Fadp Thụy Sĩ là gì?

Luật Liên bang sửa đổi về Bảo vệ Dữ liệu (FADP), có hiệu lực từ ngày 1 tháng 9 năm 2023, đại diện cho một bước tiến quan trọng trong luật bảo vệ dữ liệu của Thụy Sĩ, đưa nó tiệm cận hơn với Quy định Chung về Bảo vệ Dữ liệu của Châu Âu (GDPR). Phần thảo luận sau đây tóm tắt những thay đổi chính và ý nghĩa của chúng đối với các tổ chức xử lý dữ liệu cá nhân tại hoặc ảnh hưởng đến Thụy Sĩ.

• Phạm vi Bảo vệ:
  Luật nFADP giới hạn phạm vi áp dụng của mình chỉ đối với dữ liệu cá nhân của thể nhân, loại trừ rõ ràng dữ liệu liên quan đến pháp nhân (Điều 2 nFADP). Sự thay đổi này thu hẹp phạm vi áp dụng của luật so với phiên bản trước đó, tập trung các nỗ lực quản lý vào quyền riêng tư của cá nhân.

• Áp dụng ngoài lãnh thổ:
  Luật này áp dụng cho tất cả hoạt động xử lý dữ liệu cá nhân “có ảnh hưởng” tại Thụy Sĩ, bất kể việc xử lý diễn ra ở đâu về mặt vật lý. "Học thuyết ảnh hưởng" này phản ánh tính chất áp dụng ngoài lãnh thổ của GDPR, đảm bảo việc bảo vệ cho cư dân Thụy Sĩ ngay cả khi dữ liệu của họ được xử lý ở nước ngoài (Bühler & Pärli, 2023).

• Nghĩa vụ Minh bạch:
  Bên kiểm soát phải cung cấp thông báo bảo mật toàn diện cho các chủ thể dữ liệu, nêu chi tiết về bản chất và mục đích xử lý, bên nhận dữ liệu, và việc tiết lộ dữ liệu xuyên biên giới (Điều 19 nFADP). Yêu cầu này làm tăng nhiệm vụ hành chính cho các tổ chức đồng thời nâng cao nhận thức và quyền kiểm soát của cá nhân đối với dữ liệu của họ.

• Quyền riêng tư theo Thiết kế và Mặc định:
  Luật chính thức giới thiệu các nguyên tắc về quyền riêng tư theo thiết kế và quyền riêng tư theo mặc định (Điều 7 nFADP). Các tổ chức hiện có nghĩa vụ pháp lý phải tích hợp việc bảo vệ dữ liệu vào các hoạt động xử lý và hệ thống CNTT ngay từ đầu và đảm bảo rằng, theo mặc định, chỉ những dữ liệu cá nhân cần thiết mới được xử lý.

• Đánh giá Tác động Bảo vệ Dữ liệu (DPIA):
  DPIA trở thành bắt buộc khi việc xử lý dự kiến có khả năng gây ra rủi ro cao đối với các quyền và tự do của chủ thể dữ liệu (Điều 22 nFADP). Điều này tương tự với Điều 35 của GDPR và nhằm mục đích chủ động xác định và giảm thiểu rủi ro.

• Ra quyết định Tự động:
  Nếu các quyết định được đưa ra chỉ dựa trên cơ sở xử lý tự động, chủ thể dữ liệu phải được thông báo và có cơ hội bày tỏ quan điểm của mình hoặc phản đối quyết định đó (Điều 21 nFADP). Quy định này củng cố các quyền của cá nhân trong bối cảnh ra quyết định dựa trên thuật toán và trí tuệ nhân tạo.

Do đó, nFADP đưa luật bảo vệ dữ liệu của Thụy Sĩ đến gần hơn với các tiêu chuẩn của Châu Âu, đặc biệt là GDPR, đồng thời giới thiệu một số đặc điểm riêng biệt phù hợp với bối cảnh của Thụy Sĩ. Các yêu cầu của luật này nâng cao tiêu chuẩn tuân thủ cho các tổ chức và tăng cường tính chắc chắn pháp lý cho việc chuyển dữ liệu xuyên biên giới, điều này rất quan trọng để duy trì trạng thái tương đương của Thụy Sĩ với EU (Ủy ban Châu Âu, 2023).