Znowelizowana szwajcarska ustawa o ochronie danych — kolejne kroki
Władze Federalne ogłosiły, że zrewidowana ustawa o ochronie danych osobowych wejdzie w życie najprawdopodobniej 1 września 2023 roku. Ostateczna decyzja o wejściu w życie zostanie podjęta przez Radę Federalną.
Znowelizowana ustawa o ochronie danych nie zastępuje istniejącego szwajcarskiego prawa o ochronie danych, lecz je dostosowuje. Zapewnia, że szwajcarska "podstawowa zasada" prywatności danych pozostanie nienaruszona, ale będzie zgodna z europejskim Ogólnym Rozporządzeniem o Ochronie Danych (GDPR).
Znowelizowana ustawa o ochronie danych ma na celu zharmonizowanie szwajcarskiego prawa z europejskim Ogólnym Rozporządzeniem o Ochronie Danych, które weszło w życie 25 maja 2018 r., a tym samym zachowanie adekwatności w odniesieniu do GDPR. Podejmowanie odpowiedniej decyzji o adekwatności, która ma zostać odnowiona przez Komisję Europejską, jest jeszcze w toku. Szwajcaria zniweluje zatem różnice między istniejącą ustawą o ochronie danych FDPA (Federal Data Protection Act) a znowelizowaną ustawą, która ma odpowiadać GDPR.
Znowelizowana ustawa wprowadzi kilka reform w zakresie ochrony danych, w tym:
- Prawo do przejrzystości
- Prawo do przenoszenia danych,
- Wprowadzenie "prawa do bycia zapomnianym"
- Ewidencja czynności związanych z przetwarzaniem danych
- Obowiązek powiadamiania o naruszeniach ochrony danych (bezpieczeństwo danych)
- Zrewidowana FDPA będzie miała zastosowanie do wszystkich przyszłych regulacji UE w zakresie ochrony danych
Nowe prawo dotyczące ochrony danych osobowych pomoże firmom w Szwajcarii i innych krajach członkowskich swobodnie przekazywać dane w granicach przepisów szwajcarskich i europejskich. Pozwoli to również szwajcarskim firmom oferować swoje usługi w innych krajach członkowskich, wzmacniając tym samym rynek wewnętrzny w UE.
Znowelizowana szwajcarska ustawa FDPA wprowadzi przepisy karne za nieprzestrzeganie przepisów podobne do tych zawartych w GDPR, związane z osobistymi karami pieniężnymi do 250'000 CHF, ale skierowane wobec osób fizycznych, gdzie GDPR obarcza odpowiedzialnością firmy. Obejmą one proces oceny ryzyka, procedurę powiadamiania i reagowania, odszkodowania, prawa osób, których dane dotyczą, kary oraz mechanizm wiążących decyzji.
Osoba fizyczna może nie tylko zostać ukarana grzywną, ale również karą za nieprzestrzeganie przepisów. Firmy mogą zdecydować się na skorzystanie z oferty usługodawców, którzy pomogą im w spełnieniu wymogów ustawy. Może to również wymagać od firm wprowadzenia inspektora ochrony danych.
FDPA zacznie bezpośrednio obowiązywać w Szwajcarii po jej opublikowaniu. Jednakże GDPR pozostaje bezpośrednio stosowane w Szwajcarii nawet po wejściu w życie FDPA, tak jak w przypadku zrewidowanej FDPA dla firm zagranicznych prowadzących działalność gospodarczą, ale nie mających siedziby w Szwajcarii. Dlatego firmy powinny nadal stosować się do GDPR. Firmy, które podlegają GDPR, powinny ustalić, czy podlegają również FDPA, w którym to przypadku będą musiały przestrzegać obu zestawów przepisów.
Źródło: https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/datenschutzstaerkung.html