Новый федеральный закон Швейцарии о защите данных (nFADP)

Новый федеральный закон Швейцарии о защите данных (nFADP) представляет собой всеобъемлющую правовую базу, разработанную для укрепления прав на неприкосновенность частной жизни и защиты персональных данных граждан Швейцарии.

nFADP заменяет предыдущее законодательство Швейцарии о конфиденциальности 1992 года, обеспечивая обновленную правовую основу для защиты данных в стране.

В этой статье вы познакомитесь с законом Швейцарии о защите персональных данных, его правовой основой, на кого он распространяется, что он требует, наказания за несоблюдение и многое другое. Давайте углубимся в суть.

Что представляет собой Новый федеральный закон Швейцарии о защите данных (nFADP)?

Новый федеральный закон Швейцарии о защите данных (nFADP) является основным законом Швейцарии о защите данных. Он был принят осенью 2020 года и вступил в силу 1 сентября 2023 года.

nFADP значительно повышает стандарты защиты данных в Швейцарии, чтобы соответствовать социальным и технологическим требованиям эпохи Интернета.

С этой целью он предоставляет гражданам Швейцарии ряд прав на неприкосновенность частной жизни, одновременно налагая новые обязательства на предприятия – знакомая особенность современных законов о неприкосновенности частной жизни.

Примечательно, что nFADP имеет много общего с Общим регламентом ЕС по защите данных (GDPR), заимствуя большинство его концепций и терминологии. Тем не менее, nFADP отклоняется от GDPR в ключевых областях, вводя свои собственные уникальные функции для защиты данных.

В конечном счете, nFADP представляет собой стратегический шаг вперед в стремлении Швейцарии к защите данных в постоянно развивающемся цифровом пространстве.

Справочная информация о Новом федеральном законе Швейцарии о защите данных (nFADP)

Швейцарский nFADP уходит своими корнями в Федеральный закон о защите данных1992 года (FADP), который стал первым в Швейцарии регулированием конфиденциальности.

По мере развития цифрового ландшафта парламент Швейцарии признал необходимость пересмотра своих стандартов защиты данных. Очевидно, что FADP не был оснащен для решения современных проблем конфиденциальности, связанных с социальными сетями, облачными вычислениями и Интернетом вещей.

Другой важной причиной этой реформы было приведение швейцарского законодательства в соответствие с GDPR ЕС. Это стратегическое согласование сделало бы Швейцарию третьей страной с “адекватной” защитой данных по стандартам ЕС.

Другими словами, швейцарские компании будут пользоваться бесплатным обменом данными со своими коллегами из ЕС, тем самым поддерживая свою конкурентоспособность.

После нескольких раундов общественных консультаций и обсуждений nFADP был принят в сентябре 2020 года. Первоначально планировалось, что он вступит в силу 1 января 2022 года, но позже был перенесен на 1 сентября 2023 года.

На кого распространяется действие Нового федерального закона Швейцарии о защите данных (nFADP)?

Согласно статье 3, nFADP охватывает “обстоятельства, которые имеют силу в Швейцарии, даже если они были инициированы за границей”.

На практике nFADP применяется к:

• Компании, работающие в Швейцарии, и
• Компании за пределами Швейцарии, которые обрабатывают персональные данные физических лиц в Швейцарии

В последнем случае компании обязаны назначить представителя в Швейцарии.

Также важно отметить, что nFADP распространяется как на частные организации, так и на федеральные органы власти, которые обрабатывают персональные данные в Швейцарии.

Ключевые определения В Новом федеральном законе Швейцарии о защите данных (nFADP)

Как и многие современные законы о конфиденциальности, швейцарский nFADP придает общепринятым терминам и концепциям защиты данных свое особое значение. Давайте рассмотрим некоторые из наиболее важных из них.

Персональные данные

Швейцарский nFADP определяет персональные данные как “любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу”.

В контексте конфиденциальности данных персональные данные включают, но не ограничиваются:

• Имена / фамилии
• Адреса электронной почты
• Номера телефонов
• Финансовая информация
• Номера социального страхования
• Номера водительских прав
• Фотографии или видео, идентифицирующие личность
• Онлайн-идентификаторы (отслеживающие файлы cookie, пиксели, IP-адреса и т.д.)

В отличие от предыдущего закона, швейцарский nFADP исключает персональные данные юридических лиц из сферы своего действия. Другими словами, закон защищает персональные данные только физических лиц – еще одна особенность, соответствующая GDPR.

