С 1 сентября 2023 г. в Швейцарии вступит в силу полностью пересмотренный Закон о защите данных (revDSG), который станет важным шагом в области защиты данных. Он сосредоточен на защите персональных данных, ограничивая сферу действия данными физических лиц и вводя новые категории данных, такие как «генетические данные» и «биометрические данные». Компаниям придется адаптироваться к значительным изменениям, в частности, адаптировать декларации о защите данных, вести учет обработки и обучать сотрудников в соответствии с более строгими требованиями. Этим всеобъемлющим пересмотром Швейцария делает важный шаг на пути к современной защите данных и укрепляет свои позиции в качестве надежного партнера по свободному перемещению данных в цифровом мире.

1. Почему были необходимы изменения в законодательство о защите данных в Швейцарии?

В Швейцарии 1 сентября 2023 г. вступает в силу полностью пересмотренный Закон о защите данных (revDSG) от 25 сентября 2020 г., а также положения нового Постановления о защите данных (DSV) от 31 августа 2022 г. и нового Постановления о сертификации защиты данных (VDSZ) от 31 августа 2022 г. Первый Федеральный закон о защите данных был принят в 1992 г. Сегодня полный пересмотр закона о защите данных необходим для того, чтобы гарантировать населению адекватную защиту данных, адаптированную к технологическим и социальным изменениям нашего времени. В частности, будет обеспечена прозрачность обработки данных и усилено право человека самостоятельно распоряжаться своими данными.

Помимо этого, важное место занимает вопрос совместимости швейцарского законодательства с законодательством ЕС, в частности с Общим регламентом по защите данных ЕС 2016/679 (GDPR). Пересмотр призван приблизить швейцарское законодательство в области защиты данных в целом к требованиям Регламента ЕС 2016/679. Пересмотр Закона о защите данных должен обеспечить сохранение свободы их передачи в страны Европейского союза, чтобы швейцарские компании не потеряли конкурентоспособность. Кроме того, полный пересмотр должен позволить Швейцарии ратифицировать пересмотренную Конвенцию Совета Европы о защите данных ETS 108 и реализовать относящуюся к Шенгенской зоне Директиву (ЕС) 2016/680 о защите данных в уголовных делах. Эта адаптация и ратификация пересмотренной Конвенции ETS 108 имеют ключевое значение для обеспечения того, чтобы ЕС продолжал признавать Швейцарию в качестве третьей страны с адекватным уровнем защиты данных и чтобы трансграничная передача данных оставалась возможной без дальнейших препятствий в будущем.

RevDSG вносит существенные изменения для компаний.

2. Какова будет область применения?

RevDSG перенял принцип места проведения операций из GDPR (ст. 3 п. 1, ст. 14 и ст. 15 revDSG). Таким образом, revDSG применяется в ситуациях, которые имеют последствия для Швейцарии, даже если они инициированы за рубежом (ст. 3 п. 1 revDSG).

Кроме того, revDSG больше не применяется к обработке данных юридических лиц (например, открытых акционерных обществ, ассоциаций). В будущем данный закон будет распространяться только на данные физических лиц. Таким образом, revDSG применим только к обработке персональных данных физических лиц.

3. Изменятся ли категории данных?

В новой редакцииDSG вводятся новые категории данных. Например, к категории персональных данных, требующих особой защиты, добавлены «генетические данные» (ст. 5, лит. c № 3 revDSG) и «биометрические данные, однозначно идентифицирующие физическое лицо» (ст. 5, лит. c № 4 revDSG). Эти категории данных также содержатся в GDPR.

4. Будет ли принят запретительный принцип ЕС?

В revDSG по-прежнему предполагается, что обработка персональных данных в принципе разрешена при условии, что она осуществляется в соответствии с требованиями защиты данных, т.е., в частности, в соответствии с общими принципами обработки (например, законности, добросовестности, пропорциональности, распознаваемости, ограничения цели). В отличие от GDPR, принцип запрета не применяется, и для каждой операции обработки не требуется обоснование (например, согласие, закон и т.д.).

5. Какие обязательства вводятся для обработчика данных?

a) Соблюдаются ли принципы обработки?

Принципы обработки (ст. 6 revDSG) были несколько переформулированы в рамках пересмотра, однако их содержание соответствует действующему положению (см., в частности, ст. 4 DSG). Таким образом, принципы обработки остаются теми же, что и в законодательстве ЕС (например, ограничение целей, прозрачность, точность данных). Однако в отличие от законодательства ЕС, как уже отмечалось (см. Раздел 4 выше), для обработки данных в соответствии с новой редакцией revDSG не требуется никаких юридических оснований или оправданий, если соблюдаются принципы обработки или не раскрываются особо важные персональные данные третьих лиц. Что касается оснований для обработки данных, то следует отметить, что они более строго регламентированы в revDSG, чем в предыдущем законе, в частности, в отношении проверки кредитоспособности субъекта данных и конфиденциальности результатов расследования (см. ст. 31 RevDSG в сравнении со ст. 13 DSG).

b) Как должна быть составлена история действий по обработке?

