Wat is de DSG?
De Zwitserse wet op de gegevensbescherming (DSG) is nu een herziene versie van de eerste DSG, die in 1992 van kracht werd. Vanaf 1 september 2023 wordt de nieuwe wet van kracht met de herziene en bijgewerkte wijzigingen om de huidige behoeften van de hedendaagse internetomgeving weer te geven. Het doel van deze verordening is de bescherming van de persoonlijke levenssfeer en de grondrechten van de personen van wie gegevens worden verwerkt.
“Deze wet heeft tot doel de privacy en grondrechten te beschermen van natuurlijke personen over wie persoonsgegevens worden verwerkt.”
De belangrijkste wijzigingen ten opzichte van de eerste publicatie zijn dat bedrijven nu moeten uitleggen waarom ze persoonsgegevens van hun klanten verzamelen en dat ze duidelijk moeten aangeven welke derden betrokken zijn bij het delen van hun persoonsgegevens. Individuen hebben nu ook het recht om te weten hoe lang hun gegevens worden bewaard en met welk doel.
Voor wie geldt de DSG?
De DSG is van toepassing op natuurlijke personen (voorheen rechtspersonen) en op commerciële en niet-commerciële organisaties die persoonsgegevens van Zwitserse burgers verwerken.
De geografische reikwijdte van de DSG werkt vergelijkbaar met die van de AVG. De exacte definitie hier is dat deze verordening van toepassing is op gegevensbeschermingskwesties die “gevolgen hebben in Zwitserland, zelfs als ze in het buitenland worden veroorzaakt”.
…”die effect hebben in Zwitserland, ook als ze in het buitenland zijn geïnitieerd”.
Verplichtingen volgens de DSG
Verplichtingen van verwerkingsverantwoordelijken en verwerkers
Vergelijkbaar met de vereisten van de AVG, vereist de DSG nu dat bedrijven een “register van verwerkingsactiviteiten” aanmaken (Art. 12 DSG). Hiervoor zijn primair de verantwoordelijke en de orderverwerker verantwoordelijk. Hierin moet het volgende staan:
- Identiteit van de verantwoordelijke personen
- doel van de gegevensverwerking
- Beschrijving van categorieën van betrokkenen en persoonsgegevens
- categorie ontvangers
- indien mogelijk, de bewaartermijn van de persoonsgegevens of de criteria die worden gehanteerd om deze termijn te bepalen;
- indien mogelijk, een algemene beschrijving van de maatregelen die zijn genomen om de gegevensbeveiliging te waarborgen
- indien de gegevens naar het buitenland worden overgedragen, vermelding van het land en de garanties die een adequate gegevensbescherming waarborgen.
rechten van de betrokkene
Zoals gezegd richt deze wet zich op de bescherming van de persoonsgegevens van de betrokkene. De betrokkene wordt dus beschermd met de volgende rechten:
- het recht om informatie te ontvangen over de verwerking van uw persoonlijke gegevens (artikelen 25-27 revDSG),
- het recht om de verantwoordelijke te verzoeken zijn of haar persoonsgegevens gratis over te dragen of in machineleesbare vorm aan een andere verantwoordelijke over te dragen. (Artikelen 28 en 29 revDSG),
- het recht dat zijn gegevens niet worden gebruikt voor geautomatiseerde individuele beslissingen waarbij algoritmen worden gebruikt zonder tussenkomst van een mens in het proces (art. 21 revDSG),
- Als gevoelige persoonsgegevens worden verwerkt of persoonlijkheidsprofielen worden aangemaakt, moet uitdrukkelijk toestemming worden gegeven. De toestemming van de betrokkene is vereist.
Handhaving van de DSG
De rol van de Federal Data Protection and Information Commissioner (FDPIC)
De FDPIC is verantwoordelijk voor de toepassing en naleving van de FADP. Hij is ook verantwoordelijk voor opheldering, advies en bescherming van persoonsgegevens in Zwitserland. Het agentschap wordt aangesteld door de Bundesrat (het uitvoerend orgaan van de Zwitserse federale overheid).
Sancties en boetes voor wettelijke overtredingen
Als een persoon de wetten van de DSG overtreedt, krijgt hij een boete van maximaal CHF 250.000. Net als bij de AVG is de boete niet gebonden aan het bedrijf, maar aan de verantwoordelijke natuurlijke persoon.
Wat u moet doen om te voldoen aan de DSG
Begin nu en zorg dat je klaar bent voordat de FADP in september 2023 van kracht wordt. Bedrijven gevestigd in Zwitserland, of als u zaken doet in Zwitserland, dienen de volgende maatregelen te nemen:
- Leg al uw gegevensverwerkingsactiviteiten vast die relevant zijn voor de wet.
- Een geldig privacybeleid hebben dat voldoet aan alle vereisten van de AVG.
- Zorg ervoor dat u een functionaris voor gegevensbescherming (DPO) aanstelt die beleid en procedures vaststelt in overeenstemming met de FDPIC.
- Als u toestemming nodig heeft om persoonsgegevens te verwerken, zorg er dan voor dat u een CMP gebruikt waarmee geldige toestemming kan worden vastgelegd en opgeslagen. De toestemming die moet worden verkregen, kan worden weergegeven in de vorm van een toestemmingsbanner die moet verschijnen bij het eerste bezoek van de gebruiker aan uw online winkel of bedrijfswebsite.
Conclusie
Het is niet verrassend dat de huidige versie van de DSG opnieuw wordt ontworpen om gelijke tred te houden met de technologische ontwikkelingen. En zelfs als u al GDPR-compatibel bent, moet u mogelijk nog wat actie ondernemen. Zorg ervoor dat uw organisatie compliant is en beschikt over een wettelijk conforme toestemmingstool.
Bent u er niet helemaal zeker van of uw bedrijf voldoet aan de komende eisen van de DSG? Praat met een van onze experts of raadpleeg onze tool voor toestemmingsbeheer hier .