Конфиденциальные персональные данные

Хотя конфиденциальные персональные данные не являются новым понятием в Швейцарии, nFADP расширяет свое определение, включив “генетические данные” и “биометрические данные, которые однозначно идентифицируют физическое лицо”.

Другие приведенные примеры конфиденциальных персональных данных в соответствии с законом включают данные, относящиеся к:

• Религиозные и философские убеждения
• Политическая и профсоюзная деятельность
• Здравоохранение или частная сфера
• Расовая или этническая принадлежность
• Административные и уголовные разбирательства или санкции
• Меры социальной помощи

Неудивительно, что nFADP налагает более строгие обязательства на предприятия, которые обрабатывают этот тип данных.

В частности, такие компании должны получить предварительное, информированное и недвусмысленное согласие на обработку конфиденциальных данных (например, через пустой флажок рядом с заявлением “Я согласен”, которое четко указывает на одобрение указанных условий).

И вот еще один пример того, как это может выглядеть:

Обработка

Согласно швейцарскому nFADP, “обработка” определяется как:

“любая обработка персональных данных, независимо от используемых средств и процедур, в частности, сбор, хранение, сохранность, использование, модификация, раскрытие, архивирование, удаление или уничтожение данных”

По сути, обработка – это любые действия, осуществляемые с персональными данными, от сбора и хранения до обмена и удаления.

Обратите внимание, что nFADP распространяется только на обработку данных в коммерческом или профессиональном контексте. Обработка данных в личных или бытовых целях не подпадает под действие nFADP.

Профилирование

Концепция профилирования является новым дополнением к швейцарской системе защиты данных благодаря nFADP.

Согласно закону, профилирование является:

“любая форма автоматизированной обработки персональных данных, состоящая в использовании персональных данных для оценки определенных личных аспектов, относящихся к физическому лицу …”

По сути, профилирование подразумевает использование автоматизированной системы, основанной на данных, для анализа или прогнозирования аспектов жизни человека, таких как его местоположение, поведение, экономические обстоятельства и т.д.

nFADP проводит различие между стандартным профилированием и “профилированием высокого риска”, которым является любое профилирование, представляющее высокий риск для прав субъектов данных. Естественно, что компании, занимающиеся профилированием высокого риска, придерживаются более строгих стандартов в соответствии с nFADP.

Контролер и обработчик данных

nFADP классифицирует предприятия на контролеров данных и обработчиков данных в зависимости от их функций по обработке данных (еще одна функция, вдохновленная GDPR).

Согласно закону, персональными данными является частным лицом или федеральным органом, который определяет цели и способы обработки персональных данных.

В отличие от этого, обработчик данных – это частное лицо или федеральный орган, который обрабатывает персональные данные от имени контролера.

Примечание: Как контролеру данных, вам разрешается передавать обработку данных на аутсорсинг обработчику только в том случае, если:

• Обработчик обрабатывает персональные данные так же, как и вы, и следует правилам и методам, которые вам разрешено использовать, и
• Нет никаких юридических или договорных обязательств, препятствующих вам использовать аутсорсинг

Для получения дополнительной информации о различиях между этими двумя классами ознакомьтесь с нашей статьей GDPR “Контролер данных против Обработчик данных”

Принципы обработки данных В соответствии с Новым федеральным законом Швейцарии о защите данных (nFADP)

Принимая страницу из GDPR пьес, швейцарский nFADP устанавливает шесть обработка данных принципы бизнеса должны придерживаться в соответствии со статьей 6 Положения.

Они следующие:

1. Законная обработка: обрабатывайте персональные данные только тогда, когда у вас есть веская и юридически обоснованная причина для этого.
2. Добросовестность и соразмерность: обрабатывайте персональные данные добросовестно и гарантируйте, что ваши действия по обработке данных справедливы и уместны.
3. Конкретная цель: сбор персональных данных осуществляется только по четкой и конкретной причине, понятной субъекту данных. Во время обработки не используйте данные для чего-либо, не связанного с этой целью.
4. Жизненный цикл данных: как только вам больше не понадобятся персональные данные для их первоначального назначения, либо уничтожьте их, либо сделайте анонимными.
5. Точность и исправления: убедитесь, что персональные данные всегда остаются точными. Если данные неполны или вы обнаружили ошибки, примите меры по их исправлению, удалению или уничтожению. То, как вы это делаете, зависит от характера данных и рисков, которые они представляют для прав субъекта данных.
6. Добровольное и недвусмысленное согласие: Если вы полагаетесь на согласие в отношении некоторых действий по обработке данных, убедитесь, что согласие дано свободно, информировано и конкретно. Явное согласие требуется для:
   • Обработка конфиденциальных персональных данных
   • Профилирование частным лицом с высокой степенью риска
   • Профилирование федеральным органом власти

Общие требования Нового Федерального закона о защите данных (nFADP)

Как упоминалось ранее, швейцарский nFADP устанавливает ряд новых обязательств для бизнеса и обновляет несколько установленных требований в рамках старого законодательства.

