Przejdz do tresci
Avanet
Nowa szwajcarska ustawa o ochronie danych (nDSG) – Co jest niezwykle ważne od 01.09.2023?

Nowa szwajcarska ustawa o ochronie danych (nDSG) – Co jest niezwykle ważne od 01.09.2023?

Nowa ustawa o ochronie danych (nDSG) i powiązane z nią rozporządzenia weszły w życie w Szwajcarii 1 września 2023 r. Nowelizacja dostosowuje ochronę danych do dzisiejszej technologii i społeczeństwa. Ludzie mają lepiej rozumieć i kontrolować sposób wykorzystywania swoich danych. Było to już najwyższy czas, jeśli weźmiemy pod uwagę, że poprzednia ustawa o ochronie danych pochodziła jeszcze z 1992 roku. Google powstał w 1998 roku, a Facebook (Meta) wystartował w 2004 roku. Najpóźniej wtedy rozpoczęło się gromadzenie danych 🐙 na ogromną skalę. RODO obowiązuje już od maja 2018 roku, a Szwajcaria teraz nadrobiła zaległości, choć z istotną różnicą w zakresie kar.

Dlaczego bezpieczeństwo IT staje się przez to jeszcze ważniejsze i dlaczego wiele firm reaguje dopiero teraz, wyjaśnię za chwilę.

Dlaczego potrzebna była nowa ustawa?

Nowa szwajcarska ustawa o ochronie danych ma dwa główne cele:

  • Aktualizuje zasady, aby dostosować je do współczesnych technologii, takich jak chmura, media społecznościowe, sztuczna inteligencja, Big Data i IoT. Ma to na celu zapewnienie ludziom większej kontroli nad własnymi danymi.
  • Zapewnia, że ochrona danych w Szwajcarii zostanie podniesiona do poziomu UE. Jest to ważne, aby wymiana danych między Szwajcarią 🇨🇭 a UE 🇪🇺 nadal przebiegała bez problemów. Ustawa uwzględnia również regulacje UE i międzynarodowe umowy o ochronie danych.

Dane osobowe? Mnie to nie dotyczy!

Dotyczy to każdego, kto ma do czynienia z danymi osobowymi: w pracy, w stowarzyszeniu czy w życiu prywatnym (z wyjątkiem przyjaciół i rodziny). Gdy tylko informacje odnoszą się bezpośrednio lub pośrednio do konkretnej osoby fizycznej, uznaje się je za dane osobowe. Obejmuje to nie tylko imię, nazwisko i adres, lecz także takie elementy jak adres IP czy adres e-mail. Jeśli takie dane są zbierane, przechowywane, wykorzystywane, zmieniane lub usuwane, mówimy o przetwarzaniu i zastosowanie ma zaktualizowana ustawa o ochronie danych.

Prywatność w fazie projektowania (Privacy by Design) i prywatność domyślna (Privacy by Default)

Prywatność domyślna” i „Prywatność w fazie projektowania” oznaczają, że firmy muszą od samego początku włączać ochronę danych do swojej technologii i ustawień. Oznacza to, że przy tworzeniu aplikacji lub stron internetowych zasady ochrony danych muszą być uwzględnione już na etapie planowania. Ponadto ustawienia domyślne powinny zawsze być najbardziej przyjazne dla prywatności. Na przykład, jeśli strona internetowa ma obszar członkowski, nazwa użytkownika nie powinna być widoczna domyślnie.

Minimalizowanie zbierania danych do niezbędnego minimum

Kiedy coś buduje się od podstaw (Privacy by Default), naturalnie łatwiej jest to uwzględnić; później zawsze jest to trochę bardziej skomplikowane. Ważne jest, aby dane były wykorzystywane tylko do celu, dla którego zostały pierwotnie zebrane. Można ich używać do innych celów tylko wtedy, gdy istnieje ku temu ważny powód, np. w celu realizacji umowy, lub gdy osoba, której dane dotyczą, wyrazi na to wyraźną zgodę.

Jeśli dane nie są już potrzebne do pierwotnego celu, należy je bezzwłocznie usunąć lub zanonimizować.

Cookies 🍪

Ta irytująca sprawa z cookies i powiązanymi banerami zgody.

