Legge sulla protezione dei dati
Questi documenti sono necessari
5 giugno 2023 agvs-upsa.ch – Il 1° settembre 2023 entrerà in vigore la revisione della legge svizzera sulla protezione dei dati (nDSG), che adeguerà anche importanti disposizioni sulla documentazione per il trattamento dei dati personali. In futuro, gli imprenditori dovranno aspettarsi multe personali e osservare obblighi più severi: per questo motivo, la documentazione, le informazioni e gli obblighi di due diligence devono essere controllati e adattati per essere aggiornati e completi al momento della loro entrata in vigore. Questo articolo illustra i documenti essenziali di grande importanza per l'attuazione.
Una questione di preparazione: la nuova legge sulla protezione dei dati deve essere affrontata per tempo. Foto: iStock
tp. Da un lato, ci sono i requisiti legali, gli obblighi di due diligence e le raccomandazioni organizzative per la protezione dei dati. Dall'altro lato, gli importatori o addirittura i partner finanziari si rivolgono ai proprietari delle officine con le loro specifiche. La documentazione può anche aiutare a scagionare una persona o un'officina se deve difendersi dall'accusa di aver trascurato gli obblighi di protezione dei dati.
Tahir Pardhan, AGVS
Quali sono i documenti essenziali per la protezione dei dati?
Per cominciare, la Parte 1 presenta i documenti la cui assenza o incompletezza può comportare una sanzione punitiva, seguita dalla Parte 2 con i documenti importanti per l'organizzazione interna e che possono servire a scagionare in caso di incidenti. Infine, la Parte 3 presenta le responsabilità e il coinvolgimento di un consulente per la protezione dei dati.
Parte 1
Dichiarazione sulla protezione dei dati: di norma, prima della raccolta e dell'elaborazione dei dati viene comunicato in quale contesto avviene l'elaborazione dei dati, ovvero come vengono raccolti, elaborati, trasmessi, ecc. I relativi documenti sulla protezione dei dati non devono essere presenti solo sui siti web, ma devono anche essere allegati alle telecamere di sorveglianza o inclusi nei contratti con fornitori e clienti. Pertanto, le disposizioni aggiuntive devono essere allegate ai documenti di vendita e ai contratti.
Informativa sulla privacy per i dipendenti: Anche i dipendenti sono soggetti interessati e devono essere informati formalmente, poiché il datore di lavoro tratta dati personali, compresi quelli particolarmente sensibili che richiedono protezione, ad esempio nell'ambito dei contratti di lavoro. L'informativa serve a garantire che i dati personali dei dipendenti siano trattati in modo lecito. Inoltre, possono essere stipulati ulteriori accordi che, ad esempio, devono essere sottoscritti solo dai dipendenti di un determinato reparto.
Accordi sull'elaborazione degli ordini: ci sono aziende che fanno elaborare i dati personali da partner esterni, come ad esempio un'agenzia di marketing. Per questo tipo di ordine è necessario stipulare un contratto, che sia formulato in modo dettagliato e definisca chiaramente le responsabilità, tra le altre cose.
Valutazione d'impatto sulla protezione dei dati: un esame preventivo e documentato delle operazioni di trattamento dei dati previste che comportano un rischio elevato per le libertà civili, soprattutto quando si utilizzano nuove tecnologie o grandi quantità di dati.
Documentazione delle misure tecnico-organizzative (TOM): si tratta di un documento completo per documentare tutte le misure volte a garantire la protezione del trattamento dei dati personali. L'art. 8 in combinato disposto con l'art. 1 e segg. FADP, vengono stabilite le misure minime per la sicurezza dei dati. La documentazione scritta delle garanzie sufficienti (TOM) è richiesta nell'ambito della revisione del trattamento commissionato.
Volker Dohr, Impunix
Parte 2
Elenco delle attività di trattamento: L'elenco delle attività di trattamento (art. 12) è obbligatorio per 250 o più dipendenti. Per un numero inferiore di dipendenti, è fortemente raccomandato.
Si tratta di un elenco interno di tutte le attività di trattamento dei dati personali, che deve essere conservato sia dal responsabile del trattamento che dall'incaricato del trattamento. L'elenco serve come base essenziale per una documentazione strutturata sulla protezione dei dati ed è uno strumento particolarmente importante per i controlli sulla protezione dei dati. Deve essere presentato a un'autorità di controllo su richiesta.
Documentazione di formazione: senza un'adeguata formazione di tutti i dipendenti che entrano in contatto con i dati personali, possono verificarsi lacune nella protezione dei dati che possono portare a una violazione dei principi fondamentali o che possono rappresentare una minaccia per la sicurezza dei dati. Pertanto, i dipendenti devono essere formati regolarmente con esempi concreti.
Concetto/guida di protezione dei dati: un documento molto completo che riassume tutte le misure e gli obblighi di protezione dei dati di un'azienda e informa sulla valutazione della legalità del trattamento dei dati. Svolge un ruolo centrale nella gestione della protezione dei dati ed è uno dei documenti più importanti.