Составление отчета о деятельности по обработке данных («реестра обработки») становится обязательным (ст. 12 revDSG). Однако в Постановлении к Закону предусмотрено исключение для малых и средних предприятий, деятельность которых по обработке данных сопряжена лишь с незначительным риском нарушения личных прав субъектов данных. Тем не менее, отсутствие реестра обработки не является уголовным преступлением.

c) Как управлять рисками?

• «Конфиденциальность по замыслу» и «Конфиденциальность по умолчанию»: Два принципа, известные по GDPR, — «Конфиденциальность по замыслу» (защита данных с помощью технологий) и «Конфиденциальность по умолчанию» (защита данных с помощью настроек по умолчанию, обеспечивающих защиту данных) — введены в статью 7 revDSG. Принцип «Конфиденциальность по замыслу » означает, что разработчики должны закладывать защиту и уважение частной жизни пользователей в структуру продуктов или услуг, которые будут собирать персональные данные. Принцип «Конфиденциальность по умолчанию» обеспечивает высочайший уровень безопасности уже при запуске продукта или услуги на рынок, активируя по умолчанию, т.е. без вмешательства пользователя, все необходимые меры по защите данных и ограничению их использования. Другими словами, все программное обеспечение, оборудование и сервисы должны быть настроены таким образом, чтобы обеспечить защиту данных и конфиденциальность пользователя. Например, приложения должны быть разработаны таким образом, чтобы персональные данные псевдонимизировались, анонимизировались или регулярно удалялись с помощью технологий. Аналогичным образом, следует собирать только те персональные данные, которые абсолютно необходимы для целей использования приложений, а дополнительные персональные данные — только при активном выборе или разрешении со стороны пользователя.
• Оценка воздействия на защиту данных: в соответствии со ст. 22 revDSG частные операторы данных (например, частные клиники) теперь также должны проводить и документировать предварительную оценку воздействия на защиту данных, если операция по обработке может повлечь за собой высокий риск нарушения личных или основных прав субъекта данных. Высокий риск может быть обусловлен, в частности, использованием новых технологий (например, искусственного интеллекта), типом, объемом, обстоятельствами и целью обработки (ст. 22 п. 2 revDSG). В частности, к высокому риску относится профилирование или обширная обработка особо чувствительных персональных данных.
• Обязанность сообщать о нарушениях защиты данных: Пересмотренный закон вводит новое обязательство сообщать о нарушениях защиты данных (ст. 24 revDSG). В случае нарушения защиты данных требуется оперативное уведомление. Оно должно быть направлено Федеральному комиссару по защите данных и информации (FDPIC).

d) Были ли усилены обязательства по предоставлению информации?

По сравнению с действующим законом, revDSG содержит повышенные обязательства по предоставлению информации со стороны операторов данных. Важность соблюдения повышенных требований к прозрачности подкрепляется тем фактом, что нарушение данной обязанности может быть наказано штрафом в размере до 250 000 швейцарских франков (ст. 60 revDSG). В соответствии со статьей 19 revDSG, обязанность по предоставлению информации теперь возникает при каждом получении персональных данных. Субъект данных должен быть заранее проинформирован о каждом факте получения персональных данных (а не только о так называемых особо чувствительных данных). В дополнение к рассмотренной выше общей обязанности информировать субъекта персональных данных вводится специальная обязанность по информированию в отношении автоматических единоличных решений (ст. 21 revDSG).

Усиление обязательств по информированию практически предполагает наличие декларации о защите данных, соответствующей revDSG. В связи с этим существующие декларации о защите данных должны быть пересмотрены и, при необходимости, обновлены до вступления в силу новой редакции закона.

6. Какими правами будут обладать субъекты данных?

a) Какой минимум информации должен быть предоставлен?

Новая редакция расширяет содержание права на информацию (ст. 8 DSG), устанавливая минимальный перечень информации, которая должна быть предоставлена субъекту данных в любом случае по его запросу (ст. 25 п. 2 revDSG). Нарушение статьи 25 revDSG может быть наказано штрафом в размере до 250 000 швейцарских франков (ст. 60 revDSG).

b) Предоставляется ли право мобильности данных?

Статья 28 revDSG теперь предоставляет субъектам данных право на выдачу и передачу персональных данных, которые они уже передали оператору и которые были автоматически обработаны оператором. В принципе, данные должны быть выданы бесплатно (ст. 28 п. 3 revDSG) и в стандартном электронном формате (ст. 28 п. 1 revDSG).

7. Будут ли повышены штрафы?

Максимальный размер штрафа, который может быть наложен за умышленное нарушение DSG, был значительно увеличен — до 250 000 швейцарских франков (ранее он составлял 10 000 франков).

8. Что нужно сделать уже сейчас?

Для определения необходимости принятия мер компаниям следует провести сравнительный анализ существующих документов и требований нового законодательства. В частности, следует проверить, нужно ли адаптировать или заново составить декларации о защите данных, а также наличие письменных договоров со всеми обработчиками данных. Затем необходимо дополнить или создать заново регистры операций по обработке данных. При этом необходимо убедиться, что вся информация доступна в полном объеме для выполнения обязательств по информированию и раскрытию информации в соответствии с законодательством.

Необходимо также провести обучение сотрудников, например, персонала на местах в отношении используемых ими баз данных.

LINDEMANNLAW может помочь Вам реализовать изменения нового швейцарского закона о защите данных! Свяжитесь с нами для получения подробной консультации.