瑞士新数据保护法：一页纸总结

该材料可在此下载（英文版本在此；德文版本在此 ）。该“一页纸总结”汇集了大量的信息：

• 现行和新数据保护法，指出哪些要点是新的
• 不同颜色的色块表示规则类型（数据处理、数据主体权利、治理、流程）
• 标明可以采纳的执行顺序，留有方框供“勾选”以标记具体执行情况
• 指出惩罚相关条款（罚款最高为25万瑞士法郎，仅限故意违反且告诉才处理）
• 对于那些已经符合GDPR要求的企业，指出瑞士法律要求更为严格的地方或要求不同处理方法的地方（如果GDPR的相关规定稍微更为严格，则无需调整）
• 内部联系细节可直接记录其中
• 包含相关信息来源和模板的链接（有些仅有德文版本）

当然，企业也可以选择获取外部支持，但是我们发现，这通常没有必要，或者只限于困难复杂的情形下。现行的以及修订后的数据保护法都没有要求设立“数据保护官”（或修订后的数据保护法中的“数据保护顾问”）。但是，可取的做法是任命一位在内部负责数据保护的人，其应具备必要的能力并能致力于担当此责，必要的知识可通过公共资源、教程、以及进一步的培训获得。

以上材料也将新的数据保护条例的内容考虑在内。例如，联邦委员会决定，大多数员工人数少于250人的公司不需要创建处理活动清单。这对很多中小企业来说非常便利，虽然很多人高估了清单所需的工作量，并且创建清单本身可以为数据保护合规提供一个良好的起点。由此获得的相关知识对于创建隐私声明也是必要的。大多数公司都需要创建或改进隐私声明（很多公司目前的隐私声明中只涵盖了网站上收集的数据，这是不够的）。

数据保护合规方面的主要挑战依然是在国外披露个人信息，因为自2020年以来，相关要求已经提高到一个不切实际的高水平（主要不是因为法律，而是因为法律的适用方式，特别是欧洲数据保护机构的适用方式）；即使对于那些想“做好”的企业来说，也很难找到合理的应对方案。主要的问题是，当数据被传输到没有足够数据保护水平（即使是大多数云解决方案也不符合）的国家时，存在以下风险：如果外国当局想拦截数据（所谓的外国合法访问），则可能这么做。尽管这种风险往往只是理论上的，但还是引起了数据保护机构的极大重视。对企业来说，这意味着必须花费大量的时间和精力以达到合规，否则，数据保护当局的要求根本没有得到遵守。为此，我们还发布了一些工具性文件，使用范围限于瑞士（包括：关于欧盟标准合同条款的常见问题（英文），关于外国当局合法访问风险的常见问题（英文），以及针对这种风险的标准化评估方法（英文））。公司数据保护协会（www.vud.ch）也发布了关于“云”主题的常见问题（德文），其中回应了在上述讨论背景下是否允许使用云服务的问题以及如何实施此类项目。

可能有一部分工作涉及核查与提供者和其他的“数据处理者”的协议。对此，修订后的数据保护法规定，如果合同不合规，将被处以罚款。实务中，大多数数据处理协议，至少是大型数据提供者的数据处理协议都是符合要求的——如果是已经增加了必要的瑞士方面的调整（例如，对于微软来说，需要一份瑞士附录，当然微软也已经提供）。

无疑，最主要的工作是审查现有的数据处理活动，以识别其是否符合数据保护原则。其实修订后的数据保护法在此变化不大，即可以进行的数据处理方式与现行法律规定的基本相同。许多公司尚未真正系统地处理这些要求，而是凭“直觉”决定什么可以、什么不可以（这还不是最糟糕的）。数据保护法的修改可以是在这个方面做出改进的好机会，例如，通过培训员工而后由其仔细检查自身的数据处理情况。通过这种方式，相关工作可以在整个公司内部分工进行。

如果您有任何相关问题，我们的数据法团队是您的不二之选。

作者：David Rosenthal