Pliki cookie to małe pliki tekstowe, które strony internetowe zapisują na komputerze lub urządzeniu mobilnym użytkownika. Są one często używane do poprawy komfortu użytkowania poprzez zapisywanie ustawień lub śledzenie zachowań użytkowników. W nowej ustawie o ochronie danych pliki cookie są istotne, ponieważ często gromadzą dane osobowe. Ustawa wymaga zatem, aby użytkownicy byli jasno i wyraźnie informowani o tym, jakie pliki cookie są używane i w jakim celu. Ponadto użytkownicy muszą wyrazić zgodę na ich umieszczenie przed ich ustawieniem. Domyślne ustawienia widoczne w banerze plików cookie muszą być przyjazne dla prywatności. Oznacza to, że tylko absolutnie niezbędne pliki cookie powinny być aktywowane automatycznie.

Jednak prowadzenie strony internetowej bez plików cookie, które zbierają dane użytkowników, nie jest już trudne. Dzięki RODO dostępne są różne nowe narzędzia, które stanowią alternatywę i poważnie traktują ochronę danych. Nasza strona internetowa nie używa plików cookie.

Polityka prywatności

Polityka prywatności to kluczowy dokument, który powinien znajdować się na każdej stronie internetowej firmy. Informuje odwiedzających i klientów, jakie dane osobowe są zbierane, jak są wykorzystywane i przechowywane oraz jakie prawa przysługują osobom, których dane dotyczą. Jasna i zrozumiała polityka prywatności jest nie tylko dobrą praktyką biznesową, lecz także wymogiem prawnym, szczególnie w świetle nowych przepisów o ochronie danych. Powinna być regularnie aktualizowana, aby uwzględniać nowe wymogi prawne lub zmiany w praktykach przetwarzania danych.

Prawo do swoich danych

Każda osoba ma prawo do informacji o przechowywanych danych. Informacje te muszą być zazwyczaj udzielone w ciągu 30 dni i bezpłatnie osobie, której dotyczą. Osoby mają prawo do sprostowania błędnych danych lub żądania usunięcia danych. Prawa te nie są jednak absolutne i podlegają ograniczeniom, takim jak np. obowiązek przechowywania.

Bezpieczeństwo IT

Przejdźmy teraz do właściwego tematu tego artykułu: jak chronić dane. Jak widać, w firmie jest wiele miejsc, w których dane są zbierane, a tym samym przechowywane. Wszystko, co jest gdzieś przechowywane, może zostać skradzione, zaszyfrowane, zmienione lub usunięte. Dzięki odpowiednim środkom technicznym można zapobiegać niepożądanym zmianom.

Wprowadzenie nowej szwajcarskiej ustawy o ochronie danych (nDSG) znacznie zwiększyło znaczenie bezpieczeństwa IT w firmach, zwłaszcza w małych i średnich przedsiębiorstwach (MŚP). Chociaż bezpieczeństwo IT zawsze było czynnikiem krytycznym, nDSG jeszcze bardziej zwiększyło pilność tej kwestii. Od wejścia w życie ustawy 1 września 2023 r. odnotowaliśmy znaczny wzrost zapytań od MŚP, które chcą wzmocnić swoje środki bezpieczeństwa IT.

Ktoś inny powinien się tym zająć

Wiele z otrzymanych przez nas zapytań dotyczyło usługi Managed Detection and Response (MDR). Firmy chcą zrzec się odpowiedzialności i zdają sobie sprawę, że bezpieczeństwo IT to nie tylko zainstalowanie firewalla i już istniejącego programu Windows Defender.

Dlatego naturalnym krokiem jest przekazanie tego zadania zewnętrznym usługodawcom, którzy zajmują się threat huntingiem na pełen etat, nie robią praktycznie nic innego i bardzo dobrze znają tę scenę. To rozsądna decyzja, ponieważ MDR oferuje proaktywne monitorowanie i reagowanie na incydenty bezpieczeństwa, co wpisuje się w wymagania nDSG. Jeśli w firmie są też inne systemy, można również wysyłać dane telemetryczne od dostawców zewnętrznych do Sophos. Oznacza to, że także te dane mogą zostać uwzględnione w kompleksowej analizie bezpieczeństwa.

