Tietosuojalain sveitsiläisessä versiossa on joitakin tärkeitä muutoksia. Kaikki markkinointiin vaikuttava Sveitsin uusi tietosuojalaki (nDSG tai revDSG). Tässä artikkelissa selitämme tärkeimmät muutokset mahdollisimman yksinkertaisesti ja tiiviisti.

Uusi laki käsittää 92 sivua, ja sen virallinen nimi on liittovaltion tietosuojalaki (tietosuojalaki, DPA BBl 2020 7639). Yksinkertaisuuden vuoksi puhumme tässä yhteydessä revFADP:stä eli uudesta tietosuojalakista.

Sveitsi on tarkistanut perusteellisesti tietosuojalainsäädäntöään. Uusi tietosuojalaki (revDSG) tulee voimaan 1. syyskuuta 2023. Emme ole lakimiehiä emmekä voi antaa sitovaa oikeudellista neuvontaa. Olemme kuitenkin koonneet yhteen uuden tietosuojalain tärkeimmät muutokset erityisesti markkinoinnin automatisoinnin ja asiakastietojen keräämisen osalta ja selostaneet tässä artikkelissa, mitä sinun on toteutettava käytännössä.

Tietosuojatarkastus.

Täytä kyselylomakkeemme ja selvitä suoraan tietosuojavaltuutetulta, miten tietosuojasi toimii.

Sveitsin uusi tietosuojalainsäädäntö - yksinkertaisesti selitettynä

Sisällysluettelo

Ketä Sveitsin uusi tietosuojalaki (revDSG) koskee?

Sveitsin uusi tietosuojalaki (revDSG) vaikuttaa kaikkiin Sveitsiin sijoittautuneisiin yrityksiin ja ulkomaisiin yrityksiin, jotka toimivat Sveitsissä tai joiden tietojenkäsittely vaikuttaa Sveitsissä. Uudessa laissa ei määritellä tarkemmin, milloin tietojenkäsittelyllä on ”vaikutusta” Sveitsiin – mutta jos sovellamme EU:n yleisen tietosuoja-asetuksen kriteerejä, pitäisi riittää, että ulkomainen yritys toimittaa esimerkiksi tavaroita Sveitsiin.

Koska Sveitsin uusi laki perustuu EU:n yleiseentietosuoja-asetukseen (GDPR), sinun on oletettava, että sinulla on lisääntynyt tarve ryhtyä toimiin, erityisesti jos yrityksesi ei vielä ole GDPR:n mukainen.

Sveitsin tietosuojalaki: Mitä laki sisältää ja miksi sitä tarkistettiin?

Sveitsin nykyinen ”liittovaltion tietosuojalaki” on peräisin vuodelta 1992 – sen jälkeen henkilötietojen kerääminen ja käyttö on lisääntynyt merkittävästi. Uuden lain tarkoituksena on toisaalta vahvistaa rekisteröityjen itsemääräämisoikeutta omien tietojensa suhteen ja toisaalta uusi tietosuojasäädös asettaa yrityksille uusia velvoitteita erityisesti henkilötietojen keräämisen, katoamisen tai väärinkäytön osalta.

Toiseksi tarkistuksen tarkoituksena on varmistaa, että Sveitsin tietosuojalaki on yhdenmukainen Euroopan unionin vuonna 2018käyttöön ottaman yleisentietosuoja-asetuksen kanssa. Sveitsiläisiä yrityksiä uhkaa räikeä kilpailuhaitta, jos EU ei enää tunnusta Sveitsiä kolmantena maana, jossa on riittävä tietosuojan taso.

Mitkä ovat Sveitsin tietosuojalain tärkeimmät muutokset?

Soveltamisala ja laajuus: Kuten yleinen tietosuoja-asetus, myös uusi tietosuojasäännöstö rajoittuu luonnollisten henkilöiden tietosuojaan. Aiemmin tietosuojalaki kattoi myös oikeushenkilöt. Uutta on myös se, että geneettisiä ja biometrisiä tietoja pidetään erityisen suojelun arvoisina.

Avoimuus: Yritysten on ilmoitettava rekisteröidyille asianmukaisesti kaikista tietojenkeruukeräyksistä. Tämä ei koske ainoastaan erityisen arkaluonteisia tietoja, vaan myös silloin, kun tietoja ei kerätä rekisteröidyltä itseltään. Tietojen käsittelystä vastaava henkilö on nimettävä. Tietojen käsittelyn tarkoitus, vastaanottaja ja vastaanottajamaa, jos tietoja viedään ulkomaille, on ilmoitettava.

