Rétt

Svissnesk alríkislög um gagnavernd (DSG)


kort af Sviss með hvítum krossi á

Hvað er DSG?

Svissnesku gagnaverndarlögin (DSG) eru nú endurskoðuð útgáfa af fyrsta DSG, sem tók gildi árið 1992. Frá 1. september 2023 munu nýju lögin taka gildi með endurskoðuðum og uppfærðum breytingum til að endurspegla núverandi þarfir netumhverfisins í dag. Markmið reglugerðar þessarar er að vernda friðhelgi einkalífs og grundvallarréttindi þeirra einstaklinga sem unnið er með upplýsingar um.

„Lög þessi miða að því að vernda friðhelgi einkalífs og grundvallarréttindi einstaklinga sem unnið er með persónuupplýsingar um.“

Helstu breytingar miðað við fyrstu útgáfu eru þær að fyrirtæki verða nú að útskýra hvers vegna þau safna persónuupplýsingum frá viðskiptavinum sínum og að þau þurfi að tilgreina með skýrum hætti hvaða þriðju aðilar koma að því að miðla persónuupplýsingum þeirra. Einstaklingar eiga nú einnig rétt á að vita hversu lengi gögn þeirra verða geymd og í hvaða tilgangi.

Til hverja á DSG við?

DSG gildir um einstaklinga (áður lögaðila) og viðskipta- og félagasamtök sem vinna með persónuupplýsingar um svissneska ríkisborgara.

Landfræðilegt umfang DSG virkar svipað og GDPR. Nákvæm skilgreining hér er sú að þessi reglugerð eigi við um persónuverndarmál sem „hafa áhrif í Sviss, jafnvel þótt þau séu af völdum erlendis“.

…“sem hafa áhrif í Sviss, jafnvel þótt þau séu hafin erlendis“.

Skyldur samkvæmt DSG

Skyldur ábyrgðaraðila og vinnsluaðila

Sambærilegt við kröfur GDPR, DSG krefst þess nú að fyrirtæki búi til „skrá yfir vinnslustarfsemi“ (gr. 12 DSG). Ábyrgðarmaður og pöntunaraðili bera fyrst og fremst ábyrgð á þessu. Þetta verður að innihalda eftirfarandi:

  • Auðkenni ábyrgðaraðila
  • tilgangi gagnavinnslu
  • Lýsing á flokkum skráðra einstaklinga og persónuupplýsingum
  • flokki viðtakenda
  • ef mögulegt er, varðveislutíma persónuupplýsinganna eða viðmiðin sem notuð eru til að ákvarða þetta tímabil;
  • ef mögulegt er, almenn lýsing á þeim ráðstöfunum sem gripið hefur verið til til að tryggja gagnaöryggi
  • ef gögn eru flutt til útlanda, tilgreina land og þær tryggingar sem tryggja fullnægjandi gagnavernd.

réttindi hins skráða

Eins og áður hefur komið fram er í lögum þessum lögð áhersla á vernd persónuupplýsinga hins skráða. Þannig er hinn skráði verndaður með eftirfarandi réttindum:

  • réttur til að fá upplýsingar um vinnslu persónuupplýsinga hans (gr. 25-27 revDSG)
  • rétt til að krefja ábyrgðaraðila um að afhenda persónuupplýsingar sínar eða senda þær á véllesanlegu formi til annars ábyrgðarmanns án endurgjalds. (28. og 29. gr. revFADP)
  • réttur þess að gögn hans séu ekki notuð fyrir sjálfvirkar einstakar ákvarðanir þar sem reiknirit er notað án mannlegrar íhlutunar í ferlinu (gr. 21 revDSG)
  • Ef unnið er með viðkvæmar persónuupplýsingar eða persónuprófílar eru búnir til þarf samþykki að vera skýrt. Samþykki hins skráða þarfnast.

Framfylgd DSG

Hlutverk alríkisgagnaverndar- og upplýsingafulltrúans (FDPIC)

FDPIC ber ábyrgð á beitingu og samræmi við FADP. Hann ber einnig ábyrgð á skýringum, ráðgjöf og verndun persónuupplýsinga í Sviss. Stofnunin er skipuð af Bundesrat (framkvæmdastjórn svissneska alríkisstjórnarinnar).

Viðurlög og sektir fyrir lögbrot

Ef einstaklingur brýtur lög DSG verður hann sektaður um allt að 250.000 CHF. Eins og með GDPR er refsingin ekki bundin við fyrirtækið heldur ábyrgan einstakling.

Hvað þú ættir að gera til að fara eftir DSG

Byrjaðu núna og vertu viss um að þú sért tilbúinn áður en FADP tekur gildi í september 2023. Fyrirtæki með aðsetur í Sviss, eða ef þú stundar viðskipti í Sviss, ættu að gera eftirfarandi ráðstafanir:

  • Skráðu alla gagnavinnslustarfsemi þína sem varðar lögin.
  • Hafa gilda persónuverndarstefnu sem uppfyllir allar kröfur GDPR.
  • Gakktu úr skugga um að þú tilnefnir gagnaverndarfulltrúa (DPO) sem setur stefnur og verklag í samræmi við FDPIC.
  • Ef þú þarft að fá samþykki til að vinna með persónuupplýsingar skaltu ganga úr skugga um að þú notir CMP sem gerir kleift að fanga og geyma gilt samþykki. Samþykkið sem þarf að fá er hægt að birta í formi samþykkisborða sem ætti að birtast í fyrstu heimsókn notanda á netverslun þína eða vefsíðu fyrirtækis.

Niðurstaða

Ekki kemur á óvart að núverandi útgáfa af DSG er endurhönnuð til að halda í við tækniþróun. Og jafnvel þótt þú sért nú þegar í samræmi við GDPR gætirðu samt þurft að grípa til aðgerða. Gakktu úr skugga um að stofnunin þín sé í samræmi við reglurnar og hafi lagalega samþykkisverkfæri til staðar.

Þú ert ekki alveg viss um hvort fyrirtækið þitt uppfyllir væntanlegar kröfur DSG? Talaðu við einn af sérfræðingunum okkar eða athugaðu með samþykkisstjórnunartólinu okkar hér .


fleiri athugasemdir

Webinar Google Consent Mode v2
myndbönd, Nýtt

Vefnámskeið: Google samþykkisstilling v2

Vefnámskeiðið um „Google Consent Mode v2“ fór fram 27. febrúar 2024. PDF fyrir vefnámskeiðið má finna hér til niðurhals . Eftirfarandi efni voru rædd: yfirlit Allir eru að tala um Google Consent Mode v2. Frá mars 2024 mun Google krefjast þess að allar vefsíður og forrit noti Google Consent Mode v2. Fyrir þetta er mikilvægt […]
Digital Services Act
Rétt

Gilda lög um stafræna þjónustu (DSA) einnig fyrir fyrirtæki þitt? Netvettvangar hafa viðbótarskyldur

Lögin um stafræna þjónustu setja viðbótarkröfur um gagnsæi fyrir netkerfi. Skilgreiningin á netvettvangi samkvæmt DSA gæti átt við fyrirtæki þitt. Þar af leiðandi gætir þú þurft að fara að viðbótarkröfum um gagnsæi DSA. Lestu áfram til að komast að því hvort fyrirtækið þitt falli í þennan flokk og hvaða skref þú getur tekið til að […]