August 17, 2025
3 min read
قانون فدرال اصلاحشده حفاظت از دادهها (FADP)، که از ۱ سپتامبر ۲۰۲۳ لازمالاجرا است، نشاندهنده تحولی چشمگیر در قانون حفاظت از دادههای سوئیس است و آن را بیشتر با مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) همسو میکند. بحث زیر، تغییرات اصلی و پیامدهای آن را برای سازمانهایی که دادههای شخصی را در سوئیس یا با تأثیر بر آن پردازش میکنند، خلاصه میکند.
دامنه حفاظت:
nFADP پوشش خود را منحصراً به دادههای شخصی اشخاص حقیقی محدود میکند و صراحتاً دادههای مربوط به اشخاص حقوقی را مستثنی مینماید (ماده ۲ nFADP). این تغییر، در مقایسه با نسخه پیشین، دامنه کاربرد قانون را محدودتر کرده و تلاشهای نظارتی را بر حریم خصوصی افراد متمرکز میکند.
کاربرد فرامرزی:
این قانون بر تمام پردازشهای دادههای شخصی که در سوئیس «اثرگذار» است، صرفنظر از محل فیزیکی پردازش، اعمال میشود. این «دکترین آثار» مشابه اصل فرامرزی بودن GDPR است و حمایت از ساکنان سوئیس را حتی زمانی که دادههایشان در خارج از کشور پردازش میشود، تضمین میکند (Bühler & Pärli، ۲۰۲۳).
تعهدات شفافیت:
کنترلکنندگان باید اعلامیههای حریم خصوصی جامعی به صاحبان داده ارائه دهند که در آن ماهیت و هدف پردازش، گیرندگان دادهها و افشای فرامرزی دادهها تشریح شده باشد (ماده ۱۹ nFADP). این الزام وظایف اداری سازمانها را افزایش میدهد و در عین حال آگاهی و کنترل افراد بر دادههایشان را تقویت میکند.
حریم خصوصی در طراحی و بهطور پیشفرض:
این قانون رسماً اصول حریم خصوصی در طراحی و حریم خصوصی بهطور پیشفرض را معرفی میکند (ماده ۷ nFADP). سازمانها اکنون قانوناً موظف هستند که حفاظت از دادهها را از همان ابتدا در فعالیتهای پردازشی و سیستمهای فناوری اطلاعات خود ادغام کنند و اطمینان حاصل نمایند که بهطور پیشفرض، تنها دادههای شخصی ضروری پردازش میشوند.
ارزیابی تأثیر حفاظت از داده (DPIA):
انجام DPIA زمانی الزامی میشود که پردازش مورد نظر احتمالاً منجر به ریسک بالایی برای حقوق و آزادیهای صاحبان داده شود (ماده ۲۲ nFADP). این موضوع مشابه ماده ۳۵ GDPR است و هدف آن شناسایی و کاهش پیشگیرانه ریسکها است.
تصمیمگیری خودکار:
اگر تصمیمات صرفاً بر اساس پردازش خودکار اتخاذ شوند، صاحبان داده باید مطلع شده و به آنها فرصت داده شود تا دیدگاه خود را بیان کرده یا به تصمیم اعتراض کنند (ماده ۲۱ nFADP). این ماده حقوق فردی را در زمینه تصمیمگیریهای الگوریتمی و مبتنی بر هوش مصنوعی تقویت میکند.
بنابراین، nFADP قانون حفاظت از دادههای سوئیس را به استانداردهای اروپایی، بهویژه GDPR، نزدیکتر میکند و در عین حال ویژگیهای متمایزی را متناسب با بافت سوئیس معرفی مینماید. الزامات آن سطح انطباق را برای سازمانها افزایش داده و قطعیت حقوقی را برای انتقالهای فرامرزی دادهها تقویت میکند، که این امر برای حفظ وضعیت کفایت سوئیس نزد اتحادیه اروپا حیاتی است (کمیسیون اروپا، ۲۰۲۳).
