Czym jest Swiss Fadp?

Znowelizowana federalna ustawa o ochronie danych (FADP), obowiązująca od 1 września 2023 r., stanowi znaczącą ewolucję w szwajcarskim prawie o ochronie danych, bardziej zbliżając je do europejskiego ogólnego rozporządzenia o ochronie danych (GDPR). Poniższe omówienie podsumowuje główne zmiany i ich implikacje dla organizacji przetwarzających dane osobowe w Szwajcarii lub wpływających na Szwajcarię.

• Zakres ochrony:
  nFADP ogranicza swój zakres wyłącznie do danych osobowych osób fizycznych, wyraźnie wyłączając dane dotyczące osób prawnych (art. 2 nFADP). Ta zmiana zawęża zakres stosowania ustawy w porównaniu z jej poprzednią wersją, koncentrując wysiłki regulacyjne na prywatności osób fizycznych.

• Zastosowanie eksterytorialne:
  Ustawa ma zastosowanie do wszelkiego przetwarzania danych osobowych, które „wywiera skutek” w Szwajcarii, niezależnie od tego, gdzie fizycznie odbywa się przetwarzanie. Ta „doktryna skutku” odzwierciedla eksterytorialność GDPR, zapewniając ochronę mieszkańcom Szwajcarii, nawet gdy ich dane są przetwarzane za granicą (Bühler & Pärli, 2023).

• Obowiązki w zakresie przejrzystości:
  Administratorzy danych muszą dostarczać kompleksowe informacje o polityce prywatności osobom, których dane dotyczą, szczegółowo opisujące charakter i cel przetwarzania, odbiorców danych oraz transgraniczne ujawnienia danych (art. 19 nFADP). Wymóg ten zwiększa obowiązki administracyjne dla organizacji, jednocześnie zwiększając świadomość i kontrolę osób fizycznych nad swoimi danymi.

• Prywatność w fazie projektowania i domyślna prywatność:
  Ustawa formalnie wprowadza zasady privacy by design oraz privacy by default (art. 7 nFADP). Organizacje są teraz prawnie zobowiązane do uwzględniania ochrony danych w działaniach przetwarzania i systemach IT od samego początku oraz do zapewnienia, że domyślnie przetwarzane są tylko niezbędne dane osobowe.

• Ocena skutków dla ochrony danych (DPIA):
  Przeprowadzenie DPIA staje się obowiązkowe, gdy zamierzone przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą (art. 22 nFADP). Odzwierciedla to art. 35 GDPR i ma na celu proaktywne identyfikowanie i ograniczanie ryzyka.

• Zautomatyzowane podejmowanie decyzji:
  Jeżeli decyzje są podejmowane wyłącznie na podstawie zautomatyzowanego przetwarzania, osoby, których dane dotyczą, muszą być o tym informowane i mieć możliwość wyrażenia swojego stanowiska lub zakwestionowania decyzji (art. 21 nFADP). Przepis ten wzmacnia prawa jednostki w kontekście algorytmicznego i opartego na sztucznej inteligencji podejmowania decyzji.

Tym samym nFADP zbliża szwajcarskie prawo o ochronie danych do standardów europejskich, w szczególności GDPR, jednocześnie wprowadzając pewne charakterystyczne cechy dostosowane do kontekstu szwajcarskiego. Jej wymogi podnoszą poprzeczkę zgodności dla organizacji i zwiększają pewność prawną w zakresie transgranicznego przekazywania danych, co jest kluczowe dla utrzymania przez Szwajcarię statusu adekwatności wobec UE (Komisja Europejska, 2023).