È essenziale per il concetto generale (sistema di gestione della protezione dei dati) che sia progettato in modo diverso per ogni azienda, poiché ogni azienda ha fornitori di servizi, importatori, fornitori e società affiliate individuali. Questo è l'unico modo per garantire una protezione completa. Di conseguenza, non è consigliabile cercare su Internet esempi, modelli, concetti o addirittura copiarli.
Impegno alla riservatezza: i dipendenti che trattano dati personali nel corso del loro lavoro devono impegnarsi alla riservatezza. Ciò avviene con la firma di un accordo di riservatezza. Infine, ma non meno importante, è stata introdotta la fattispecie penale del segreto professionale (art. 62).
Parte 3
Chi è responsabile della preparazione dei documenti di protezione dei dati?
In considerazione dei numerosi documenti, talvolta molto diversi tra loro, la responsabilità non deve ricadere su un'unica persona, sebbene il consiglio di amministrazione o l'amministratore delegato siano inizialmente i principali responsabili dal punto di vista del diritto penale.
In pratica, il consulente interno o esterno per la protezione dei dati è intensamente coinvolto nella creazione dei documenti di protezione dei dati. Egli stesso prepara molti documenti o lavora a stretto contatto con i dipendenti dei singoli reparti che ottengono le informazioni dai loro colleghi. Tuttavia, il consiglio di amministrazione e la direzione devono sempre essere coinvolti per identificare tempestivamente le innovazioni e gli effetti della protezione dei dati sui processi aziendali.
Cosa può fare un consulente esterno per la protezione dei dati?
All'inizio della consulenza sulla protezione dei dati, un compito centrale è quello di sviluppare il concetto di protezione dei dati. Il consulente per la protezione dei dati è responsabile di questo e, insieme al coordinatore interno per la protezione dei dati, assicura che il concetto sia implementato in modo coerente. Assicura inoltre che i cambiamenti (ad esempio dovuti a influenze legali o a sentenze di tribunali) vengano affrontati e che la sicurezza dei dati venga mantenuta. Il coordinatore interno della protezione dei dati presta attenzione alla protezione dei dati in caso di nuovi fornitori e fornitori di servizi, di nuovi dipendenti o di conversione dei processi aziendali e, insieme all'ente esterno, adatta l'implementazione del concetto se necessario.
Un consulente esterno in materia di protezione dei dati ha realizzato più volte progetti di questo tipo e conosce quindi molto bene la procedura, la legge e le autorità. In quanto specialista esperto, conosce gli ostacoli ed è in grado di elaborare soluzioni affidabili in modo tempestivo.
Una questione di preparazione: la nuova legge sulla protezione dei dati deve essere affrontata per tempo. Foto: iStock
tp. Da un lato, ci sono i requisiti legali, gli obblighi di due diligence e le raccomandazioni organizzative per la protezione dei dati. Dall'altro lato, gli importatori o addirittura i partner finanziari si rivolgono ai proprietari delle officine con le loro specifiche. La documentazione può anche aiutare a scagionare una persona o un'officina se deve difendersi dall'accusa di aver trascurato gli obblighi di protezione dei dati.
Tahir Pardhan, AGVS
Quali sono i documenti essenziali per la protezione dei dati?
Per cominciare, la Parte 1 presenta i documenti la cui assenza o incompletezza può comportare una sanzione punitiva, seguita dalla Parte 2 con i documenti importanti per l'organizzazione interna e che possono servire a scagionare in caso di incidenti. Infine, la Parte 3 presenta le responsabilità e il coinvolgimento di un consulente per la protezione dei dati.
Parte 1
Dichiarazione sulla protezione dei dati: di norma, prima della raccolta e dell'elaborazione dei dati viene comunicato in quale contesto avviene l'elaborazione dei dati, ovvero come vengono raccolti, elaborati, trasmessi, ecc. I relativi documenti sulla protezione dei dati non devono essere presenti solo sui siti web, ma devono anche essere allegati alle telecamere di sorveglianza o inclusi nei contratti con fornitori e clienti. Pertanto, le disposizioni aggiuntive devono essere allegate ai documenti di vendita e ai contratti.
Informativa sulla privacy per i dipendenti: Anche i dipendenti sono soggetti interessati e devono essere informati formalmente, poiché il datore di lavoro tratta dati personali, compresi quelli particolarmente sensibili che richiedono protezione, ad esempio nell'ambito dei contratti di lavoro. L'informativa serve a garantire che i dati personali dei dipendenti siano trattati in modo lecito. Inoltre, possono essere stipulati ulteriori accordi che, ad esempio, devono essere sottoscritti solo dai dipendenti di un determinato reparto.
Accordi sull'elaborazione degli ordini: ci sono aziende che fanno elaborare i dati personali da partner esterni, come ad esempio un'agenzia di marketing. Per questo tipo di ordine è necessario stipulare un contratto, che sia formulato in modo dettagliato e definisca chiaramente le responsabilità, tra le altre cose.
