Hvad er DSG?
Den schweiziske databeskyttelseslov (DSG) er nu en revideret version af den første DSG, som trådte i kraft i 1992. Fra 1. september 2023 træder den nye lov i kraft med de reviderede og opdaterede ændringer for at afspejle de aktuelle behov i nutidens internetmiljø. Formålet med denne forordning er at beskytte privatlivets fred og grundlæggende rettigheder for de personer, hvis data behandles.
“Denne lov har til formål at beskytte privatlivets fred og grundlæggende rettigheder for fysiske personer, om hvem der behandles personoplysninger.”
De væsentligste ændringer i forhold til den første udgivelse er, at virksomheder nu skal forklare, hvorfor de indsamler persondata fra deres kunder, og at de tydeligt skal angive, hvilke tredjeparter der er involveret i at dele deres persondata. Enkeltpersoner har også nu ret til at vide, hvor længe deres data vil blive opbevaret og til hvilket formål.
Hvem gælder DSG for?
DSG gælder for fysiske personer (tidligere juridiske personer) og for kommercielle og ikke-kommercielle organisationer, der behandler personoplysninger om schweiziske borgere.
Det geografiske omfang af DSG fungerer på samme måde som GDPR. Den nøjagtige definition her er, at denne bekendtgørelse gælder for databeskyttelsessager, der “har virkninger i Schweiz, selvom de er forårsaget i udlandet”.
…”som har effekt i Schweiz, selvom de er igangsat i udlandet”.
Forpligtelser i henhold til DSG
Dataansvarliges og databehandleres forpligtelser
Sammenlignet med kravene i GDPR, kræver DSG nu, at virksomhederne skal oprette en “registrering af behandlingsaktiviteter” (Art. 12 DSG). Den ansvarlige og ordrebehandleren er primært ansvarlig for dette. Denne skal indeholde følgende:
- De ansvarlige personers identitet
- formålet med databehandlingen
- Beskrivelse af kategorier af registrerede og persondata
- kategori af modtagere
- hvis det er muligt, opbevaringsperioden for de personlige data eller de kriterier, der er brugt til at bestemme denne periode;
- om muligt en generel beskrivelse af de foranstaltninger, der er truffet for at sikre datasikkerheden
- hvis data overføres til udlandet, angivelse af land og de garantier, der sikrer tilstrækkelig databeskyttelse.
den registreredes rettigheder
Som allerede nævnt fokuserer denne lov på beskyttelsen af den registreredes personoplysninger. Den registrerede er således beskyttet med følgende rettigheder:
- retten til at modtage information om behandlingen af dine personoplysninger (artikel 25-27 revDSG),
- ret til at anmode den ansvarlige om at udlevere sine personoplysninger eller gratis at videregive dem i maskinlæsbar form til en anden ansvarlig. (Artikel 28 og 29 revDSG),
- retten til, at hans data ikke vil blive brugt til automatiserede individuelle beslutninger, hvor algoritmer bruges, uden at et menneske griber ind i processen (art. 21 revDSG),
- Hvis der behandles følsomme personoplysninger eller oprettes personlighedsprofiler, skal samtykke gives udtrykkeligt. Den registreredes samtykke er påkrævet.
Håndhævelse af DSG
Rollen som den føderale databeskyttelses- og informationskommissær (FDPIC)
FDPIC er ansvarlig for anvendelsen af og overholdelse af FADP. Han er også ansvarlig for afklaring, rådgivning og beskyttelse af personoplysninger i Schweiz. Agenturet er udpeget af Bundesrat (den schweiziske føderale regerings udøvende organ).
Sanktioner og bøder for lovovertrædelser
Hvis en person overtræder lovene i DSG, vil de blive idømt en bøde på op til CHF 250.000. Som med GDPR er straffen ikke bundet til virksomheden, men til den ansvarlige fysiske person.
Hvad du skal gøre for at overholde DSG
Start nu, og sørg for, at du er klar, inden FADP træder i kraft i september 2023. Virksomheder med base i Schweiz, eller hvis du driver forretning i Schweiz, bør træffe følgende foranstaltninger:
- Registrer alle dine databehandlingsaktiviteter, der er relevante for loven.
- Har en gyldig privatlivspolitik, der opfylder alle kravene i GDPR.
- Sørg for at udpege en databeskyttelsesansvarlig (DPO), som fastsætter politikker og procedurer i overensstemmelse med FDPIC.
- Hvis du har brug for at indhente samtykke til at behandle personoplysninger, skal du sikre dig, at du bruger en CMP, der tillader, at gyldigt samtykke registreres og opbevares. Det samtykke, der skal indhentes, kan vises i form af et samtykkebanner, der skal vises ved brugerens første besøg på din netbutik eller virksomhedshjemmeside.
Konklusion
Ikke overraskende bliver den nuværende version af DSG redesignet for at følge med den teknologiske udvikling. Og selvom du allerede er i overensstemmelse med GDPR, skal du muligvis stadig gøre noget. Sørg for, at din organisation overholder kravene og har et juridisk kompatibelt samtykkeværktøj på plads.
Du er ikke helt sikker på, om din virksomhed opfylder de kommende krav i DSG? Tal med en af vores eksperter eller tjek med vores samtykkestyringsværktøj her .
