Švýcarský FADP: Rozsah, změny v roce 2023 a jak dosáhnout souladu

Švýcarská odpověď na GDPR – nedávno aktualizovaný Federální zákon o ochraně dat (FADP) – byl modernizován tak, aby odpovídal rychle se měnícímu světu jedniček a nul, ve kterém dnes žijeme. Poprvé představen v roce 1992, letos konečně plně dohnal výzvy, kterým čelíme v digitálním světě.

Co to znamená pro vás a vaše podnikání? Jak se FADP změnil a v čem se liší od GDPR EU?

Význam FADP pro podniky

FADP, klíčový švýcarský předpis o ochraně osobních údajů, prošel od svého vzniku v roce 1992 jen několika mírnými revizemi – až do nyní. Mnohem významnější aktualizace z roku 2023 odráží důležitost přizpůsobení se současným digitálním potřebám, doplněná netradičním systémem důsledků za úniky dat.

Pro podniky vstupující na švýcarské území to znamená dodržování přísných pravidel pro zpracování osobních údajů. Podobně jako GDPR FADP odráží potřebu chránit osobní informace. Zachovává si však své jedinečné principy přizpůsobené specifickému švýcarskému prostředí.

Obecně FADP poskytuje jednotlivcům ve Švýcarsku tato základní práva nad jejich osobními údaji:

• Právo na informace: Jednotlivci mají právo vědět, zda jsou jejich osobní údaje zpracovávány, za jakým účelem a kdo k nim má přístup.
• Právo na přístup: Jednotlivci mohou požádat o přístup ke svým osobním údajům a podrobnostem o tom, jak jsou používány.
• Právo na opravu: Jednotlivci mají právo požadovat opravy nebo aktualizace nepřesných nebo neúplných osobních údajů.
• Právo na výmaz: Známé také jako „právo být zapomenut", jednotlivci mohou požadovat smazání nebo odstranění osobních údajů, pokud neexistuje žádný pádný důvod pro jejich další zpracování.
• Právo vznést námitku: Jednotlivci mohou vznést námitku proti zpracování svých osobních údajů v určitých situacích, jako je přímý marketing.
• Právo na přenositelnost dat: Toto právo umožňuje jednotlivcům snadno přesouvat, kopírovat nebo přenášet osobní údaje z jednoho IT prostředí do druhého bezpečným způsobem, aniž by to ohrozilo použitelnost.
• Práva při automatizovaném rozhodování: Jednotlivci mají práva, když jsou rozhodnutí činěna výhradně automatizovanými prostředky bez lidského zapojení.

Revidovaný FADP přináší zásadní změny, které kladou důraz na transparentnost, odpovědnost a zodpovědnost společností. Jednotlivcům slibuje rozšířená datová práva a zajišťuje kontrolu nad používáním a uchováváním jejich osobních informací.

Pro společnosti, které již splňují GDPR EU, ustanovení v novém FADP nepředstavují velký problém. Je však určitě dobré být si vědom toho, co je nového a jak se vaše společnost bude muset přizpůsobit.

Prozkoumání klíčových změn v revidovaném FADP

Pojďme se podívat na klíčové změny FADP a porozumět významu těchto předpisů pro vaše podnikání a jednotlivce, jejichž data zpracováváte.

Rozsah a aplikace

Došlo k zásadní změně v subjektech, které FADP chrání. Dříve chránil data jednotlivců i právnických osob, nyní chrání výhradně osobní informace fyzických osob. Soustředěním se na ochranu individuálních dat zajišťuje nový FADP cílenější přístup k ochraně osobních informací.

Revidovaný FADP rovněž rozšiřuje svůj rozsah na zpracování osobních údajů, které „má účinek ve Švýcarsku", bez ohledu na zeměpisnou polohu organizace, která data shromažďuje. To se vztahuje i na zpracování dat prováděné zahraničními subjekty.

Privacy by Design a Default

Aktualizovaný FADP klade silný důraz na Privacy by Design a Default a vyžaduje, aby opatření na ochranu soukromí byla zabudována do návrhu produktů a služeb. Také nařizuje aktivaci vysokoúrovňových bezpečnostních opatření jako výchozího nastavení, čímž zajišťuje robustní ochranu dat od samého začátku.