Valutazione d'impatto sulla protezione dei dati: un esame preventivo e documentato delle operazioni di trattamento dei dati previste che comportano un rischio elevato per le libertà civili, soprattutto quando si utilizzano nuove tecnologie o grandi quantità di dati.
Documentazione delle misure tecnico-organizzative (TOM): si tratta di un documento completo per documentare tutte le misure volte a garantire la protezione del trattamento dei dati personali. L'art. 8 in combinato disposto con l'art. 1 e segg. FADP, vengono stabilite le misure minime per la sicurezza dei dati. La documentazione scritta delle garanzie sufficienti (TOM) è richiesta nell'ambito della revisione del trattamento commissionato.
Volker Dohr, Impunix
Parte 2
Elenco delle attività di trattamento: L'elenco delle attività di trattamento (art. 12) è obbligatorio per 250 o più dipendenti. Per un numero inferiore di dipendenti, è fortemente raccomandato.
Si tratta di un elenco interno di tutte le attività di trattamento dei dati personali, che deve essere conservato sia dal responsabile del trattamento che dall'incaricato del trattamento. L'elenco serve come base essenziale per una documentazione strutturata sulla protezione dei dati ed è uno strumento particolarmente importante per i controlli sulla protezione dei dati. Deve essere presentato a un'autorità di controllo su richiesta.
Documentazione di formazione: senza un'adeguata formazione di tutti i dipendenti che entrano in contatto con i dati personali, possono verificarsi lacune nella protezione dei dati che possono portare a una violazione dei principi fondamentali o che possono rappresentare una minaccia per la sicurezza dei dati. Pertanto, i dipendenti devono essere formati regolarmente con esempi concreti.
Concetto/guida di protezione dei dati: un documento molto completo che riassume tutte le misure e gli obblighi di protezione dei dati di un'azienda e informa sulla valutazione della legalità del trattamento dei dati. Svolge un ruolo centrale nella gestione della protezione dei dati ed è uno dei documenti più importanti.
È essenziale per il concetto generale (sistema di gestione della protezione dei dati) che sia progettato in modo diverso per ogni azienda, poiché ogni azienda ha fornitori di servizi, importatori, fornitori e società affiliate individuali. Questo è l'unico modo per garantire una protezione completa. Di conseguenza, non è consigliabile cercare su Internet esempi, modelli, concetti o addirittura copiarli.
Impegno alla riservatezza: i dipendenti che trattano dati personali nel corso del loro lavoro devono impegnarsi alla riservatezza. Ciò avviene con la firma di un accordo di riservatezza. Infine, ma non meno importante, è stata introdotta la fattispecie penale del segreto professionale (art. 62).
Parte 3
Chi è responsabile della preparazione dei documenti di protezione dei dati?
In considerazione dei numerosi documenti, talvolta molto diversi tra loro, la responsabilità non deve ricadere su un'unica persona, sebbene il consiglio di amministrazione o l'amministratore delegato siano inizialmente i principali responsabili dal punto di vista del diritto penale.
In pratica, il consulente interno o esterno per la protezione dei dati è intensamente coinvolto nella creazione dei documenti di protezione dei dati. Egli stesso prepara molti documenti o lavora a stretto contatto con i dipendenti dei singoli reparti che ottengono le informazioni dai loro colleghi. Tuttavia, il consiglio di amministrazione e la direzione devono sempre essere coinvolti per identificare tempestivamente le innovazioni e gli effetti della protezione dei dati sui processi aziendali.
Cosa può fare un consulente esterno per la protezione dei dati?
All'inizio della consulenza sulla protezione dei dati, un compito centrale è quello di sviluppare il concetto di protezione dei dati. Il consulente per la protezione dei dati è responsabile di questo e, insieme al coordinatore interno per la protezione dei dati, assicura che il concetto sia implementato in modo coerente. Assicura inoltre che i cambiamenti (ad esempio dovuti a influenze legali o a sentenze di tribunali) vengano affrontati e che la sicurezza dei dati venga mantenuta. Il coordinatore interno della protezione dei dati presta attenzione alla protezione dei dati in caso di nuovi fornitori e fornitori di servizi, di nuovi dipendenti o di conversione dei processi aziendali e, insieme all'ente esterno, adatta l'implementazione del concetto se necessario.
Un consulente esterno in materia di protezione dei dati ha realizzato più volte progetti di questo tipo e conosce quindi molto bene la procedura, la legge e le autorità. In quanto specialista esperto, conosce gli ostacoli ed è in grado di elaborare soluzioni affidabili in modo tempestivo.
L'UPSA organizza anche un webinar sul tema della legge sulla protezione dei dati. Interverranno Cornelia Stengel, direttrice dell'Associazione svizzera di leasing e docente in diverse università, Luca Stäuble, avvocato e docente all'Università di Scienze Applicate di Zurigo, e Gaspare Loderer, avvocato nel campo della protezione dei dati. Il webinar durerà mezza giornata. Tutte le informazioni sono disponibili nella Business Academy di UPSA.
Aggiungi commento
Commenti