瑞士议会在2020年议会中通过了修订的联邦数据保护法(FADP),该法案应该在2022年下半年生效。瑞士监督机构,联邦数据保护和信息专员(FDPIC)发表了一个概述可用的重要修订的文件 这里。

修订的FADP(Revfadp)仅涵盖自然人的数据保护,包括遗传和生物识别数据的新定义,就像GDPR一样。 RevfAdp还通过设计(通过技术设计)和默认方式包含隐私原则。 FDPIC强调这种机制应该是“通过使用客户友好的”程序,帮助数据保护。

艺术。 10个Revfadp需要任命在业务范围内或从外包提供商内或没有利益冲突的数据保护人员(DPO)。与GDPR不同,可选择为私营企业任命DPO,但是联邦机构的法律要求。如果DPO被认为是专业独立的,自主和任务与他们的角色兼容,遵循数据保护影响评估(DPIA),一项业务可以完全依赖内部建议,而无需咨询FDPIC,即使在持续高位风险。私营部门控制器只有在计划的处理涉及数据受试者的隐私或权利的高风险时,才需要进行DPIA,例如在处理敏感数据中。如果DPIA评估风险,那么控制员必须从可能包括添加或提出修改措施的FDPIC中获得意见,但只有它没有达到的,或者没有与其DPO咨询的地方。

同样类似于GDPR,现在需要数据控制器和处理器来记录所有数据处理活动(第12条)。除非可以放心,除非可以放心,否则跨境纳入第三国的数据仍然仅限于联邦委员会的适当保护清单。

RevfAdp与GDPR透明度要求对齐,在处理数据之前提供给个体的信息控制器,但包括数据转移到第三国的其他要求 - 即关于法律的信息以及适当水平的数据保护担保的信息应该提供。此外,只有偶然收集的个人数据,“沿途”或法律豁免豁免透明度要求。在GDPR下的数据主题权限在Revfadp中复制。数据的权利不适用于披露或将数据传输到另一个控制器的披露或传输将导致不成比例的成本或努力。

就像在GDPR中一样,如果对数据主体的隐私或基本权利存在不利影响的强风险,则有义务向FDPIC报告安全数据违约,这是一个比GDPR下的报告阈值更高的报告阈值。控制器可以自愿向FDPIC报告违约,其中风险不高。虽然FDPIC有义务调查所有违反RevFADP的行为,但不会公开调查轻微的违规行为。

在艺术下。 51 RevFADP的第1段,FDPIC可以对处理器和控制器进行程序,订单更改数据处理,甚至命令删除个人数据。 FDPIC还具有新的权力,要求组织通知数据受试者关于数据安全漏洞的数据,以前只能向瑞士法院提交此事。控制人员和处理器有向联邦行政法院提出上诉的权利,但FDPIC可能会竞争这一点。就像GDPR一样,艺术。 11 FADP激励机构制定自己的行为准则,并将其提交给FDPIC以获得意见。

新的FADP为有意违反它的人提供了最多250,000瑞士法郎的私人罚款;疏忽没有制裁。 FDPIC可以在诉讼程序中举报私人申请人的罪行和强制执行权,但不能提出投诉。即使是FDPIC的话,Revfadp也伴随着GDPR光。