Швейцария меняет закон о защите данных

В сентябре прошлого года по результатам обсуждения предварительного текста от 21 декабря 2016 года швейцарский Федеральный совет принял проект пересмотренного Федерального закона о защите данных (Federal Data Protection Act, FDPA). Цель пересмотра законодательства заключается в усилении защиты персональных данных и приведении FDPA в соответствие с новыми правилами ЕС в отношении защиты данных. Таким образом, Швейцария которая и так считается одной из лидирующих стран в отношении конфиденциальности данных, принимает дальнейшие меры для их защиты.

Проект расширяет права субъектов данных, повышает прозрачность обработки данных и ужесточает обязательства контроллеров и процессоров данных. Он согласовывает FDPA с международными правилами защиты данных, приводя его в соответствие с предстоящим пересмотром Конвенции ETS 108 Совета Европы и Европейского закона о защите данных 2016/679 (EU General Data Protection Regulation 2016/679, GDPR). Это позволит Швейцарии сохранить статус страны, обеспечивающей адекватную защиту персональных данных с точки зрения ЕС, что облегчит передачу данных между Швейцарией и ЕС, а также позволит ратифицировать Конвенцию ETS 108.

Как ожидается, новый закон вступит в силу 1 августа 2018 года, но его окончательные формулировки по-прежнему будут обсуждаться в ходе парламентских дебатов и поэтому могут быть изменены.

Плоды дискуссий

В отличие от GDPR, проект, в частности, не предусматривает переносимости данных, не действует экстерриториально, содержит менее строгие требования в отношении согласия сторон, механизмы сертификации, кодексы корпоративной этики и санкции (в отношении вменяемых масштабов правонарушений и размера штрафа).

Проект исключает юридических лиц из сферы действия определения «персональных данных»: ПД ограничиваются данными, касающимися лишь физического лица. Это облегчит трансграничную передачу данных юридических лиц, в юрисдикции, которые не рассматривают такие данные как персональные.

Снимается обязанность уведомлять о файлах данных Федерального уполномоченного по защите данных и информации (Federal Data Protection and Information Commissioner, FDPIC), которая применяется ко всем частным сторонам, обрабатывающим конфиденциальные личные данные.

Вместе с тем вводятся новые обязательства и санкции. Расширяются обязанности контроллеров: подробная информация, которая должна быть предоставлена ​​субъектам данных, должна включать, как минимум, контактную информацию контроллера, а также цель обработки. В случае раскрытия информации третьим лицам такая информация включает личность получателей или их категорий, а в случае трансграничного раскрытия — юрисдикции, в которых данные были переданы, и соответствующие реализованные гарантии. Контроллеры могут ограничивать такую информацию, откладывать ее передачу или отказываться от нее, в частности, если этого требуют интересы третьих сторон, или если информация может помешать цели обработки (например, обработка данных для подготовки к судебному разбирательству).

Контроллеры должны принять соответствующие меры, чтобы избежать нарушений конфиденциальности и обеспечить удобные настройки защиты данных (конфиденциальность по умолчанию). Если обработка ПД может привести к высокому риску для конфиденциальности или основных прав субъекта данных (например, в случае активной обработки конфиденциальных личных данных или профилирования пользователей), то контроллеры должны проводить оценку такого воздействия. Если подобные риски действительно имеют место, до обработки ПД следует проконсультироваться с FDPIC. Однако такая оценка не требуется, если контроллер сертифицирован признанным органом по сертификации или соответствует коду корпоративной этики. В случае нескольких аналогичных видов обработки контроллер может проводить общую оценку воздействия и применять ее ко всей такой обработке.

Контроллеры могут назначить сотрудника по защите данных (Data Protection Officer, DPO), который при определенных обстоятельствах освобождает их от требования предварительной консультации с FDPIC.

Контроллеры должны по запросу сообщать субъекту данных об автоматизированных решениях (то есть решениях, принимаемых исключительно на основе автоматизированной обработки данных), которые имеют юридические последствия, и дать ему возможность прокомментировать такие решения. Процессор не может назначать процессора-подрядчика без предварительного согласия контроллера.

В случае умышленного нарушения обязанностей по FDPA могут налагаться штрафы в размере до 250 000 швейцарских франков. Это представляет собой существенное изменение: нынешние санкций, предусматривают умеренные штрафы — до 10 000 швейцарских франков, и только за ограниченный список нарушений FDPA.

Если штраф не превышает 50 000 швейцарских франков, а нарушение совершено в бизнесе, прокурор может принять решение не возбуждать уголовное дело.

Режим трансграничной передачи ПД в целом поддерживается. Предоставление трансграничной информации юрисдикциям, обеспечивающим адекватную защиту персональных данных, по-прежнему разрешено.

Для передачи ПД в страны, не обеспечивающие адекватную защиту, контроллеры экспорта данных (или процессоры) могут опираться на договоры, договорные положения, обязательные корпоративные правила или другие гарантии.

В случае договорных рамок, таких как новый швейцарско-американский договор по защите конфиденциальности (US-Swiss Privacy Shield), не требуется ни одобрения, ни уведомления FDPIC. FDPIC может расследовать и выносить обязательные административные решения (вместо рекомендаций в соответствии с ныне действующим законом) в отношении контролеров и процессоров ПД (например, изменять или прекращать незаконную обработку).

Стимулируется саморегулирование: профессиональные или торговые ассоциации, чьи подзаконные акты разрешают им защищать экономические интересы своих членов, могут представить в FDPIC кодексы деловой этики.

В отличие от большинства других европейских органов по защите данных, FDPIC не имеет права вводить уголовные санкции. Этим должны заниматься компетентные органы. В судебных спорах, связанных с защитой данных, судебные издержки не взимаются. Кроме того, с субъектов данных за осуществление их права на доступ к ПД не взимаются никакие пошлины.

Как подготовиться к нововведениям?

Каждой российской компании, работающей с данными граждан ЕС, необходимо оценивать риски, связанные с GDPR, а компании или организации, осуществляющей операции с ПД граждан Швейцарии – FDPA.

Окончательный текст FDPA еще не утвержден, но можно ожидать, что большинство изменений будут реализованы в соответствии с предложениями и проектом закона.

Таким образом, российским компаниям после вступления в силу GDPR и принятия FDPA необходимо будет выполнять все требования в случаях, подпадающих под регламент, и учитывать возможность привлечения к ответственности при нарушении положений. Нужно проанализировать, какие именно типы ПД компания обрабатывает и каким образом, как эти данные защищены, своевременно ли выявляются нарушения. Причем касается это не только компаний, но и частных лиц.

Пока что очень немногие операторы онлайн-сервисов/сайтов в Швейцарии или ЕС готовы к нововведениям и скорее всего не будут готовы к ним на момент введения новых законов.

Поскольку новые законы нацелены на усиление защиты данных пользователя, стоит уже сейчас учитывать данный момент при выборе сервиса. Например, хорошим показателем является наличие у компании сертификата менеджмента информационной безопасности ISO 27001. Особенно важен этот пункт при выборе сервиса/хостинга, обеспечивающего защиту личных данных, например, защищенных мессенджеров, частных облачных хранилищ, платформ по защите средств связи и хранения конфиденциальных данных и т.д.

Автор статьи Ойген Вильтовски, руководитель компании ALPEIN Software в Швейцарии.