Давайте подробнее рассмотрим требования nFADP.

Предоставьте Политику конфиденциальности

Хотя nFADP явно не требует наличия Политики конфиденциальности, он требует от компаний предоставлять определенную информацию о том, как собираются, используются и передаются персональные данные (также известную как ключевое содержание Политики конфиденциальности).

Для обеспечения прозрачной обработки данных ваша Политика конфиденциальности должна, как минимум, включать следующие пункты:

• Ваша личность и контактная информация
• Категории персональных данных, которые вы собираете и обрабатываете
• Ваши цели обработки персональных данных
• В случае необходимости, третьих лиц или категорий третьим лицам, с которыми вы поделитесь персональных данных
• Права субъектов данных и способы их реализации
• Страны или международные организации, которым вы отправляете данные, и любые действующие гарантии (если применимо)

Обратите внимание, что если вы не получаете данные непосредственно от субъекта данных, вы должны предоставить ему вышеуказанную информацию в течение одного месяца с момента получения данных. Более того, если вы передаете их данные третьей стороне до истечения этого срока, вы должны проинформировать субъекта данных до или когда произойдет раскрытие.

Давайте рассмотрим несколько примеров того, как вы можете представить некоторые из этих положений в своей Политике конфиденциальности.

PayPal предоставляет длинный список с подробным описанием категорий личной информации, которую он собирает от пользователей в процессе их взаимодействия с его сервисами:

“Делойт” объясняет, как он использует личную информацию, в кратком пункте своего Уведомления о конфиденциальности:

Sephora определяет категории третьих сторон, с которыми она может обмениваться данными, используя простые и понятные заголовки:

И Корпорация Майкрософт предоставляет подробную контактную информацию для решения проблем конфиденциальности пользователей в различных регионах:

Упрощение прав субъектов данных

Как уже упоминалось, nFADP предоставляет субъектам данных Швейцарии несколько прав. Вкратце, они следующие:

• Право на получение информации: Вы должны информировать субъектов данных о сборе и обработке их персональных данных для обеспечения прозрачности.
• Право на доступ: Субъекты данных имеют право на доступ и получение копии своих персональных данных. Они также могут спросить о происхождении данных, целях вашей обработки и о том, с кем вы можете поделиться их данными.
• Право на исправление: субъекты данных могут потребовать, чтобы вы исправили их неточные или устаревшие персональные данные.
• Право на удаление: субъекты персональных данных могут запросить удаление своих данных, но вы можете отказаться от этого права, если у вас есть веское юридическое обоснование.
• Право на возражение / отказ: Субъекты данных могут возражать против обработки их данных в определенных целях (например, профилирования). Тем не менее, вы можете отклонить их запрос по законным причинам соблюдения требований.
• Право на перенос данных: субъекты данных могут получить копию своих данных и запросить их передачу другому контролеру.
• Права, относящиеся к автоматизированному принятию решений: Субъекты данных имеют право на получение информации об автоматизированных процессах принятия решений, которые юридически или существенно влияют на них. Они также могут потребовать, чтобы физическое лицо пересмотрело такие решения.

Не забудьте указать эти права в своей Политике конфиденциальности и предоставить субъектам данных простой способ их осуществления.

Вот как Amazon Web Services это делает:

Вот еще один пример такого рода положений:

Обеспечить надлежащую безопасность данных

Согласно статье 8, контролеры и обработчики должны принять технические и организационные меры безопасности для защиты персональных данных от несанкционированного доступа, утечек данных и других угроз.

Важно отметить, что ваши меры безопасности должны быть пропорциональны уровню риска вашей деятельности по обработке данных. Другими словами, более высокий риск требует более надежных мер безопасности.

Хотя это и не является обязательным в соответствии с nFADP, рекомендуется предоставить общее описание ваших мер безопасности в вашей Политике конфиденциальности, как это делает Amazon Web Services здесь:

Вот еще один пример:

Провести оценку воздействия на защиту данных (DPIAs)

В соответствии со статьей 22 nFADP требует от вас проведения DPIA в отношении действий по обработке, которые могут представлять высокий риск для конфиденциальности субъектов данных или основных прав. Если вы планируете несколько аналогичных действий по обработке данных, вы можете провести совместную оценку эффективности.

