FADP là gì? - Đạo luật liên bang mới về bảo vệ dữ liệu (nFADP)

Loi fédérale sur la protection des données
Bundesgesetz über den Datenschutz
Legge federale sulla protezione dei dati

Bạn cần biết gì?

• Không cần có sự đồng ý để thu thập/xử lý dữ liệu trong mọi trường hợp.
• Có hiệu lực từ ngày 1/9/2023.
• Áp dụng cho thể nhân (không còn cho pháp nhân) và các thực thể thương mại và phi thương mại xử lý dữ liệu của công dân Thụy Sĩ.
• Các thực thể chịu trách nhiệm xử lý dữ liệu tuân thủ ngay cả khi họ sử dụng bên thứ ba (như nhà cung cấp) để làm điều đó.
• Tất cả các bộ xử lý phải thực hiện các biện pháp tổ chức và kỹ thuật hợp lý để đảm bảo quyền riêng tư và bảo mật dữ liệu.
• Áp dụng cho dữ liệu trong cả tệp vật lý và điện tử.
• Luật ngoài lãnh thổ, các thực thể xử lý dữ liệu cá nhân không nhất thiết phải có trụ sở tại Thụy Sĩ.
• Cấm chuyển dữ liệu cá nhân từ Thụy Sĩ sang các quốc gia mà họ không có thỏa thuận đầy đủ trừ khi có được sự đồng ý rõ ràng của người dùng từ chủ thể dữ liệu.

Nguyên tắc thông báo

Trước khi bất kỳ việc thu thập dữ liệu nào diễn ra, các cá nhân cần được thông báo, bất kể sự đồng ý của họ có cần thiết cho việc xử lý dữ liệu tiếp theo hay không.

Các doanh nghiệp phải chia sẻ minh bạch các chi tiết sau, có thể trên trang web chính sách bảo mật chuyên dụng, đây cũng là tiêu chí thiết yếu để có được sự đồng ý hợp lệ:

• Ai kiểm soát dữ liệu: công ty hoặc bên ngoài.

• Cách liên hệ với bên kiểm soát dữ liệu.

• Ai nhận dữ liệu và bất kỳ bên nào khác tương tác với tập dữ liệu.

• Quốc gia của người nhận nếu dữ liệu sẽ được gửi qua biên giới.

• Lý do đằng sau việc thu thập và sử dụng dữ liệu.

• Các danh mục dữ liệu liên quan đang được thu thập.

• Dữ liệu đang được thu thập như thế nào, nếu có.

• Lý do pháp lý cho việc xử lý, nếu có.

• Các quyền mà các cá nhân có liên quan đến dữ liệu của họ theo FADP, bao gồm khả năng từ chối hoặc rút lại sự đồng ý.

Nguyên tắc về sự đồng ý

Trái ngược với GDPR, FADP cho phép các thực thể xử lý dữ liệu cá nhân mà không có nền tảng pháp lý riêng biệt trừ khi các điều kiện cụ thể được đáp ứng. Các tình huống cần có sự đồng ý bao gồm:

• Quản lý dữ liệu cá nhân nhạy cảm.

• Các hoạt động lập hồ sơ rủi ro cao được thực hiện bởi các cá nhân.

• Lập hồ sơ các nhiệm vụ được thực hiện bởi một tổ chức liên bang (chính phủ).

• Chia sẻ dữ liệu cho các quốc gia bên ngoài thiếu các biện pháp bảo vệ dữ liệu đầy đủ.

Mặc dù FADP cung cấp các cơ sở pháp lý thay thế để xử lý dữ liệu ngoài sự đồng ý (chẳng hạn như các nhiệm vụ pháp lý hoặc lợi ích công cộng chiếm ưu thế), nhưng chúng bị hạn chế hơn so với GDPR. Nếu sự đồng ý được coi là cần thiết, nó phải được bảo đảm trước hoặc trong giai đoạn thu thập dữ liệu. Tương tự như GDPR, FADP yêu cầu sự đồng ý của người dùng phải chi tiết, được thông báo đầy đủ và được cung cấp miễn phí. Để hỗ trợ đảm bảo tuân thủ, một nền tảng quản lý sự đồng ý là điều cần thiết. Điều này có thể hỗ trợ tạo thông báo người dùng tuân thủ—ví dụ: bằng cách nâng cao trang chính sách quyền riêng tư—và trong việc nắm bắt và lưu trữ sự đồng ý tuân thủ. Với sự trợ giúp của định vị địa lý, có thể thiết lập nhiều cấu hình, phục vụ cho các quy định đa dạng như GDPR và FADP, được điều chỉnh dựa trên vị trí của người dùng.

