chociaż angielski nie jest językiem urzędowym w Szwajcarii, zachęca się inspektorów ochrony danych do posługiwania się tym językiem, aby mogli komunikować się z osobami, których dane dotyczą, z krajów, w których się nim posługuje.

Zasada 72 godzin dotyczy wszystkich naruszeń danych osobowych w ramach RODO.  Jednak RevFADP określa, że ​​w tym przedziale czasowym należy uwzględnić tylko poważne ataki.  Sformułowanie „tak szybko, jak to możliwe” w art. 24 może być mylące, ponieważ jest wolniejsze lub szybsze niż 72-godzinny przedział czasowy. Powiadomienie osoby, której dane dotyczą, jest wymagane tylko wtedy, gdy naruszenie ochrony danych stanowi bezpośrednie zagrożenie dla osób, których to dotyczy. Z tego powodu FDPIC nie potrzebuje informacji o nieudanych cyberatakach, gdy przestrzegane są procedury egzekwowania revFADP.

Chociaż FDPIC nie stworzył jeszcze mechanizmu wyłącznie szwajcarskiego do przekazywania środków, wiele osób uważa, że ​​do wszystkich przelewów wyłącznie szwajcarskich potrzebne są specyficzne dla Szwajcarii SCC. FDPIC nie wydało żadnej decyzji w sprawie zatwierdzenia transferu danych, ale zakłada się, że decyzje Szwajcarii będą zgodne z decyzjami Komisji Europejskiej pod względem zatwierdzenia. Do tego czasu akceptowalnymi mechanizmami przekazywania danych między Szwajcarią a innymi krajami są unijne SCC i wiążące reguły korporacyjne zatwierdzone przez UE.

 Artykuł 25 revFADP wymaga od administratorów danych ujawnienia dodatkowych informacji w ich politykach prywatności. Obejmuje to nowe wymagania dotyczące minimalnego ujawnienia, określone w dodatkowej sekcji artykułu 25. Zmiany te należy wprowadzić we wszystkich politykach prywatności:

-nazwę i dane kontaktowe administratora.

-cel przetwarzania danych.

-informacje o odbiorcach osób trzecich i kategoriach danych związanych z przekazaniem danych innej stronie.

-miejsce, do którego dane są przekazywane;

-w przypadku przesyłania danych przez granice międzynarodowe musi istnieć ten system wymogów i zabezpieczeń.

-osoby, których dane dotyczą, są z wyprzedzeniem informowane o gromadzeniu danych, które może mieć na nie wpływ. Obejmuje to dane zebrane pośrednio lub dane wrażliwe na czas.

Nowością w szwajcarskim prawie ochrony danych jest potrzeba przeprowadzenia DPIA. Potrzeba przeprowadzenia DPIA była już wymagana przez rząd federalny ze względu na obowiązujące przepisy.  Administratorzy danych z sektora prywatnego muszą przeprowadzać DPIA, jeśli ich planowane przetwarzanie mogłoby potencjalnie zagrozić prywatności lub podstawowym prawom osób, których dane dotyczą. Przetwarzanie uważane jest za obarczone wysokim ryzykiem, jeśli planuje się zebranie danych wrażliwych lub ich analizę w sposób potencjalnie odkrywczy.

Zarówno administratorzy danych, jak i podmioty przetwarzające dane są zobowiązane do rejestrowania wszystkich swoich działań związanych z przetwarzaniem danych w revFADP.  Odzwierciedla to Załącznik IB zawarty w SCC UE. RevFADP nie wymaga od firm aktualizowania rejestrów, które spełniają określone kryteria. Rejestr mają prowadzić obowiązkowo firmy zatrudniające ponad 250 pracowników oraz prowadzące określone czynności przetwarzania danych.

Więcej: https://www.privacyanddatasecurityinsight.com/2023/02/nothing-neutral-about-the-new-swiss-federal-act-on-data-protection/

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl