August 17, 2025
2 min read
2023년 9월 1일부터 발효된 개정 연방 데이터 보호법(FADP)은 스위스 데이터 보호법의 중요한 발전을 의미하며, 유럽 일반 데이터 보호 규정(GDPR)에 더욱 부합하도록 개정되었습니다. 다음 논의는 주요 변경 사항과 이것이 스위스 내에서 또는 스위스에 영향을 미치는 개인 데이터를 처리하는 조직에 미치는 영향을 요약합니다.
보호 범위:
nFADP는 자연인의 개인 데이터에만 보호 범위를 한정하며, 법인 관련 데이터는 명시적으로 제외합니다(nFADP 제2조). 이러한 변화는 이전 버전에 비해 법의 적용 범위를 좁히고, 규제 노력을 개인의 프라이버시에 집중시킵니다.
역외 적용:
이 법은 데이터 처리가 물리적으로 어디에서 이루어지는지와 관계없이 스위스에 "영향을 미치는" 모든 개인 데이터 처리에 적용됩니다. 이러한 "효과 원칙"은 GDPR의 역외 적용 원칙을 반영하며, 스위스 거주자의 데이터가 해외에서 처리될 때에도 보호를 보장합니다(Bühler & Pärli, 2023).
투명성 의무:
처리자는 포괄적인 개인정보 처리방침을 데이터 주체에게 제공해야 하며, 처리의 성격과 목적, 데이터 수신자 및 국경 간 공개에 대해 자세히 설명해야 합니다(nFADP 제19조). 이 요건은 조직의 행정적 의무를 증가시키는 동시에 데이터에 대한 개인의 인식과 통제권을 강화합니다.
설계 및 기본 설정에 의한 개인정보 보호:
이 법은 설계 기반 개인정보 보호 및 기본 설정 기반 개인정보 보호 원칙을 공식적으로 도입합니다(nFADP 제7조). 이제 조직은 처음부터 데이터 보호를 처리 활동 및 IT 시스템에 통합하고, 기본적으로 필요한 개인 데이터만 처리되도록 보장할 법적 의무가 있습니다.
데이터 보호 영향 평가(DPIA):
예정된 처리가 데이터 주체의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 DPIA가 의무화됩니다(nFADP 제22조). 이는 GDPR 제35조를 반영하며, 위험을 사전에 식별하고 완화하는 것을 목표로 합니다.
자동화된 의사 결정:
결정이 전적으로 자동화된 처리에 기반하여 이루어지는 경우, 데이터 주체는 이를 통보받고 자신의 견해를 표현하거나 결정에 이의를 제기할 기회를 가져야 합니다(nFADP 제21조). 이 조항은 알고리즘 및 AI 기반 의사 결정의 맥락에서 개인의 권리를 강화합니다.
따라서 nFADP 는 스위스 데이터 보호법을 유럽 표준, 특히 GDPR에 더 가깝게 만들면서도 스위스 상황에 맞는 특정 고유 기능을 도입합니다. 이 법의 요건은 조직의 준수 기준을 높이고 국경 간 데이터 전송에 대한 법적 확실성을 강화하며, 이는 스위스가 EU와의 적정성 결정 을 유지하는 데 중요합니다(유럽 집행위원회, 2023).