“Высокорисковые” действия по обработке зависят от таких факторов, как характер, объем, обстоятельства и цель обработки данных. Согласно закону, они включают:

• Широкомасштабная обработка конфиденциальных персональных данных
• Систематический, крупномасштабный мониторинг общественных зон

При проведении DPIA вам необходимо предоставить:

• Описание ваших действий по обработке данных
• Оценка рисков для прав субъектов персональных данных
• Описание мер, которые вы будете применять для защиты этих прав

Примечательно, что вы можете быть освобождены от обязанности проводить DPIAs, если по закону вы обязаны обрабатывать данные или если ваш продукт или услуга сертифицированы в соответствии со статьей 13 nFADP.

Вы также можете быть освобождены от обязательств DPIA, если соблюдаете кодекс поведения nFADP, который защищает права субъектов данных и был представлен Федеральному уполномоченному по защите данных и информации (FDPIC).

Хотя процессы не будут точно такими же, вы можете получить некоторое представление о том, как работает такая оценка, ознакомившись с нашей статьей: Оценка влияния GDPR на защиту данных

Назначить сотрудника по защите данных (DPO)

Несмотря на то, что nFADP не является обязательным, nFADP рекомендует контролерам данных назначать сотрудника по защите данных (также известного как советник по защите данных).

DPO – это эксперт по вопросам конфиденциальности, который курирует программу защиты данных вашей компании. В их обязанности входит обучение и консультирование вас по вопросам защиты данных, а также поддержка ваших усилий по соблюдению требований nFADP.

В случае назначения DPO становится вашим основным контактным лицом как для субъектов данных, так и для соответствующих органов по защите данных в Швейцарии.

Чтобы считаться законным (и иметь возможность учитывать DPIAs), ваш DPO должен:

• Будьте независимы и не связаны вашими инструкциями
• У вас нет конфликта интересов
• Обладать необходимыми профессиональными навыками и экспертизой в области защиты данных

Важно отметить, что вы должны уведомить FDPIC о назначении вашего DPO. Вы также должны сделать контактные данные DPO общедоступными (например, в вашей Политике конфиденциальности).

Например, вот как EY делает это в своем заявлении о конфиденциальности:

Уведомлять соответствующие Стороны об утечках данных

nFADP требует, чтобы контролеры данных незамедлительно уведомляли FDPIC о утечках данных, которые могут представлять значительный риск для конфиденциальности субъектов данных или основных прав. С другой стороны, обработчики данных должны сообщать о любой утечке данных своему контролеру как можно быстрее.

При сообщении об утечке данных вы должны предоставить следующие сведения:

• Характер утечки данных
• Какие последствия может иметь нарушение
• Меры, которые вы планируете или предприняли для устранения нарушения

В некоторых случаях вам может потребоваться проинформировать затронутых субъектов данных о нарушении, если это необходимо для их защиты или если FDPIC запрашивает это:

Однако вы можете ограничить, отсрочить или даже не информировать субъектов данных, если:

• Юридические требования к конфиденциальности запрещают это
• Предоставление информации невозможно или требует неоправданных усилий
• Тот же уровень информации предоставляется посредством публичного объявления

Вести учет действий по обработке данных (RoPA)

Согласно nFADP, как контролеры, так и обработчики данных должны вести учет действий по обработке, или, сокращенно, RoPA.

Как контролер данных, ваше RoPA должно, как минимум, включать следующее:

• Ваша личность (имя, контактные данные и т.д.)
• Почему вы обрабатываете данные
• Категории субъекта данных и тип обрабатываемых вами персональных данных
• С кем вы делитесь данными
• Как долго вы намерены хранить данные или как вы определяете этот срок
• Общее описание ваших мер защиты данных (по возможности)
• Если вы делитесь данными за границей, предоставьте подробную информацию о стране и действующих гарантиях

Как обработчик данных, работающий от имени контролера, ваше RoPA должно включать:

• Ваша личность и контролера, от имени которого вы обрабатываете данные
• Какие типы задач по обработке данных вы выполняете для контролера
• Подробная информация о ваших мерах безопасности данных (по возможности)
• Описание вашей деятельности по международной передаче данных (если применимо)

Примечание: Организации с менее чем 250 сотрудниками или с деятельностью по обработке данных с низким уровнем риска могут быть освобождены от обязанности поддерживать RoPA.