Käsittelyrekisteri: Yritykset, joilla on vähintään 250 työntekijää, ovat velvollisia pitämään tätä rekisteriä. Velvoitetta pitää rekisteriä tietojen keräämisestä ei kuitenkaan sovelleta.

Tietosuojaa koskeva vaikutustenarviointi: Yritysten on tehtävä dokumentoitu tietosuojaa koskeva vaikutustenarviointi, jos tietojenkäsittelyyn liittyy suuri riski rekisteröityjen yksityisyydelle tai perusoikeuksille.

Profilointi: Suostumuksen hankkiminen on pakollista vain, jos ”se johtaa sellaisten tietojen yhdistämiseen, joiden avulla voidaan arvioida luonnollisen henkilön persoonallisuuden merkittäviä piirteitä” ( tietosuojasäännöstön 5 artiklan g kohta). Laissa puhutaan ”korkean riskin profiloinnista”.

Sisäänrakennettu yksityisyyden suoja / oletusarvoinen yksityisyyden suoja (tietosuoja teknologian avulla ja tietosuojaa edistävät oletusasetukset): Yritykset ovat velvollisia ottamaan säännökset huomioon jo sovellusten suunnittelussa ja suunnittelussa ja esimerkiksi pyytämään nimenomaisesti käyttäjän suostumusta, joka ylittää ehdottoman välttämättömän tietojenkäsittelyn, eikä saavuttamaan sitä vastaavilla oletusasetuksilla.

Tarkistetun tietosuojalain käytännön täytäntöönpano

Mitä minun on pidettävä mielessä, jotta voin noudattaa Sveitsin uusia tietosuojasäännöksiä?

Sveitsiin sijoittautuneiden yritysten ja niiden, jotka osallistuvat tiedonsiirtoihin Sveitsiin ja Sveitsistä, on tehtävä selvitys henkilötietojen käsittelystä yrityksessä: Mitä henkilötietoja kerätään, mihin tarkoitukseen ja miten. Henkilötiedot ovat ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja”. (DSG:n 5 artiklan a alakohta ). On itse asiassa helpointa olettaa, että kaikki tiedot ovat myös henkilötietoja. Tietosuojavaatimusten noudattamisen tarkistamiseen voidaan käyttää riskinarviointia. Osana kuiluanalyysia (todellisen ja tavoitetilan vertailu) yrittäjät voivat sitten määrittää tarvittavat toimet.

Sinun on varmistettava, että sinulla on vastaava sopimus kunkin kolmannen osapuolen palveluntarjoajan kanssa. Käytössä on eurooppalaiseen malliin perustuva vakiomuotoinen tilauskäsittelysopimus (AVV) tai tietojenkäsittelysopimus (DPA).

Vastuuhenkilöä ja hänen yhteystietojaan koskevat pakolliset tiedot ovat tietosuojalainsäädännön mukainen painatusvelvollisuus. Lisätietoja ja vinkkejä käytännön toteutukseen löydät tietosuojan tarkistuslistasta.

Tärkeimmät tiedot lyhyesti.
Tietosuojan tarkistuslista Sveitsi.

Mitä minun on otettava huomioon? Uuden tietosuojalain tärkeimmät kohdat tiivistettynä tarkistuslistaan.

Uusi tietosuojalaki Sveitsin tarkistuslista Aivie

Tietosuojan tarkistuslista

Mitä muuta minun on otettava huomioon digitaalisessa markkinoinnissa ja markkinoinnin automaatiotyökalujen käytössä?

Uutiskirjeen rekisteröinnit sähköpostitse ja muut – ”Leads” (johtolangat)

Olipa verkkosivustollasi sitten erityinen sähköpostiuutiskirjelomake, keräsitkö sähköpostiosoitteita, puhelinnumeroita jne. yhteydenottolomakkeellasi tai kirjoititko messuilla kävijöiden yhteystiedot paperille. Pyydä näiltä henkilöiltä nimenomainen suostumus (opt-in). Sinun on ilmoitettava selvästi, että haluat viestiä markkinointi- tai mainostarkoituksessa. Käyttäjä antaa suostumuksensa klikkaamalla sitä. Vahvista suostumus uudelleen (double opt-in) lähettämällä sähköpostiviesti, jossa on vastaava linkki, tai pikaviestillä tai tekstiviestillä, jossa pyydetään tiettyä vastausta (KYLLÄ) vahvistukseksi.