Mimo to wciąż słyszy się osoby, które uważają, że poradzą sobie z tym same, i nie doceniają skali tematu. Tutaj mogę polecić artykuł z filmami, po którym szybko można zmienić zdanie: The Ransomware Documentary

Mówię tu przede wszystkim o punkcie końcowym, ale to samo dotyczy oczywiście również firewalla. Konfiguracja, konserwacja, audyt i testy penetracyjne powinny być przeprowadzane przez przeszkolony personel lub, w przypadku jego braku, zlecone zewnętrznemu usługodawcy, takiemu jak my.

Audyt bezpieczeństwa - Zawsze testuj ponownie

Podczas gdy większość osób traktuje regularne przeglądy i serwis samochodu jako coś oczywistego, bo wymaga tego prawo, bezpieczeństwo IT bywa często zaniedbywane. Tymczasem właśnie dziś, gdy krajobraz zagrożeń stale rośnie i się zmienia, regularne sprawdzanie systemów IT jest niezbędne.

Ważnym krokiem w kierunku solidnego bezpieczeństwa IT są regularne audyty i testy penetracyjne. Podczas gdy audyty sprawdzają zgodność z wytycznymi bezpieczeństwa, testy penetracyjne symulują cyberataki w celu zidentyfikowania luk w systemie. Obie metody są ważne, aby zapewnić, że środki bezpieczeństwa spełniają aktualne wymagania.

Kilka najlepszych praktyk cyberbezpieczeństwa

W naszym niedawno opublikowanym wpisie na blogu „Rekomendacje Sophos – najlepsze praktyki cyberbezpieczeństwa” podkreśliliśmy kilka punktów, które są ważne dla bezpieczeństwa IT. Wiele z tych punktów może zostać uznanych za „niedbałość”, jeśli nie zostaną uwzględnione, szczególnie w świetle nowego nDSG.

Obowiązek zgłaszania

EDÖB to Federalny Inspektor Ochrony Danych i Informacji Publicznej w Szwajcarii. Jest to niezależny organ, który nadzoruje i egzekwuje ochronę danych na szczeblu federalnym. W nowej ustawie o ochronie danych (nDSG) EDÖB odgrywa ważną rolę, ponieważ odpowiada za monitorowanie zgodności z ustawą. W przypadku naruszeń ochrony danych, które stwarzają wysokie ryzyko dla praw osobistych lub podstawowych osób, których dane dotyczą, trzeba zgłosić je do EDÖB. Organ może również wydawać instrukcje i nakładać sankcje, jeśli przepisy o ochronie danych nie są przestrzegane.

Narodowe Centrum Cyberbezpieczeństwa (NCSC) Zgłoś incydent
report.ncsc.admin.ch

W ramach nDSG cyberataki, które prowadzą do naruszenia bezpieczeństwa danych, muszą być zgłaszane do EDÖB. Dotyczy to w szczególności sytuacji, gdy atak stwarza wysokie ryzyko dla praw osobistych lub podstawowych praw osób, których dane dotyczą.

Naruszenie bezpieczeństwa danych występuje wtedy, gdy dane osobowe zostaną nieumyślnie lub niezgodnie z prawem utracone, usunięte, zniszczone, zmienione lub udostępnione nieuprawnionym osobom. Należy to niezwłocznie zgłosić do EDÖB. Zgłoszenie musi nastąpić jak najszybciej, zazwyczaj w ciągu 72 godzin od uzyskania informacji o ataku. EDÖB jest właściwym organem do przyjmowania takich zgłoszeń i dalszego monitorowania sytuacji. Incydent musi być jednak również zgłoszony do NCSC: Zgłoś incydent do Narodowego Centrum Cyberbezpieczeństwa (NCSC)

Taki scenariusz powinien zostać przemyślany z wyprzedzeniem, a nie dopiero w momencie wystąpienia sytuacji awaryjnej.

Karalność

W przypadku umyślnych naruszeń nDSG, takich jak naruszenie obowiązków informacyjnych, obowiązku udzielenia informacji, współdziałania lub należytej staranności, osoby prywatne mogą zostać ukarane grzywną do 250 000 CHF. W przypadku naruszeń w działalności gospodarczej przedsiębiorstwa mogą zostać ukarane grzywną do 50 000 CHF, jeśli ustalenie osób odpowiedzialnych wymagałoby nieproporcjonalnego nakładu pracy, a możliwa grzywna dla tych osób wynosiłaby maksymalnie 50 000 CHF.

