Protezione dei dati
Ultima occasione per allacciare le cinture
29 agosto 2023 agvs-upsa.ch - La nuova legge sulla protezione dei dati entrerà in vigore il 1° settembre 2023. In linea di principio, le violazioni saranno punibili a partire da questa data. È quindi importante avviare per tempo le misure necessarie per essere pronti al peggio. Perché le infrazioni possono essere molto costose.
La nuova legge sulla protezione dei dati si applicherà in Svizzera dal 1° settembre 2023. Foto:Shutterstock
srh. Non indossare la cintura di sicurezza nel traffico comporta una multa, se si viene scoperti. E in caso di incidente, si perdono i benefici dell'assicurazione e, soprattutto, ci si espone al rischio di gravi lesioni. La legge sulla protezione dei dati è un po' simile: si può ignorare. Ma quando si tratta di un incidente con i dati o di un'azione legale da parte di un cliente scontento, la cosa diventa costosa. Molto costoso. Sono possibili multe fino a 250.000 franchi. E queste non vanno a carico dell'azienda, ma del responsabile della protezione dei dati. Inoltre, la conseguenza è l'iscrizione nel registro penale. C'è ancora un po' di tempo per prendere le misure necessarie per proteggersi dalle conseguenze del diritto penale. O per trasferirlo in: allacciate le cinture sulla strada di quartiere prima di imboccare la strada principale.
Gli specialisti della protezione dei dati del partner AGVS Impunix hanno stilato dieci passi per la nuova legge rivista sulla protezione dei dati. Le violazioni intenzionali degli articoli contrassegnati in rosso sono punibili per legge. Gli altri requisiti possono essere perseguiti civilmente.
Elenco delle attività di trattamento dei dati
Informativa sulla privacy - DSE
Accordo per l'elaborazione degli ordini - ABV
Sicurezza dei dati - Toms e DSFA
Trasferimento all'estero
Diritti dell'interessato
Principi di protezione dei dati
Privacy per impostazione predefinita
Segreto professionale minore
Formazione dei dipendenti
La nuova legge sulla protezione dei dati si applicherà in Svizzera dal 1° settembre 2023. Foto:Shutterstock
srh. Non indossare la cintura di sicurezza nel traffico comporta una multa, se si viene scoperti. E in caso di incidente, si perdono i benefici dell'assicurazione e, soprattutto, ci si espone al rischio di gravi lesioni. La legge sulla protezione dei dati è un po' simile: si può ignorare. Ma quando si tratta di un incidente con i dati o di un'azione legale da parte di un cliente scontento, la cosa diventa costosa. Molto costoso. Sono possibili multe fino a 250.000 franchi. E queste non vanno a carico dell'azienda, ma del responsabile della protezione dei dati. Inoltre, la conseguenza è l'iscrizione nel registro penale. C'è ancora un po' di tempo per prendere le misure necessarie per proteggersi dalle conseguenze del diritto penale. O per trasferirlo in: allacciate le cinture sulla strada di quartiere prima di imboccare la strada principale.
Gli specialisti della protezione dei dati del partner AGVS Impunix hanno stilato dieci passi per la nuova legge rivista sulla protezione dei dati. Le violazioni intenzionali degli articoli contrassegnati in rosso sono punibili per legge. Gli altri requisiti possono essere perseguiti civilmente.
Elenco delle attività di trattamento dei dati
- Art. 12 Elencare i processi e le attività in cui la vostra organizzazione tratta i dati personali (ad es. vendite, cookie, marketing, post-vendita, noleggio, assistenza stradale, contabilità, gestione delle risorse umane, e-shop, videosorveglianza). L'elenco contiene: trattamento minimo, finalità, categoria di persone, categoria di dati, destinatari/elaboratori degli ordini, periodo di conservazione. Eventualmente, ulteriori informazioni se richieste.
- Art. 19 Ogni volta che raccogliete o trattate dati personali che non sono richiesti dalla legge, dovete fornire informazioni trasparenti nel DSE prima del trattamento. È preferibile inserire il DSE sul sito web, i link ad esso per le videocamere, nei contratti (riferimento al DSE). Per i candidati e i dipendenti, si raccomanda di inserire un DSE separato nel regolamento dei dipendenti. Il DSE contiene: I vostri dati di contatto, le finalità del trattamento dei dati, le categorie di destinatari, il trasferimento all'estero (paesi), i diritti degli interessati.
- Art. 9 La maggior parte delle aziende fornisce o dà accesso ai dati anche a terzi, ad esempio fornitori di servizi informatici, di marketing, ecc. Il responsabile degli ordini può fare solo ciò che anche noi siamo autorizzati a fare. Pertanto, è necessario stipulare un "ABV" con i terzi, un contratto che sancisce la sovranità dei vostri dati e obbliga i terzi alla protezione e alla sicurezza dei dati. È sufficiente un ABV conforme al diritto dell'UE con un riferimento all'autorità di protezione dei dati (modello: ad esempio presso l'autorità di protezione dei dati del Liechtenstein).