Quyền lợi khách hàng

• Hỏi xem thông tin về họ đang được hoặc đã được xử lý (họ không thể từ bỏ quyền được biết trước) và yêu cầu xem dữ liệu thu thập được về họ.

• Có được một bản sao vật lý của dữ liệu của họ, được in hoặc sao chụp, mà không phải chịu bất kỳ chi phí nào.

• Tìm cách chỉnh sửa dữ liệu cá nhân của họ nếu dữ liệu đó bị phát hiện là sai sót hoặc không toàn diện (yêu cầu này có thể bị hạn chế, từ chối hoặc hoãn lại vì những lý do như lo ngại về bảo mật, để bảo vệ các cuộc điều tra hình sự hoặc để ưu tiên quyền của các bên thứ ba quan trọng).

DANH SÁCH KIỂM TRA FADP CỦA BẠN

• Tạo hoặc làm mới chính sách quyền riêng tư của trang web của bạn, phù hợp với doanh nghiệp, người dùng và dữ liệu bạn xử lý.
• Luôn thông báo cho người dùng về việc xử lý dữ liệu, ngay cả khi họ không cần sự đồng ý của họ.
• Sử dụng nền tảng đồng ý để giữ cho chính sách quyền riêng tư của bạn luôn cập nhật và thân thiện với người dùng.
• Liệt kê rõ ràng các quốc gia mà bạn chia sẻ dữ liệu và nếu các quốc gia đó thiếu thỏa thuận về dữ liệu, hãy lấy sự đồng ý của người dùng trước khi chia sẻ.
• Thu thập và lưu trữ quyền của người dùng một cách an toàn, đặc biệt là đối với dữ liệu nhạy cảm.
• Cập nhật các quy tắc dữ liệu của công ty bạn và chia sẻ chúng với nhóm của bạn.
• Giữ một bản ghi của tất cả các hoạt động dữ liệu.
• Có sẵn một hệ thống để giải quyết kịp thời các yêu cầu dữ liệu của người dùng, chẳng hạn như truy cập hoặc chỉnh sửa.
• Đảm bảo người dùng có thể dễ dàng lấy dữ liệu của họ, trên giấy hoặc ở định dạng kỹ thuật số phổ biến.
• Tiến hành đánh giá nếu bạn xử lý nhiều dữ liệu nhạy cảm.
• Có kế hoạch vi phạm dữ liệu và thông báo cho các bên cần thiết, bao gồm cả bên thứ ba, nếu vi phạm xảy ra.
• Cập nhật hợp đồng với bên thứ ba để đảm bảo an toàn dữ liệu. Hãy nhớ rằng, bạn phải chịu trách nhiệm cuối cùng.
• Chỉ giữ dữ liệu miễn là cần thiết và xóa hoặc ẩn danh dữ liệu đó sau đó.
• Chỉ định trưởng nhóm bảo vệ dữ liệu để quản lý chính sách và liên lạc với người dùng.
• Thường xuyên tham khảo ý kiến của các chuyên gia pháp lý về nhiệm vụ của bạn theo FADP.

TUYÊN BỐ TỪ CHỐI TRÁCH NHIỆM QUAN TRỌNG: Thông tin được cung cấp trên tài liệu này không, và không nhằm mục đích, cấu thành tư vấn pháp lý; thay vào đó, tất cả thông tin, nội dung và tài liệu có sẵn trên trang web này chỉ dành cho mục đích thông tin chung. Độc giả của tài liệu này nên liên hệ với luật sư của họ để được tư vấn liên quan đến bất kỳ vấn đề pháp lý cụ thể nào.  Không người đọc, người dùng hoặc trình duyệt nào của trang web này nên hành động hoặc kiềm chế hành động trên cơ sở thông tin trên trang web này mà không tìm kiếm lời khuyên pháp lý trước từ luật sư trong khu vực tài phán có liên quan.  Chỉ luật sư cá nhân của bạn mới có thể đảm bảo rằng thông tin trong tài liệu này - và cách giải thích của bạn về thông tin đó - có thể áp dụng hoặc phù hợp với tình huống cụ thể của bạn.