Thụy Sỹ: Đáp ứng bảo vệ dữ liệu theo tiêu chuẩn quốc tế

Chặt chẽ, toàn diện hơn

Luật bảo vệ dữ liệu của Thụy Sỹ bắt nguồn từ pháp luật dân sự bảo vệ các quyền cá nhân được quy định bởi Điều 28 của Bộ luật Dân sự Thụy Sỹ. Về bản chất, các nguyên tắc xử lý dữ liệu được quy định trong luật cung cấp khả năng bảo vệ chống lại các hành vi xâm phạm quyền nhân thân (quyền riêng tư về dữ liệu) thông qua việc sử dụng quá nhiều dữ liệu cá nhân. Ở nước này, quyền riêng tư được bảo đảm ở Điều 12 của Hiến pháp.

Luật Bảo vệ dữ liệu liên bang sửa đổi năm 2020 tăng cường khả năng bảo vệ dữ liệu cá nhân, đồng thời đáp ứng những tiến bộ và phát triển công nghệ trong các tiêu chuẩn bảo vệ dữ liệu quốc tế (bao gồm Luật Bảo vệ dữ liệu chung của Liên minh châu Âu - GDPR). Nó cũng tăng tính minh bạch trong các hoạt động xử lý dữ liệu, mở rộng các quy tắc quản trị và quy trình cho cả bên kiểm soát dữ liệu lẫn bên xử lý dữ liệu. Luật mới cũng quy định các khoản tiền phạt nặng hơn đối với những vi phạm cụ thể.

Những nội dung sửa đổi chính

Trước hết, đó làcủng cố quyền cá nhân bằng cách nâng cao các nghĩa vụ thông tin. Cụ thể, các cá nhân (tại thời điểm thu thập dữ liệu) phải được thông báo về danh tính và thông tin liên hệ của bên kiểm soát dữ liệu; (các) mục đích xử lý; danh tính của người nhận (hoặc danh mục của người nhận) trong trường hợp tiết lộ cho bên thứ ba; và quyền tài phán nơi dữ liệu được chuyển đến cùng các biện pháp bảo vệ được thực hiện, nếu có, trong trường hợp tiết lộ xuyên biên giới.

Bên cạnh đó, quyền can thiệp mới trong trường hợp ra quyết định tự động cũng được đưa ra. Chẳng hạn, các cá nhân phải được thông báo về các quyết định chỉ dựa trên xử lý dữ liệu tự động và có ảnh hưởng pháp lý hoặc ảnh hưởng đáng kể đến họ.

Ngoài ra, luật sửa đổi còn bao gồm quyền mới đối với tính khả chuyển dữ liệu: Các cá nhân có quyền nhận dữ liệu cá nhân của riêng mình ở định dạng điện tử được sử dụng phổ biến, trong đó việc xử lý được thực hiện bằng các phương tiện tự động và dựa trên sự đồng ý…

Thứ hailà các quy định về xử lý và quản trị mở rộng: Bên kiểm soát dữ liệu và bên xử lý dữ liệu phải duy trì hồ sơ về các hoạt động xử lý dữ liệu thuộc trách nhiệm của mình. Miễn trừ được áp dụng cho các công ty có ít hơn 250 nhân viên trong trường hợp xử lý dữ liệu rủi ro thấp. Nhiệm vụ mới này thay thế nhiệm vụ cũ là thông báo các tệp dữ liệu cho (và đăng ký với) Ủy viên Thông tin và Bảo vệ dữ liệu Liên bang (FDPIC). Ủy viên này do Hội đồng Liên bang bổ nhiệm nhiệm kỳ 4 năm với sự thông qua của Quốc hội.

Ngoài ra, bên kiểm soát dữ liệu nói chung có thể chỉ định việc xử lý dữ liệu cho một bên xử lý theo thỏa thuận hoặc theo luật. Tuy nhiên, bên xử lý không được giao kết với một bên xử lý phụ nào mà không có sự đồng ý trước của bên kiểm soát dữ liệu.

Liên quan đến đánh giá tác động bảo vệ dữ liệu, bên kiểm soát dữ liệu phải thực hiện việc này bất cứ khi nào thấy rằng hoạt động xử lý dữ liệu dự kiến ​​có khả năng dẫn đến rủi ro cao đối với nhân cách hoặc quyền cơ bản của một cá nhân (ví dụ trong trường hợp xử lý nhiều dữ liệu cá nhân nhạy cảm). Bên kiểm soát dữ liệu thường phải tham khảo ý kiến ​​của FDPIC trước khi xử lý nếu đánh giá tác động bảo vệ dữ liệu chỉ ra rằng quy trình dự kiến ​​có thể có tính chất rủi ro cao mặc dù đã áp dụng bất kỳ biện pháp bảo vệ nào.

Về vấn đề thông báo vi phạm dữ liệu: Các vi phạm dữ liệu có khả năng dẫn đến rủi ro cao đối với nhân cách hoặc các quyền cơ bản của (những) cá nhân có liên quan phải được thông báo cho FDPIC càng nhanh càng tốt. Khi cần thiết để bảo vệ cá nhân hoặc nếu được FDPIC yêu cầu, bên kiểm soát cũng phải thông báo cho các cá nhân tương ứng. Mặc dù luật sửa đổi của Thụy Sĩ không đưa ra thời hạn nhất định, nhưng theo quy định của GDPR, các vi phạm dữ liệu phải được thông báo cho cơ quan giám sát nếu khả thi trong vòng 72 giờ, trừ khi vi phạm không có khả năng dẫn đến rủi ro đối với các quyền và tự do của cá nhân.

Thứ ba, không còn đề cập đến dữ liệu cá nhân liên quan đến các pháp nhân.

Thứ tư, FDPIC được tăng thêm nhiệm vụ. Cụ thể, FDPIC có thẩm quyền đưa ra các khuyến nghị thực tiễn tốt và đưa ra các quyết định hành chính ràng buộc (ví dụ, sửa đổi hoặc chấm dứt việc xử lý dữ liệu bất hợp pháp). Hơn nữa, các hiệp hội nghề nghiệp, lĩnh vực và thương mại có thể đệ trình các quy tắc ứng xử lên FDPIC để lấy ý kiến ​​công chúng. Tuy nhiên, dữ liệu cá nhân (liên quan đến chuyển khoản xuyên biên giới) sẽ được chuyển đến Hội đồng Liên bang. Không giống như hầu hết các cơ quan bảo vệ dữ liệu châu Âu khác, FDPIC vẫn không thể áp dụng bất kỳ khoản phạt (hành chính) nào.

Cuối cùng, tăng cường chế tài. Chẳng hạn, tiền phạt cho hành vi cố ý vi phạm được tăng lên đáng kể, lên tới 10.000 CHF (đối với vi phạm một số nhiệm vụ hạn chế) và lên đến 250.000 CHF đối với danh mục phạm tội rộng hơn (không tuân thủ mệnh lệnh và nhiệm vụ liên quan đến thông tin, tiết lộ hoặc hợp tác để vi phạm bí mật nghề nghiệp..). Tuy nhiên, bất kỳ khoản tiền phạt nào như vậy đều phải được đưa ra tòa án có thẩm quyền. Nếu một khoản tiền phạt không vượt quá 50.000 CHF và hành vi vi phạm được thực hiện trong một doanh nghiệp, công tố viên có thể quyết định không truy tố người chịu trách nhiệm và thay vào đó, doanh nghiệp phải chịu trách nhiệm về việc thanh toán tiền phạt. Theo tỷ giá hiện tại, 1 CHF vào khoảng 1,13 USD.