Rétt

Svissnesk alríkislög um gagnavernd (DSG)


kort af Sviss með hvítum krossi á

Hvað er DSG?

Svissnesku gagnaverndarlögin (DSG) eru nú endurskoðuð útgáfa af fyrsta DSG, sem tók gildi árið 1992. Frá 1. september 2023 munu nýju lögin taka gildi með endurskoðuðum og uppfærðum breytingum til að endurspegla núverandi þarfir netumhverfisins í dag. Markmið reglugerðar þessarar er að vernda friðhelgi einkalífs og grundvallarréttindi þeirra einstaklinga sem unnið er með upplýsingar um.

„Lög þessi miða að því að vernda friðhelgi einkalífs og grundvallarréttindi einstaklinga sem unnið er með persónuupplýsingar um.“

Helstu breytingar miðað við fyrstu útgáfu eru þær að fyrirtæki verða nú að útskýra hvers vegna þau safna persónuupplýsingum frá viðskiptavinum sínum og að þau þurfi að tilgreina með skýrum hætti hvaða þriðju aðilar koma að því að miðla persónuupplýsingum þeirra. Einstaklingar eiga nú einnig rétt á að vita hversu lengi gögn þeirra verða geymd og í hvaða tilgangi.

Til hverja á DSG við?

DSG gildir um einstaklinga (áður lögaðila) og viðskipta- og félagasamtök sem vinna með persónuupplýsingar um svissneska ríkisborgara.

Landfræðilegt umfang DSG virkar svipað og GDPR. Nákvæm skilgreining hér er sú að þessi reglugerð eigi við um persónuverndarmál sem „hafa áhrif í Sviss, jafnvel þótt þau séu af völdum erlendis“.

…“sem hafa áhrif í Sviss, jafnvel þótt þau séu hafin erlendis“.

Skyldur samkvæmt DSG

Skyldur ábyrgðaraðila og vinnsluaðila

Sambærilegt við kröfur GDPR, DSG krefst þess nú að fyrirtæki búi til „skrá yfir vinnslustarfsemi“ (gr. 12 DSG). Ábyrgðarmaður og pöntunaraðili bera fyrst og fremst ábyrgð á þessu. Þetta verður að innihalda eftirfarandi:

  • Auðkenni ábyrgðaraðila
  • tilgangi gagnavinnslu
  • Lýsing á flokkum skráðra einstaklinga og persónuupplýsingum
  • flokki viðtakenda
  • ef mögulegt er, varðveislutíma persónuupplýsinganna eða viðmiðin sem notuð eru til að ákvarða þetta tímabil;
  • ef mögulegt er, almenn lýsing á þeim ráðstöfunum sem gripið hefur verið til til að tryggja gagnaöryggi
  • ef gögn eru flutt til útlanda, tilgreina land og þær tryggingar sem tryggja fullnægjandi gagnavernd.

réttindi hins skráða

Eins og áður hefur komið fram er í lögum þessum lögð áhersla á vernd persónuupplýsinga hins skráða. Þannig er hinn skráði verndaður með eftirfarandi réttindum:

  • réttur til að fá upplýsingar um vinnslu persónuupplýsinga þinna (25.-27. gr. revDSG),
  • rétt til að krefja ábyrgðaraðila um að afhenda persónuupplýsingar sínar eða senda þær á véllesanlegu formi til annars ábyrgðarmanns án endurgjalds. (28. og 29. gr. revDSG),
  • rétt á því að gögn hans verði ekki notuð fyrir sjálfvirkar einstakar ákvarðanir þar sem reiknirit er notað án þess að mannlegur íhlutun sé í ferlinu (gr. 21 revDSG),
  • Ef unnið er með viðkvæmar persónuupplýsingar eða persónuprófílar eru búnir til þarf samþykki að vera sérstaklega gefið. Samþykki hins skráða þarfnast.

Framfylgd DSG

Hlutverk alríkisgagnaverndar- og upplýsingafulltrúans (FDPIC)

FDPIC ber ábyrgð á beitingu og samræmi við FADP. Hann ber einnig ábyrgð á skýringum, ráðgjöf og verndun persónuupplýsinga í Sviss. Stofnunin er skipuð af Bundesrat (framkvæmdastjórn svissneska alríkisstjórnarinnar).

Viðurlög og sektir fyrir lögbrot

Ef einstaklingur brýtur lög DSG verður hann sektaður um allt að 250.000 CHF. Eins og með GDPR er refsingin ekki bundin við fyrirtækið heldur ábyrgan einstakling.

Hvað þú ættir að gera til að fara eftir DSG

Byrjaðu núna og vertu viss um að þú sért tilbúinn áður en FADP tekur gildi í september 2023. Fyrirtæki með aðsetur í Sviss, eða ef þú stundar viðskipti í Sviss, ættu að gera eftirfarandi ráðstafanir:

  • Skráðu alla gagnavinnslustarfsemi þína sem varðar lögin.
  • Hafa gilda persónuverndarstefnu sem uppfyllir allar kröfur GDPR.
  • Gakktu úr skugga um að þú tilnefnir gagnaverndarfulltrúa (DPO) sem setur stefnur og verklag í samræmi við FDPIC.
  • Ef þú þarft að fá samþykki til að vinna með persónuupplýsingar skaltu ganga úr skugga um að þú notir CMP sem gerir kleift að fanga og geyma gilt samþykki. Samþykkið sem þarf að fá er hægt að birta í formi samþykkisborða sem ætti að birtast í fyrstu heimsókn notanda á netverslun þína eða vefsíðu fyrirtækis.

Niðurstaða

Ekki kemur á óvart að núverandi útgáfa af DSG er endurhönnuð til að halda í við tækniþróun. Og jafnvel þótt þú sért nú þegar í samræmi við GDPR gætirðu samt þurft að grípa til aðgerða. Gakktu úr skugga um að stofnunin þín sé í samræmi við reglurnar og hafi lagalega samþykkisverkfæri til staðar.

Þú ert ekki alveg viss um hvort fyrirtækið þitt uppfyllir væntanlegar kröfur DSG? Talaðu við einn af sérfræðingunum okkar eða athugaðu með samþykkisstjórnunartólinu okkar hér .


fleiri athugasemdir

Webinar mit Google: Google Consent Mode v2 verstehen und nahtlos integrieren
myndbönd

Vefnámskeið með Google: Að skilja og samþætta Google Consent Mode v2 óaðfinnanlega

Vegna mikillar eftirspurnar eftir upplýsingum um uppsetningu og meðhöndlun á nýjum kröfum Google Consent Mode v2, stóð consentmanager ásamt Google fyrir öðru vefnámskeiði um þetta efni þann 12. júní 2024. Vefnámskeiðið fór fram á þýsku. Misstirðu af því? Ekkert mál! PDF fyrir vefnámskeiðið má finna hér til niðurhals . Dennis Gingele frá Google og Jan […]
Nýtt

Fréttabréf 05/2024

Ný samþætting fyrir Slack, MS Teams og fleira Með núverandi uppfærslu er ný samþættingaraðgerð fyrir Slack, MS Teams, Zapier og n8n nú í boði fyrir þig í kerfinu. Aðgerðin lætur þig vita á þægilegan hátt í Slack, Teams eða einhverju öðru tóli um mikilvægar breytingar og fréttir (t.d. nýjar vafrakökur fundust) á CMP reikningnum þínum. […]