Záznam zpracování dat a oznamování úniků

Podle FADP je vyžadováno vedení záznamů o zpracovatelských činnostech, čímž se zajišťuje transparentnost ohledně toho, jak jsou data zpracovávána. Přestože pro menší podniky existují určité výjimky, celkovým cílem je poskytnout komplexní pohled na postupy zpracování dat.

Také je v případě úniku zabezpečení dat povinné okamžité oznámení Federálnímu komisaři pro ochranu dat a informací.

Souhlas uživatele a žádosti o přístup

FADP klade důraz na zajištění, aby koncoví uživatelé rozuměli, jak jsou jejich data používána a shromažďována. Při získávání souhlasu musí organizace jasně sdělit práva a možnosti dostupné jednotlivcům.

Také zjednodušuje žádosti o přístup subjektů údajů tím, že odstraňuje nutnost, aby poskytovali informace o sobě. Kdykoli může jakýkoli jednotlivec se zeptat, jaké informace o něm jsou shromažďovány, proč a jak jsou používány.

Mezinárodní přenosy dat a posouzení soukromí

Od září 2023 platí nová přísná pravidla, která upravují přenos dat přes hranice a kladou důraz na potřebu schválení Švýcarskou federální radou. Revidovaný FADP navíc zavádí Posouzení dopadu na ochranu dat (DPIA) k posouzení vysoce rizikového zpracování, čímž zdůrazňuje zásadní důležitost soukromí a bezpečnosti.

Profilování a kategorie citlivých dat

Aktualizovaný FADP vyžaduje výslovný souhlas pro vysoce rizikové profilování. Také rozšiřuje rozsah citlivých osobních údajů a nyní zahrnuje informace související s administrativními nebo trestními řízeními, sankcemi a opatřeními sociálního zabezpečení. Pod záštitu citlivých informací spadají i genetické a biometrické údaje.

Pokuty za nedodržení

Za nedodržení mohou odpovědní soukromí jednotlivci čelit pokutám až 250 000 CHF, zatímco společnosti mohou čelit trestní odpovědnosti a pokutám až 50 000 CHF, pokud identifikace odpovědných jednotlivců vyžaduje nepřiměřené úsilí.

Sankce a tresty

A nyní část, která může vyvolat zvednutá obočí: nový systém sankcí a trestů. Pozoruhodné je, že odpovědní jednotlivci v podnicích – nikoli samotný podnik, ale odpovědná osoba – mohou čelit pokutám až 250 000 CHF (přibližně 270 000 USD) za nedodržení.

V případech, kdy identifikace odpovědných jednotlivců v rámci organizace představuje nepřiměřené výzvy, mohou podniky ve skutečnosti čelit trestní odpovědnosti místo toho. Pokud k tomu dojde, subjektům mohou být uloženy pokuty až 50 000 CHF (přibližně 53 000 USD), což zdůrazňuje potřebu, aby podniky zjednodušily odpovědnost a jasně přidělily role v ochraně dat.

Jak dosáhnout souladu s novým FADP

Nyní, když máte lepší porozumění FADP a jeho nedávným změnám, pojďme si promluvit o tom, co můžete udělat pro to, aby vaše organizace splňovala jeho požadavky. Začněte těmito kroky:

1. Provedení datového auditu: Začněte posouzením vašich postupů nakládání s daty. Identifikujte a zdokumentujte typy osobních a citlivých dat, která jsou shromažďována, zpracovávána a ukládána, a také účely, k nimž jsou používána.
2. Revize a aktualizace zásad ochrany soukromí: Zajistěte, aby vaše zásady ochrany soukromí byly jasné, aktuální a v souladu s novými předpisy FADP. Měly by jednotlivce informovat o používání dat, zpracování a jejich právech ohledně jejich informací.
3. Jmenování pověřence pro ochranu osobních údajů: Ačkoli to není povinné, mít vyhrazeného DPO může výrazně pomoci ve správě souladu, poskytování vodítek a působit jako kontaktní osoba s úřady.
4. Zavedení posouzení dopadu na ochranu dat: Vyhodnoťte dopad vysoce rizikových zpracovatelských činností na soukromí jednotlivců. To zajišťuje proaktivní zmírňování rizik a soulad s novým zákonem.
5. Rychlé řešení individuálních obav: Buďte vstřícní k žádostem jednotlivců o jejich osobních údajích a respektujte jejich práva podle FADP.
6. Zůstaňte informováni: Sledujte další pokyny nebo směrnice vydané švýcarskými úřady pro účinné dodržování.