- Art. 8 Proteggiamo i dati personali attraverso misure tecniche e organizzative. Tecniche: accesso solo con account personale e "MFA", accesso da parte di terzi solo su richiesta e con audit trail, firewall, software antivirus, backup. Organizzative: clean desk, necessità di sapere, obbligo di protezione dei dati e formazione, distruzione, ecc. Obbligo di segnalazione Art. 24: In caso di perdita di dati, è necessario effettuare una segnalazione all'IFPDT (edoeb.admin.ch) e, se necessario, una segnalazione agli interessati.
- Art. 22 Se l'organizzazione tratta molti dati personali, dati personali molto sensibili o dati personali che richiedono una protezione speciale, e se errori o altri rischi potrebbero essere rischiosi per l'interessato, è necessario preparare e documentare una valutazione d'impatto sulla protezione dei dati - DSFA (valutazione del rischio). Con il DSFA, le misure adottate per la protezione dei dati personali vengono esaminate in modo più approfondito e ne viene verificata l'effettiva idoneità.
- Art. 16 Non sono sicuri i Paesi esteri e quindi i Paesi verso i quali i dati personali possono essere trasferiti: UE, Regno Unito, SEE e singoli altri Paesi presenti nell'elenco dei Paesi. Ricordiamo che i Paesi devono essere indicati nel DSE.
In altri Paesi, i dati possono essere trattati se ciò è richiesto e registrato in un contratto nel singolo caso, se l'interessato ha rinunciato a una protezione separata o se esistono le cosiddette SCC, ossia le clausole contrattuali standard dell'UE con riferimento alla Svizzera.
- Art. 25 e segg. Offriamo agli interessati i diritti previsti dal DSE di accedere ai propri dati personali (non ai documenti) e di richiedere ulteriori informazioni. La legge prevede un periodo di 30 giorni per ottenere informazioni gratuite. Prima di ciò, dobbiamo identificare la persona che richiede le informazioni. Attenzione: informazioni false o incomplete sono punibili per legge. Lo scopo dell'informazione deve essere la protezione della personalità. Ulteriori diritti sono: Correzione dei dati errati. La cancellazione può essere richiesta solo se non abbiamo un motivo migliore o un obbligo legale. Nel caso di una decisione completamente automatizzata, art. 21, un essere umano decide comunque su richiesta.
- Art. 6 Nei processi dell'organizzazione attuiamo i principi di protezione dei dati: liceità, buona fede, limitazione delle finalità, obbligo di cancellazione, accuratezza, trasparenza e sicurezza dei dati. L'organizzazione documenta questi principi e le procedure per il rispetto degli obblighi di diligenza.
- Art. 7 Quando diamo all'interessato la possibilità di scegliere, le impostazioni di privacy e sicurezza di un sistema, di un'applicazione o di un prodotto devono essere impostate di default sulle opzioni più sicure o più rispettose della privacy.
- Art. 62 I dati personali forniti all'organizzazione devono essere mantenuti riservati, salvo diversa comunicazione all'interessato.
- Nell'implementazione e nel rispetto della protezione dei dati, i dipendenti sono molto importanti. Ci sono molti motivi per cui i dipendenti devono essere formati sulla protezione dei dati: Evitare sanzioni: Le violazioni delle leggi sulla protezione dei dati possono comportare multe significative fino a 250000 franchi svizzeri. Sicurezza dei dati: i dipendenti formati sono più preparati a identificare ed evitare potenziali rischi per la sicurezza, come attacchi di phishing, password insicure e altri problemi di sicurezza. Fiducia dei clienti: I clienti sono più propensi a fidarsi delle aziende che proteggono i loro dati. Buone pratiche di protezione dei dati possono contribuire alla soddisfazione dei clienti.
Webinar Business Academy UPSA:
La nuova legge sulla protezione dei dati svizzera: ecco cosa dovete sapere
La nuova legge sulla protezione dei dati svizzera: ecco cosa dovete sapere
Suggerimenti
Le PMI devono assolutamente esaminare con attenzione i propri moduli d'ordine e gli altri strumenti di raccolta dati pertinenti e adattarli, se necessario, in modo da essere conformi alla legge nel settembre 2023. In ogni caso, è consigliabile analizzare attentamente tutti i dati e chiarire i seguenti punti:
L'UPSA collabora sul tema della protezione dei dati con la società specializzata Impunix, che controlla e certifica l'attuazione completa della legge svizzera sulla protezione dei dati, delle linee guida dell'importatore o del produttore e delle raccomandazioni dell'AGVS nelle aziende. Ulteriori informazioni su: impunix.ch
Le PMI devono assolutamente esaminare con attenzione i propri moduli d'ordine e gli altri strumenti di raccolta dati pertinenti e adattarli, se necessario, in modo da essere conformi alla legge nel settembre 2023. In ogni caso, è consigliabile analizzare attentamente tutti i dati e chiarire i seguenti punti:
- Quali dati vengono raccolti da chi (clienti e dipendenti)?
- Quali di questi dati non sono direttamente collegati al servizio fornito?
- Quali dati sono considerati particolarmente degni di protezione?
- Dove vengono conservati questi dati?
- La protezione dei dati è sufficiente?
- Chi ha accesso interno o esterno ai dati e questo accesso è veramente necessario?
- Chi è responsabile internamente della sicurezza dei dati? Questa persona è sufficientemente formata?
- Quale processo si attiva in caso di fuga di dati e chi ne è responsabile?
Aggiungi commento
Commenti