В Швейцарии обеспечивается имплементация нового законодательства, направленного на повышение уровня защиты данных граждан. Швейцарские компании обязаны соблюдать новые нормы, начиная с 1 сентября 2023 года.
Швейцарским Парламентом был принят новый Федеральный закон о защите данных, согласно которому обеспечивается совершенствование системы обработки персональных данных и наделение граждан Швейцарии новыми правами. При этом в новом Законе также закреплен ряд обязанностей для юридических лиц.
Необходимость принятия нового Закона
Первый Федеральный закон о защите данных был принят в 1992 году. С того времени в повседневную жизнь вошли Интернет, смартфоны, социальные сети и облачные технологии. В этом контексте возникла необходимость полного пересмотра профильного законодательства (а не только частичного, как в 2009 и 2019 гг.) для обеспечения эффективной защиты информации с учетом текущих технологических и социальных реалий. Принятие нового Закона также обусловлено необходимостью соответствия швейцарского законодательства европейским нормам и, в частности, Регламенту (EU) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных (англ. – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with regard to the Processing of Personal Data and on the Free Movement of Such Data). Так, в рамках нового Закона должен быть обеспечен свободный обмен данными с Евросоюзом, что позволит избежать утраты конкурентоспособности швейцарских компаний.
Основные изменения
К основным изменениям можно отнести следующие правовые новеллы:
- Предметом регулирования стали только данные физических лиц (но не организаций, как было ранее).
- Под определение конфиденциальных данных подпадают генетические и биометрические данные.
- Вводятся принципы «Privacy by design» и «Privacy by default» (спроектированная защита данных и конфиденциальность по умолчанию).
- Оценка воздействия должна проводиться при возникновении высокого риска для неприкосновенности частной жизни или основных прав субъектов данных.
- Объем обязанности предоставлять информацию был расширен: сбор всех персональных данных, а не только так называемых «конфиденциальных данных», требует предварительного уведомления соответствующего лица.
- Ведение реестра в отношении деятельности по обработке информации теперь носит обязательный характер. Однако согласно Закону допускается исключения для малых и средних предприятий, обработка данных которых связана с ограниченным риском причинения вреда субъекту данных.
- В случае нарушения принципа информационной безопасности требуется направление незамедлительного уведомления Федеральному уполномоченному по защите данных и информации (FDPIC).
- Законом урегулирована система автоматизированной обработки персональных данных.
Связь с законодательством ЕС
Компании, которые уже соблюдали положения европейского Регламента (EU) 2016/679, столкнуться с необходимостью адаптации к минимальным изменениям.