Autorzy:
Anna Nowakowska
Dr. Katarzyna Lasota Heller
Prace nad aktualizacją szwajcarskiej Ustawy o ochronie danych osobowych (Datenschutzgesetz, w skrócie DSG) trwały już od 2011 roku.
Największym problemem tudzież kością niezgody pomiędzy dwoma izbami szwajcarskiego parlamentu było tzw. „profilowanie”. Po rozwiązaniu ostatnich rozbieżności w sprawie profilowania szwajcarski parlament federalny przegłosował w piątek, 25 września 2020 r. nową ustawę.
Kolejnym krokiem będzie przygotowanie rozporządzeń wspierających i przekazanie ich do konsultacji społecznych. To, jak szybko postępuje obecnie sytuacja, będzie oczywiście zależało również od UE: Szwajcaria nadal czeka na odnowienie decyzji Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony, która umożliwia swobodny transfer danych do Szwajcarii.
Sposób i czas przetwarzania danych osobowych właściwie radykalnie się nie zmienia (w szczególności dla sektora prywatnego). W większości przypadków nadal nie ma potrzeby wyrażania zgody na przetwarzanie danych, a profilowanie jest nadal akceptowalne. Jednak pojawia się także wiele nowych obowiązków, z którymi wprowadzeniem będą miały problem małe i średnie przedsiębiorstwa oraz firmy zagraniczne.
Nawet jeśli firmy mają jeszcze trochę czasu do wejścia w życie nowych przepisów, doświadczenie pokazuje, że wczesne planowanie odpowiednich projektów zgodności jest opłacalne.
Oto kilka najważniejszych punktów kluczowych nowej ustawy:
- zniesiono ochronę danych w stosunku do osób prawnych – tak w Szwajcarii dane osobowe osób prawnych są pod ochrona w brzmieniu ciągle jeszcze obowiązującej ustawy
- obowiązek zgłaszania błędnie przesłanych, zagubionych lub zhakowanych danych osobowych
- wprowadzenie zasad privacy by design i privacy by default a raczej wyraźniejsze zawarcie ich w prawie
- wprowadzenie katalogu przetwarzania, czyli jasnego zbioru zasad jakie będą obowiązywać przy przetwarzaniu informacji (wyjątkiem są przedsiębiorstwa z mniejszą liczbą niż 250 pracowników)
- polityka prywatności staje się obowiązkowa, oznacza to, że firmy muszą posiadać oświadczenie o ochronie danych, w którym podają pewne obowiązkowe informacje dotyczące gromadzonych danych osobowych. Tego typu informacje są zazwyczaj podawane na stronach internetowych firm oraz za pośrednictwem linków zawartych w ich formularzach i warunkach umów
- wprowadzenie profilowania z wysokim ryzykiem. Ma ono miejsce, gdy dane są łączone w taki sposób, że możliwa jest ocena istotnych aspektów osobowości osoby fizycznej (co odpowiada dzisiejszemu profilowi osobowości).
- wprowadzenie obowiązku informacyjnego - osoby, których dane dotyczą mają prawo do uzyskania szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez administratora
- prawo do przenoszenia danych (Datenportabilität) osoby uprawnione będą mogły zarządzać swoimi danymi, a także wykorzystywać je do celów prywatnych. umożliwia konsumentom uzyskanie ich danych przechowywanych u dostawców usług internetowych lub innych w celu przekazania takich danych konkurencji
- Federalny inspektor ochrony danych i informacji „Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter” w skrócie EDÖB pełnić będzie rolę nadzorującą, a także dostarczy arkusze informacyjne oraz instrukcje
- naruszenia bezpieczeństwa danych należeć będzie zgłaszać do EDÖB, jeśli mogą powodować wysokie zagrożenie dla dóbr osobistych lub praw podstawowych danej osoby. Decydujące znaczenie dla obowiązku raportowania przez administratora danych będzie miała zatem ocena ryzyka, do której można również zastosować kryteria oceny skutków dla ochrony danych. Chociaż nie ma określonego prawnie terminu, raporty należeć będzie składać jak najszybciej. Miarą powinien być termin 72 godzin
- zastosowanie sankcji – kary w wysokości do 250’000 CHF
- a także obowiązek zachowania tajemnicy, który teraz dotyczy w zasadzie wszystkich grup zawodowych i skutkować będzie przyznanymi karami pieniężnymi. Warto dodać, że kara może dotyczyć pojedynczego pracownika, który będzie musiał zapłacić z własnych pieniędzy.
- w przyszłości DSG będzie miała również wyraźne zastosowanie do firm zagranicznych działających na rynku szwajcarskim, a niektóre firmy zagraniczne będą powinny wyznaczyć przedstawiciela w Szwajcarii.
Z praktyki wiemy, że ochrona danych osobowych nie jest łatwa do wprowadzenia dla firmy. Wielu pracowników firm nie wie, jak sobie radzić z wprowadzeniem przepisów „w życie”, od czego zacząć i jak interpretować wytyczne. Klienci potrzebują pomocy w ocenie ryzyka i ustalaniu priorytetów. Warto także zauważyć, że wprowadzenie-skopiowanie podobnych zasad jak w krajach Unii Europejskiej nie będzie dobrym wyjściem, ponieważ szwajcarska Ustawa o ochronie danych osobowych w dalszym ciągu będzie się różnić w wielu aspektach od rozwiązań europejskich.
Wejście w życie ustawy przewidywane jest wraz z początkiem 2022 roku. Przedsiębiorstwa działające pomiędzy Polska a Szwajcaria, które przetwarzają dane osobowe - choćby pracownicze - zapraszamy do kontaktu info@lexcellence.swiss
