DSGとは何ですか?
スイスのデータ保護法 (DSG) は、1992 年に施行された最初の DSG の改訂版です。 2023 年 9 月 1 日から、今日のインターネット環境の現在のニーズを考慮して改訂および更新された新しい法律が施行されます。 この規制の目的は、データが処理される人の人格と基本的権利を保護することです。
「この法律は、個人データが処理される自然人の人格と基本的権利を保護することを目的としています。」
最初の出版物と比較した主な変更点は、企業が顧客から個人データを収集する理由を説明しなければならないことと、個人データの共有にどの第三者が関与しているかを明確に示す必要があることです。 また、個人は、自分のデータがどのくらいの期間、どのような目的で保存されるかを知る権利を持ちます。
DSG は誰に適用されますか?
DSG は、スイス国民の個人データを処理する自然人 (旧法人) および営利および非営利組織に適用されます。
DSG の地理的範囲は、GDPR の地理的範囲と同様に機能します。 ここでの正確な定義は、この規制は「たとえ海外で始まったとしてもスイス国内に影響を与える」データ保護問題に適用されるということです。
…「たとえ海外で始まったとしても、スイスに影響を与えるものである」。
DSG に基づく義務
責任者および処理者の義務
GDPR の要件と同様に、DSG は現在、企業に「処理活動のリスト」を作成することを義務付けています (DSG 第 12 条)。 これについては主に責任者と注文を処理する担当者が責任を負います。 これには次のものが含まれている必要があります。
- 責任者の身元
- データ処理の目的
- データ主体と個人データのカテゴリーの説明
- 受信者のカテゴリ
- 可能であれば、個人データの保存期間またはその期間を決定する基準。
- 可能であれば、データのセキュリティを確保するために講じられた措置の一般的な説明
- データが海外に転送される場合、その国の表示と適切なデータ保護を保証する保証。
データ主体の権利
すでに述べたように、この法律はデータ主体の個人データの保護に重点を置いています。 したがって、データ主体は次の権利で保護されます。
- お客様の個人データの処理に関する情報を受け取る権利 (revDSG 第 25 条から第 27 条)、
- 責任者に自分の個人データを引き渡すよう要求する権利、またはそれらを機械可読形式で別の責任者に無料で送信する権利。 (DSG 改訂第 28 条および第 29 条)、
- 彼のデータが、プロセスに人間の介入なしにアルゴリズムが使用される自動化された個別の決定に使用されない権利 (revDSG 第 21 条)、
- 機密の個人データが処理される場合、または個人プロファイルが作成される場合は、明示的に同意する必要があります。 データ主体の同意が必要です。
DSGの施行
連邦データ保護情報コミッショナー (FDPIC) の役割
FDPIC は、DSG の適用と準拠を担当します。 また、スイスにおける個人データの明確化、アドバイス、保護も担当しています。 この機関は連邦評議会(スイス連邦政府の執行機関)によって任命されます。
法律違反に対する制裁と罰金
DSG の法律に違反した場合、最高 250,000 スイスフランの罰金が科せられます。 GDPR と同様、罰金は企業ではなく、責任を負う自然人に関連付けられます。
DSG に準拠するために行うべきこと
今すぐ始めて、2023 年 9 月に DSG が発効するまでに準備が整っていることを確認してください。 スイスに拠点を置く企業、またはスイスでビジネスを行っている企業は、次の措置を講じる必要があります。
- 法律に関連するすべてのデータ処理活動を記録します。
- DSG のすべての要件を満たす有効なデータ保護宣言を持っています。
- FDPIC に従ってポリシーと手順を確立するデータ保護責任者 (DPO) を必ず任命してください。
- 個人データの処理に同意を得る必要がある場合は、有効な同意を取得して保存できる CMP を使用してください。 取得する必要がある同意は、オンライン ストアまたは企業 Web サイトへのユーザーの最初の訪問時に表示される同意バナーの形式で表示できます。
結論
当然のことながら、DSG の現在のバージョンは、技術の発展に合わせて改訂されています。 また、すでに GDPR に準拠している場合でも、いくつかの手順を踏む必要がある場合があります。 会社が要件を満たし、法的に準拠した同意ツールをインストールしていることを確認してください。
あなたの会社が今後の DSG 要件を満たしているかどうか完全に確信が持てませんか? 当社の専門家に相談するか、こちらの同意管理ツールを使用して確認してください。