Praktické tipy pro přizpůsobení se aktualizovaným pravidlům FADP:

• Vzdělávání a školení: Vzdělávejte své zaměstnance o zabezpečení dat obecně a o požadavcích revidovaného FADP a jejich rolích při zajišťování souladu konkrétně. Zdůrazněte důležitost respektování práv jednotlivců na soukromí. Podporujte ve své organizaci kulturu ochrany soukromí a respektu.
• Zavedení postupů souhlasu: Vyvinujte jasné postupy pro získávání a zaznamenávání souhlasu subjektu údajů. Zajistěte, aby jednotlivci rozuměli tomu, s čím souhlasí ohledně zpracování dat.
• Posílení opatření zabezpečení dat: Posilte své protokoly zabezpečení dat a zajistěte, aby tato opatření byla aktivována ve výchozím nastavení v souladu s principy „Privacy by Design" a „Privacy by Default".
• Pravidelné kontroly souladu: Provádějte pravidelné revize svých bezpečnostních systémů a zásad pro zajištění průběžného dodržování FADP. Pokud objevíte jakékoli nesrovnalosti nebo mezery, proveďte rychlé úpravy svých zásad.

Srovnání FADP a GDPR

Jak FADP, tak a GDPR EU upřednostňují ochranu soukromí dat a stanovují vysoké standardy pro shromažďování, zpracování a ochranu osobních informací. Sdílí základní cíle ochrany soukromí dat a dodržování individuálních datových práv. Vždy se však neshodují v tom, jak jsou tyto principy implementovány. Pokud tomu tak je, nový FADP je obvykle z těchto dvou přísnější.

Hlavní rozdíly mezi aktualizovaným FADP a GDPR jsou:

• Sankce a tresty: Podle FADP podléhají odpovědní soukromí jednotlivci pokutám až 250 000 CHF, zatímco GDPR ukládá sankce organizacím, které mohou dosáhnout 4 % jejich celosvětových ročních příjmů nebo 20 milionů eur.
• Pověřenci pro ochranu osobních údajů: Na rozdíl od GDPR FADP nečiní jmenování pověřence pro ochranu osobních údajů povinným, ačkoli je to silně doporučováno.
• Oznámení o úniku dat: Oba předpisy nařizují rychlé oznámení úřadům v případě úniku dat, čímž zajišťují transparentnost a rychlou reakci v případě bezpečnostního incidentu. Ale na rozdíl od GDPR, které vydává 72hodinový termín pro oznámení, FADP nedává přesnou časovou lhůtu, ale namísto toho požaduje, aby oznámení bylo provedeno „bez zbytečného odkladu".

Jak Safetica může pomoci podnikům dosáhnout souladu s FADP

Safetica nabízí komplexní řešení ochrany dat, která jsou navržena tak, aby pomohla podnikům zajistit soulad s předpisy o ochraně dat. S funkcemi pokrývajícími prevenci ztráty dat, transparentní datové audity a sledování aktivity uživatelů software Safetica podporuje společnosti při dodržování složitostí zákonů o ochraně dat.

Ať už se jedná o udržování jasného záznamu o zpracovatelských činnostech, poskytování bezpečnostních upozornění v reálném čase nebo prevenci úniků dat pomocí šifrování dat a kontrol přístupu, Safetica poskytuje nástroje šité na míru, které pomáhají podnikům dosahovat a udržovat soulad s revidovaným FADP. Náš software je snadný na použití, snadný na implementaci a snadný na pochopení.

Chápeme, že můžete mít zábrany; ochrana dat není legrace. Pokud chcete pro svou organizaci nejlepší řešení, proč se nepodívat, co pro vás můžeme udělat, na demo hovoru.