August 17, 2025
3 min read
Переглянутий Федеральний закон про захист даних (FADP), що набув чинності 1 вересня 2023 року, є значним кроком у розвитку швейцарського законодавства про захист даних, що наближає його до Загального регламенту про захист даних (GDPR). Далі наведено короткий огляд основних змін та їхніх наслідків для організацій, що обробляють персональні дані у Швейцарії або діяльність яких впливає на неї.
Сфера захисту:
Новий FADP (nFADP) обмежує свою дію виключно персональними даними фізичних осіб, прямо виключаючи дані, що стосуються юридичних осіб (ст. 2 nFADP). Ця зміна звужує сферу застосування закону порівняно з його попередньою версією, зосереджуючи регуляторні зусилля на приватності фізичних осіб.
Екстериторіальне застосування:
Закон застосовується до всієї обробки персональних даних, яка «має наслідки» у Швейцарії, незалежно від того, де фізично відбувається обробка. Ця «доктрина наслідків» («effects doctrine») відображає екстериторіальність GDPR, забезпечуючи захист для мешканців Швейцарії, навіть коли їхні дані обробляються за кордоном (Bühler & Pärli, 2023).
Зобов'язання щодо прозорості:
Контролери повинні надавати суб'єктам даних вичерпні повідомлення про конфіденційність, в яких детально описується характер і мета обробки, одержувачі даних та транскордонне розкриття (ст. 19 nFADP). Ця вимога збільшує адміністративні обов'язки для організацій, водночас підвищуючи поінформованість та контроль фізичних осіб над своїми даними.
Конфіденційність за задумом та за замовчуванням:
Закон офіційно запроваджує принципи конфіденційності за задумом та конфіденційності за замовчуванням (ст. 7 nFADP). Тепер організації юридично зобов'язані інтегрувати захист даних в операції з обробки та ІТ-системи з самого початку, а також гарантувати, що за замовчуванням обробляються лише необхідні персональні дані.
Оцінка впливу на захист даних (DPIA):
Проведення DPIA стає обов'язковим, якщо запланована обробка може призвести до високого ризику для прав і свобод суб'єктів даних (ст. 22 nFADP). Це відповідає статті 35 GDPR і має на меті проактивне виявлення та зменшення ризиків.
Автоматизоване прийняття рішень:
Якщо рішення приймаються виключно на основі автоматизованої обробки, суб'єкти даних повинні бути поінформовані та мати можливість висловити свою точку зору або оскаржити рішення (ст. 21 nFADP). Це положення посилює права фізичних осіб у контексті прийняття рішень на основі алгоритмів та штучного інтелекту.
Таким чином, nFADP наближає швейцарське законодавство про захист даних до європейських стандартів, зокрема до GDPR, водночас запроваджуючи певні відмінні риси, притаманні швейцарському контексту. Його вимоги підвищують планку відповідності для організацій та посилюють правову визначеність для транскордонної передачі даних, що є критично важливим для збереження статусу адекватності Швейцарії в очах ЄС (Європейська комісія, 2023).
