新法律不仅适用于瑞士公司,还适用于“在瑞士部署影响力”的海外公司(第 3 条)。正如 GDPR 要求在欧盟境内的公司指定数据控制者一样,境外公司也必须在瑞士指定一名代表(第 14 条)。
数据控制者必须保存文件登记册(第 12 条),其中纳入 GDPR 规定的库存要求。
数据控制者可以任命一名数据保护官(Data Protection Office),但没有义务这样做(第 10 条)。因此,在这个问题上,瑞士法律比 GDPR(第 37 条和第 38 条)更加灵活。
对分包商的任何使用都必须签订与数据处理相关的合同(第 9 条),这种情况与第 1 条类似。 GDPR 第 28 条。
当预期的处理对相关人员的人格或基本权利造成高风险时,数据控制者必须进行与个人数据保护相关的影响分析(第 22 条),这种情况与第 1 条类似。 。 GDPR 第 35 条。
数据控制者必须向联邦官员通 RCS 数据法国 报任何涉及相关人员的人格或基本权利高风险的安全事件(第 24 条)。
其数据被处理且必须由数据控制者实施的个人的权利现已扩大,这涉及数据控制者的透明度和信息义务(第 19 条)。可以要求自然人参与基于个人数据处理(第 21 条)、访问权(第 25-27 条)、交付或传输个人数据的权利(第 21 条)的自动决策(第 28-29 条)。
联邦官员将拥有广泛的权力进行调查和实施制裁,包括暂停相关处理,以及在故意违反义务的情况下处以最高 250,000 瑞士法郎的罚款(第 49 至 51 条、第 49 条至第 51 条) 60-63)。各州负责起诉和审判犯罪行为(第 65 条)。从这个角度来看,瑞士法律的规定远不及 GDPR,违反 GDPR 的处罚最高可达 2000 万欧元,或上一财年全球年营业额的 4%(第 83 条)。 )。
最终,对于已经承诺遵守 GDPR 要求的瑞士公司来说,遵守新版本 LPD 所需的努力将可以忽略不计。另一方面,对于那些以新的欧洲监管框架不适用于他们为借口(通常是错误的)而不想考虑新的欧洲监管框架的人来说,既然 LPD 批准了大部分 GDPR 决定,他们确实必须开始考虑新的欧洲监管框架。 。