Соблюдайте принцип конфиденциальности намеренно и по умолчанию

Конфиденциальность по замыслу означает включение защиты конфиденциальности в первоначальную настройку (или “дизайн”) вашего продукта или услуги, которые собирают данные потребителей.

С другой стороны, “Конфиденциальность по умолчанию” подразумевает обеспечение высочайшего уровня конфиденциальности и безопасности при запуске вашего продукта или услуги (т.е. без вмешательства пользователя).

Имейте в виду, что ваши меры конфиденциальности и безопасности должны быть соразмерны:

• Текущая технологическая среда
• Характер и масштаб вашей деятельности по обработке данных
• Уровень связанного с этим риска

Важно отметить, что вы должны гарантировать, что по умолчанию вы собираете и используете только минимальный объем персональных данных, необходимый для намеченных целей (если субъект данных прямо не указывает иное).

Устанавливает гарантии трансграничного раскрытия данных

Как и GDPR, nFADP разрешает раскрытие международных данных, если страна-получатель обеспечивает “адекватную” защиту данных по швейцарским стандартам.

В отсутствие такового вы все равно можете передавать данные на международном уровне при условии обеспечения надлежащей защиты данных с помощью любого из следующих механизмов:

• Стандартные договорные положения поддерживаются, издаются или признаются FDPIC
• Обязательные корпоративные правила, предварительно утвержденные FDPIC или органом по защите данных в стране с надлежащей защитой данных
• Международные правовые договоры
• Конкретные контракты, заключаемые соответствующим федеральным органом власти с предварительным уведомлением FDPIC
• Положения о защите данных в соглашении между вами и сторонним подрядчиком с предварительным уведомлением FDPIC

Вот как Cognician объясняет свои международные механизмы передачи данных в своей Политике конфиденциальности:

Правоприменение и штрафы за несоблюдение Нового федерального закона Швейцарии о защите данных (nFADP)

FDPIC несет главную ответственность за обеспечение соблюдения положений nFADP и может проводить расследования независимо или в ответ на предупреждения.

Для организаций несоблюдение требований nFADP о предоставлении необходимой информации и проведении надлежащей проверки влечет за собой значительные последствия, включая штрафы в размере до 250 000 швейцарских франков.

В отличие от GDPR, частные лица могут нести личную ответственность в соответствии с nFADP. В случаях, когда идентификация ответственного лица в организации оказывается сложной задачей, на организацию могут быть наложены штрафы в размере до 50 000 швейцарских франков.

Эти санкции подчеркивают важность прозрачного управления данными и подотчетности внутри организации.

Диаграмма: Новый федеральный закон Швейцарии о защите данных (nFADP) в сравнении с Общим регламентом ЕС по защите данных (GDPR)

Швейцарский nFADP часто сравнивают с GDPR ЕС, учитывая его многочисленные сходства с европейским законодательством. В следующей таблице мы приводим разбивку их основных различий.

Краткие сведения

nFADP – это швейцарская нормативная база, которая была принята для расширения прав на неприкосновенность частной жизни, регулирования обработки данных и приведения защиты данных в Швейцарии в соответствие с международными стандартами.

Закон применяется к частным организациям и федеральным органам власти, которые собирают и обрабатывают персональные данные в Швейцарии независимо от местоположения.

nFADP устанавливает ряд принципов обработки данных и предоставляет новые права субъектам данных в Швейцарии. Он также налагает новые обязанности по защите данных на предприятия, подпадающие под его действие.

Напомним, предприятия должны соблюдать следующие требования:

• Предоставьте Политику конфиденциальности, соответствующую nFADP
• Упрощение и помощь в осуществлении прав швейцарского субъекта данных
• Внедрить соответствующие меры защиты данных
• Назначить сотрудника по защите данных (при необходимости)
• Проводить DPIAs для сложных или высокорискованных операций по обработке данных
• Уведомлять FDPIC и соответствующие стороны об утечке данных
• Ведите учет действий по обработке данных
• Соблюдайте принципы конфиденциальности намеренно и по умолчанию
• Установить гарантии для трансграничного раскрытия данных (если применимо)

В целом, швейцарский nFADP тесно связан с GDPR ЕС, что упрощает соблюдение требований для компаний, соблюдающих GDPR. Тем не менее, в соответствии с nFADP организации должны обратить внимание на несколько уникальных положений (даже тех, которые соответствуют GDPR).

Несоблюдение условий может привести к штрафным санкциям в размере до 250 000 швейцарских франков для предприятий и 50 000 швейцарских франков для частных лиц.

Author: admin