Děláte byznys ve Švýcarsku? Připravte se na nová pravidla pro zpracování osobních údajů!

Švýcarsko od 1. září 2023 výrazně změnilo svůj zákon o ochraně osobních údajů. Jaké povinnosti z toho plynou pro firmy z jiných zemí, včetně České republiky?

Děláte byznys ve Švýcarsku? Připravte se na nová pravidla pro zpracování osobních údajů!

Švýcarsko leží skoro uprostřed Evropy. Není ale členem Evropské unie ani Evropského hospodářského prostoru (EEA). Obecné nařízení o ochraně osobních údajů (GDPR) proto v této části Alp neplatí.

Švýcarsko je jedním z center evropského a světového obchodu, významné je i pro české obchodní společnosti. Důležitý je proto i tok dat z České republiky do Švýcarska a naopak. Včetně osobních údajů. A také dodržování příslušných pravidel.

Jsou vaše služby dostupné i ve Švýcarsku? Určete místního zástupce

Novelizovaný zákon o ochraně osobních údajů rozšiřuje svoji působnost na veškeré zpracování dat obyvatel Švýcarska, ať už je prováděno odkudkoliv. Místní regulací se tak musí řídit každý, kdo zpracovává osobní údaje švýcarských obyvatel nebo jehož činnost má na zpracování dat ve Švýcarku přímý dopad. Jedná se o obdobu pravidel pro místní působnost, kterou známe z čl. 3 GDPR.

Koho se rozšíření místní působnosti týká?

Každého, kdo nabízí svoje služby a produkty i na švýcarském trhu. Provozovatelé e-shopů, online aplikací, ale i další produkty, jejichž nedílnou součástí je zpracování dat s dopadem na obyvatele této alpské země, jsou od září povinni ve Švýcarsku jmenovat svého místního zástupce.

Cílem švýcarského zákona je zajistit ochranu práv dotčených osob a možnost mítsních dozorových úřadů zpracování dat kontrolovat.

Švýcarská pravidla přibližují GDPR

Novelizovaný zákon se v několika důležitých bodech přiblíží úpravě GDPR. To má z pohledu obchodu pozitivní i méně pozitivní důsledky.

Švýcarská pravidla pro ochranu údajů se nově vztahují jen na fyzické, nikoliv na právnické osoby. Což může snížit zátěž pro zajištění souladu při zpracování informací, resp. rozsah regulovaných dat.

Na druhé straně, zákon nově zavádí například povinnost řady správců jmenovat pověřence pro ochranu osobních údajů, pravidla pro řízení a oznamování incidentů s dopadem na osobní údaje, provádění posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment, DPIA) či povinnost vést záznamy o zpracování. Subjekty, na které se od 1. září 2023 švýcarský zákon o ochraně dat vztahuje, tak budou muset doplnit své interní procesy, aby požadavkům novelizovaného předpisu vyhověly.

Švýcarská regulace také nově zařadí biometrické a genetické údaje do kategorie citlivých dat s přísnějšími pravidly pro jejich využití. To také může být důležitou změnou pro společnosti zabývající se například farmaceutickým výzkumem, telemedicínou či provozem nebo vývojem aplikací pro snímání a využití biometrických dat.

Místo pokut rovnou trestní stíhání

Švýcarsko za porušení pravidel pro zpracování osobních údajů trestá jinak, než na co jsme zvyklí. Pokuty neuděluje dozorový úřad ve správním řízení, ale za úmyslné porušení jsou trestně stíháni odpovědní zaměstnanci správce. Typicky na úrovni top managementu, ale i další zaměstnanci, kteří jsou odpovědni za plnění některých povinností při zpracování osobních údajů. A pokuty mohou být až 250.000 švýcarských franků, tedy něco přes 6 milionů českých korun.

Předávání údajů z ČR do Švýcarska: Pravidla se nemění

Podívejme se na toho i z druhého úhlu pohledu, předávání osobních údajů z České republiky do Švýcarska. Třeba při využití švýcarského dodavatele, sdílení dat v rámci skupiny podniků atd.

Švýcarsko není členem Evropské unie. Předávání osobních údajů mimo EU může probíhat jen za splnění některé z podmínek, které mají zajistit dostatečnou ochranu dat subjektů údajů. Jedním z těchto nástrojů pro bezpečné předávání osobních údajů může být i rozhodnutí Komise o tom, že úroveň ochrany osobních údajů v daném státě odpovídá principů platným v Evropské unii.

A Švýcarsko právě takovýmto rozhodnutím disponuje. Sice je to rozhodnutí už poněkud letité, z roku 2000, ale to na věci nic nemění. Přiblížení místního zákona pravidlům GDPR navíc riziko snižuje, že by toto rozhodnutí bylo při pravidelném přezkumu nebo na základě stížnosti zrušeno.