Tutaj leży również istotna różnica w stosunku do RODO. W odniesieniu do karalności należy w szczególności wziąć pod uwagę, że od 1 września 2023 r. naruszenie niektórych obowiązków stanowi podstawę karalności, która nie dotyczy przedsiębiorstwa, lecz odpowiedzialnej osoby fizycznej. Osoby odpowiedzialne mogą być zarówno członkami zarządu, jak i innymi osobami decyzyjnymi w firmie, a także osobami, które dopuściły się naruszenia obowiązku (np. naruszenia tajemnicy). Jednakże w prawie szwajcarskim karalne jest tylko świadome popełnienie czynu.

Grzywna w wysokości do 250 000 CHF może zostać nałożona w Szwajcarii za różne naruszenia ochrony danych, w tym za:

  • Brak przejrzystości lub brak polityki prywatności
  • Brak umów z podmiotami przetwarzającymi dane
  • Błędy w bezpieczeństwie danych, takie jak niewystarczające środki techniczne i organizacyjne (TOM)
  • Przekazywanie danych osobowych do krajów bez odpowiedniej ochrony danych, bez dodatkowych środków bezpieczeństwa lub bez ważnego wyjątku, takiego jak zgoda
  • Niewypełnienie obowiązku udzielania informacji
  • Naruszenie tak zwanej „małej tajemnicy zawodowej”

Zrewidowana szwajcarska ustawa o ochronie danych przewiduje również konsekwencje karne dla osób fizycznych odpowiedzialnych za takie naruszenia.

FAQ dotyczące nowego nDSG

Co to jest nowa szwajcarska ustawa o ochronie danych?

Jest to nowelizacja ustawy o ochronie danych z 1992 r., która weszła w życie 1 września 2023 r., mająca na celu wzmocnienie ochrony danych w Szwajcarii i dostosowanie jej do ogólnego rozporządzenia o ochronie danych UE.

Jakie są kary za naruszenie nDSG?

Kary mogą wynosić do 250 000 CHF, przy czym możliwe są również sankcje karne wobec osób fizycznych.

Co oznacza "Privacy by Design"?

Jest to zasada, zgodnie z którą ochrona danych i bezpieczeństwo danych są od początku integrowane z planowaniem i rozwojem projektów.

Czy firmy muszą informować użytkowników o przetwarzaniu ich danych?

Tak, firmy muszą jasno i wyraźnie informować użytkowników o tym, jakie dane są zbierane i w jakim celu.

Czy nDSG ma zastosowanie również do firm spoza Szwajcarii?

Tak, ustawa ma zakres transgraniczny i dotyczy każdej strony internetowej, która przetwarza dane osobowe osób w Szwajcarii, niezależnie od jej lokalizacji.

Jakie wymagania stawia nowa nDSG w zakresie zgody?

Zgoda musi być konkretna, świadoma i dobrowolna, przy czym użytkownicy powinni mieć możliwość wyrażenia zgody na różne kategorie plików cookie.

Kogo dotyczy nowa ustawa o ochronie danych?

Każdy, kto pracuje z danymi osobowymi, jest objęty ustawą. Dotyczy to firm, stowarzyszeń, ale także osób prywatnych, o ile wykorzystanie danych wykracza poza sferę prywatną, taką jak rodzina i przyjaciele.

Zastrzeżenie ⚖️

Prosimy pamiętać, że ten wpis na blogu jest jedynie krótkim podsumowaniem aspektów nowej ustawy o ochronie danych, które uważamy za ważne. Nie jesteśmy ekspertami prawnymi ani prawnikami. W celu uzyskania kompleksowej porady prawnej należy skonsultować się z wykwalifikowanym prawnikiem, aby upewnić się, że spełniasz wszystkie wymogi prawne. Naszym głównym źródłem było Admin.ch :: Komunikat prasowy :: Nowe prawo o ochronie danych od 1 września 2023 r.

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.