Close
您想了解什么?
Site search
2023年10月12日 瑞士新数据保护法:公司人事部门需要了解什么?

瑞士新数据保护法已经于9月1日生效。在雇用关系中,经常需要处理员工数据。本文概述了公司人事部门和人事经理需要了解的新规定。

雇用关系中的数据处理

根据法律规定,原则上,雇用单位只有在涉及员工是否适合雇用关系或为履行雇用合同所必需时,方可处理员工的数据。但是,进一步的数据处理也可能有其正当性,特别是在雇用单位存在优先权益的情况下,或在有关员工明确同意的情况下。当然,须遵循数据保护法的数据处理原则。这些原则在新法中保持不变。因而,数据处理必须合法、善意并合比例,即符合处理数据时说明的目的,并符合数据保护法的其他规定。旧法允许的数据处理活动在新法的框架下基本上也是允许的。

信息义务

新数据保护法扩展了信息义务。现在人事经理必须在获取个人数据(不再仅限于敏感个人数据)时告知员工数据处理的目的、间接收集的数据、数据接收者的类别以及数据将在哪些国家处理等等。相关信息通常以数据保护声明或隐私声明的形式提供。针对新的要求,建议人事经理注意审核现有的数据保护声明或隐私声明,以确保其合规。

处理活动记录

员工人数超过250人的公司现在必须保存处理活动的记录。处理活动记录须至少包含以下方面:

  • 数据处理负责人;
  • 处理目的;
  • 对数据主体类别和所处理的个人数据类别的描述;
  • 接收者的类别;
  • 个人数据的保存期限或确定该期限的标准(若可能);
  • 为确保数据安全而采取的措施的总体说明(若可能);
  • 在向境外披露数据的情况下:具体说明国家和数据保护的保障措施。

员工人数少于250人的公司,如果其数据处理仅涉及低风险的个人伤害,则可免除保存该记录的义务。

数据保护影响评估 (DPIA)

此外,如果数据处理会给有关人员的人格和基本权利带来高风险,新数据保护法规定必须进行数据保护影响评估。由于需要特别保护的个人数据(如健康数据)通常是在雇用关系范围内处理的,所以人事经理还应对特定流程进行数据保护影响评估。DPIA必须说明数据处理可能会对数据主体造成哪些负面影响,以及可以采取哪些组织和技术措施来防止或减轻这些负面影响。

信息请求权

除了信息义务的扩展以外,新法也扩大了知情权。新法具体规定了必须向数据主体提供的最低限度的信息。同时还规定信息一般须在30天内提供,并且数据主体不能事先放弃自己的权利。在此背景下,建议雇用单位就员工的个人数据信息请求权规定明确的内部程序。

向境外传输数据

与之前一样,在新法框架下,雇用关系中的雇用单位也必须确保,如果传输个人数据到没有足够保护水平的国家,则应有其他保障或合理性。联邦委员会提供了一份有约束力的名单,明确列明了“足够”满足这一要求的国家。

通知数据保护和信息专员

人事经理必须立即向联邦数据保护和信息专员(FDPIC)报告违反数据安全的行为——如果该等行为有高风险会损害员工的人格权。如果个人数据被无意或非法删除、毁坏、修改、披露或被未经授权的人员获取,则可认为存在该等违规行为。如果对于保护有关员工是必要的,则还必须告知员工。

刑事责任

新的数据保护法还扩大了对违反特定职责行为的处罚。数据处理责任人,其中包含在雇用关系中处理个人数据的人事经理,尤其是故意违反信息义务和某些披露义务的,最高可被处以25 万瑞士法郎的罚款。

如果有任何相关问题,请您随时联系我们的劳动法团队和数据法团队。

作者