警钟 – 新的瑞士数据保护法于 2023 年 9 月 1 日生效

瑞士议会于 2020 年秋季批准了《联邦数据保护法》（瑞士议会就新数据保护法案草案达成一致）。联邦司法部近日通报称，新法将于 2023 年 9 月 1 日生效。


虽然一些利益相关者对日期被进一步推迟表示失望，但也有对延迟的积极影响。nDPA 没有规定法定过渡期，这意味着受 nDPA 约束的组织只有一年多的时间来实施修订后的法律。通用数据保护条例 (GDPR) 的经验表明，实施过程非常耗时，公司应利用非正式过渡期，立即开始实施。


此外，鉴于《数据保护法》(nDPAO) 条例草案引起的严厉批评，人们寄希望于额外的时间将使联邦委员会能够投入大量精力起草考虑到这些因素的 nDPAO 最终版本。注释。


我们公司已经符合 GDPR；还有什么事情要做吗？


已经遵守 GDPR 的公司肯定会具有优势，因为 nDPA 采用了 GDPR 下已知的许多原则和义务。如需更多信息，请参阅我们最近的出版物（第 2 部分：修订以匹配欧盟通用数据保护条例 - 或几乎）。在这种情况下，公司可以在为遵守 GDPR 所做的工作的基础上，开始审查其现有的 GDPR 文档，并在必要时将其调整为瑞士法律。此外，在 GDPR 超出瑞士数据保护法的情况下，公司将不得不决定是否要自始至终遵循更严格的 GDPR 方法，或者是否希望对其实体采用瑞士法律规定的更务实、更温和的方法。仅受 nDPA 约束。


我们公司不符合 GDPR。现在怎么办？


对于尚未遵守 GDPR 的公司，我们建议采用以下方法：


数据流映射：开始识别 (1) 处理的个人数据的类型，包括任何敏感的个人数据，(2) 此类个人数据的存储位置，以及 (3) 可以在内部和外部访问该个人数据的人员，包括任何来自国外的访问。
文档：准备符合 nDPA 的文档，例如清单、隐私声明、必要的数据影响评估和数据传输协议。
技术和组织措施：制定内部政策和技术措施以充分保护个人数据，包括培训您的任何员工。典型的例子是关于如何处理数据主体的数据访问请求的数据泄露响应计划和内部程序。
数据保护官 (DPO)：考虑为您的公司或实体指定 DPO，以确保持续遵守 nDPA。
很多。我们应该从哪里开始？


在优先级方面，我们建议重点关注根据 nDPA 受到刑事制裁的义务。因此，公司应首先实施以下措施：


透明度义务：隐私声明，尤其是那些公开可见的，例如网站隐私声明
访问权：关于如何响应数据主体请求的内部政策
外包：与第三方供应商续签或签订数据处理协议
国际数据传输：确定数据流和制定标准合同条款的必要性 进行任何数据传输影响评估
数据安全：保护个人数据（包括遵守最近出台的第 74 条医疗器械条例关于网络安全的要求）
我们是瑞士以外的组织。我们为什么要关心？


nDPA 具有广泛的适用范围，因为它适用于在瑞士产生影响的所有个人数据处理，即使它发生在国外，例如，由在国外设立实体的实体处理瑞士公民的个人数据. 因此，拥有瑞士员工或对瑞士研究对象进行临床试验的公司可能会受到 nDPA 的约束，甚至可能需要在瑞士任命一名代表。