Naleving van de privacywetgeving van de Europese Unie (EU) vormt een uitdaging voor veel bedrijven in niet-EU-landen. Dit omvat bedrijven uit regio’s met relatief sterke gegevensbeschermingsregimes, zoals Zwitserland.
Zwitserland is geen EU-lid en ook geen lid van de grotere Europese Economische Ruimte (EER), die bestaat uit alle EU-lidstaten plus Noorwegen, IJsland en Liechtenstein. Zwitserland is lid van de Europese Vrijhandelszone (EVA), samen met Noorwegen, IJsland en Liechtenstein. Als EFTA-lid maakt Zwitserland deel uit van de “interne markt” van de EU.
In dit artikel:
In dit artikel bekijken we hoe bedrijven in Zwitserland kunnen werken aan de naleving van de privacywetgeving (GDPR) van de EU. Sinds 1 september 2023 is de nieuwe Zwitserse wet op de gegevensbescherming (FDAP) van kracht, we zullen in dit artikel deze wet vergelijken met de GDPR.
Mogen EU-bedrijven persoonsgegevens doorgeven aan bedrijven in Zwitserland?
Zwitserland is geen EU-lid en ook geen lid van de grotere Europese Economische Ruimte (EER). Zwitserland is zodus een derde land.
Voor het doorsturen van persoonsgegevens naar zulke derde landen heeft de EU strikte regels opgesteld.
Als uw bedrijf persoonsgegevens binnen de EER verzamelt, mag u deze normaal gesproken niet overdragen aan een ander bedrijf buiten de EER zonder de juiste waarborgen. Het is bijvoorbeeld mogelijk dat de betrokken partijen bij de doorgifte een gestandaardiseerd contract moeten ondertekenen om de veiligheid van de persoonsgegevens te garanderen nadat de doorgifte is voltooid.
Waarom is de herziening van het FADP belangrijk?
De originele FADP dateert van 1992, met de herziening van de FADP speelt de Zwitserse overheid in op de fundamentele veranderingen die het technologische en sociale landschap sinds 1992 heeft doorgemaakt. Het doel is om betrokkenen meer zelfbeschikking te geven met betrekking tot hun gegevens.
Bovendien wordt Zwitserland, door deze nieuwe FADP af te stemmen op de GDPR, erkend als een derde land met een adequaat niveau van gegevensbescherming.
Omdat Zwitserland een adequaatheidsbesluit heeft ontvangen, hoeven EER-bedrijven geen speciale maatregelen te nemen om de doorgifte van persoonsgegevens naar Zwitserland te beveiligen. Zij kunnen persoonsgegevens op de normale manier doorgeven, net als binnen de EER.
Verschillen tussen de FADP en GDPR
De GDPR en de FADP hebben veel overeenkomsten, zoals strenge sancties voor overtredingen en een focus op gegevensprivacy en -bescherming (privacywetgeving). De bepalingen van beide regelgevingen verschillen in detail echter op enkele essentiële vlakken.
De 7 belangrijkste verschillen zijn:
Sancties
De privacywetgeving stelt dat de toezichthoudende autoriteiten van elke EU-lidstaat administratieve boetes en dwangsommen kunnen opleggen bij het niet naleven van de bepalingen van de GDPR. Dit omvat boetes tot 4% van de wereldwijde jaaromzet van een bedrijf of 20 miljoen EUR (wat het hoogste is) voor de ernstigste overtredingen, b.v. het verwerken van persoonsgegevens zonder toestemming of het niet treffen van adequate beveiligingsmaatregelen. De nieuwe FADP wil niet dat er absurd hoge boetes worden opgelegd, particulieren kunnen namelijk een boete krijgen van maximaal 250.000 CHF, wat overeenkomt met 257.588,32 Euro.
Aanwijzing van een functionaris voor gegevensbescherming (DPO)
Artikel 37 van de GDPR stelt dat het aanstellen van een gegevensbescherming (DPO) onder bepaalde omstandigheden verplicht is. Daarentegen voorziet de FADP niet in de verplichting om een functionaris voor gegevensbescherming – in Zwitserland Data Protection Advisor (DPA) –aan te stellen, maar het wordt wel sterk aanbevolen. De DPA is in Zwitserland het enige aanspreekpunt voor de federale gegevensbeschermings- en informatiecommissaris FDPIC.
Meldingen van datalekken
De GDPR stelt dat datalekken binnen 72 uur moeten worden gemeld aan de bevoegde toezichthoudende autoriteit van de EU. De FADP stelt dat datalekken zo snel mogelijk moeten worden gemeld aan de FDPIC.
Gegevens exporteren
Adequaatheid van gegevensexport wordt in Europa bepaald door de Europese Commissie. Standaardcontractbepalingen en bindende bedrijfsregels zijn van toepassing. In Zwitserland wordt de geschiktheid van gegevensexport bepaald door de Zwitserse Federale Raad. EU-modelcontractbepalingen en bindende bedrijfsregels kunnen worden toegepast.
Effectbeoordeling gegevensbescherming
De GDPR bepaalt dat bij een hoog risico voor de privacy of grondrechten van betrokkenen een Data Protection Impact Assessment (DPIA) moet worden uitgevoerd. Als het risico ondanks de maatregelen blijft bestaan, moet de toezichthoudende gegevensbeschermingsautoriteit worden geraadpleegd. De FADP voorziet in een gelijke bepaling maar voegt daaraan toe dat indien het risico ondanks de genomen maatregelen blijft bestaan, men kan opteren om in plaats van de FDPIC, een GBA te raadplegen.
Profilering
De GDPR voorziet in een algemene toestemmingsplicht. De FADPR benadert dit iets anders, de herziene wet reguleert namelijk profilering, d.w.z. geautomatiseerde gegevensverwerking om persoonlijke aspecten van een individu te evalueren, zoals economische omstandigheden, gezondheid, interesses, gedrag of locatie. Een algemene toestemmingplicht wordt in de FADP enkel voorzien in geval van een risicovolle profilering
Gevoelige data
Gevoelige gegevens onder de GDPR omvatten de volgende gegevens: ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid of het seksleven van een natuurlijke persoon of seksuele geaardheid.
Gevoelige persoonsgegevens onder het FADP bevatten ook gegevens over administratieve of strafrechtelijke procedures en sancties, evenals gegevens over socialezekerheidsmaatregelen. Dit betekent dat de FADP voorziet in twee extra categorieën ten opzichte van de GDPR.
Benoem een EU-vertegenwoordiger
De nieuwe FADP is zoveel mogelijk afgestemd op de GDPR, zodat Zwitserse bedrijven hun concurrentievoordeel behouden.
Desondanks dit feit is Zwitserland nog steeds een niet-EER-land. De meeste niet-EER-bedrijven die in de EU actief zijn, moeten een EU-vertegenwoordiger aanstellen. Dit geldt zowel voor Zwitserse bedrijven als voor bedrijven uit andere niet-EER-landen.
Een EU-vertegenwoordiger fungeert als het belangrijkste contactpunt van uw bedrijf met de EU.
Indien u hierover nog meer vragen heeft, kan u een van onze EU-vertegenwoordigers contacteren