Lähettäjänä sinun on kuitenkin todistettava, että jokainen vastaanottaja on antanut suostumuksensa. Double opt-in -menettely on jo integroitu markkinoinnin automaatiotyökaluun Aivie. Tiedot on tallennettava suojatulle palvelimelle. Monet palvelut tallentavat tietojasi esimerkiksi Yhdysvalloissa – ja on odotettavissa, että EU:n GDPR:n tapaan tämäkin maa julistetaan ei-turvalliseksi. Me Aivie-yrityksessä tallennamme tietojamme Sveitsissä sijaitseville palvelimille.

kohdennettu mainonta, kuten uudelleenmarkkinointikampanjat

Asiakastietoja ei saa tallentaa uudelleenmarkkinointikampanjoita varten ilman nimenomaista suostumusta. Jotkin palveluntarjoajat, kuten Google tai Facebook, käyttävät evästeitä käyttäjien tunnistamiseen eri verkkosivustoilla (”pikseli”). Vaikka et vielä käyttäisikään uudelleenmarkkinointikampanjoita, sinun on saatava käyttäjien suostumus ennen seurantapikseleiden käyttöä.

Mitä minun on otettava huomioon tiedustelujen ja tietoturvaloukkausten yhteydessä?

Verkkosivuston ylläpitäjänä sinun on varmistettava, ettet jätä huomiotta rekisteröityjen tai viranomaisten, kuten FDPIC:n, pyyntöjä ja että vastaat niihin viipymättä. Sinun on esimerkiksi vastattava rekisteröidyn tietopyyntöön 30 päivän kuluessa ( tietosuojasäännöstön 25 artikla ). Tärkeää: tarkista jokainen pyyntö huolellisesti ja punnitse, miten vastaat kussakin yksittäistapauksessa. Huomaa, että rekisteröityjen oikeudet eivät ole koskaan ehdottomia. Esimerkki: Yritys ei saa poistaa henkilötietoja, joiden osalta sitä koskee lakisääteinen säilyttämisvelvollisuus, edes pyynnöstä.

Tietoturvaloukkauksen sattuessa sinun on myös reagoitava nopeasti ja huolellisesti ja tarkistettava, onko sinun ilmoitettava tapahtumasta tietosuojavaltuutetulle ja suoraan rekisteröidyille. Tämä riippuu tietoturvaloukkaukseen liittyvästä riskistä rekisteröidyille ( tietosuojasäännöstön 24 artikla). Sen on oltava korkea ja erityinen. Esimerkiksi pyyntö vaihtaa salasana niin sanotun tietosuojaloukkauksen jälkeen on yleinen.

Päätelmä

Sveitsin on jo pitkään pitänyt mukautua tietosuojaa koskeviin kansainvälisiin standardeihin. Jotkin tietosuojasopimuksen yksityiskohdat ovat kuitenkin vielä avoinna, samoin kuin kysymys siitä, milloin laki tarkalleen ottaen tulee voimaan ja miten se käytännössä pannaan täytäntöön. Periaate on kuitenkin selvä: tiedota käyttäjillesi, mitä tietoja keräät, miten, missä, miksi ja kuinka kauan. On myös tärkeää olla tietoinen siitä, että jokaisella verkkosivuston kävijällä on oikeus pyytää tietoja kerätyistä tiedoista ja tarvittaessa pyytää niiden poistamista.

Sveitsin uusi tietosuojalaki (revDSG) tekee oikein asetetusta evästebannerista entistä tärkeämmän.
Meillä on tähän oikea palvelu. Palvelumme avulla verkkosivustosi on valmis nopeasti, ja voit rentoutua.

Välittömän palvelun evästeen banneri

Lisää ostoskoriin

Tietoa kirjoittajasta

Mein Ziel ist es, den Kunden das perfekte digitale Ökosystem zu bieten. Um dies zu erreichen, möchte ich die Prozesse und Anforderungen der Kunden gründlich verstehen, damit ich dann Lösungen präsentieren kann, die sowohl ihre strategischen als auch ihre operativen Ziele am besten unterstützen.

Mehr als 15 Jahre Erfahrung in Softwareprojekten.

Vastaa