Przejdz do tresci
Avanet
Nowa szwajcarska ustawa o ochronie danych (nDSG) – Co jest niezwykle ważne od 01.09.2023?

Nowa szwajcarska ustawa o ochronie danych (nDSG) – Co jest niezwykle ważne od 01.09.2023?

4. PAŹDZIERNIKA 2023

Nowa ustawa o ochronie danych (nDSG) i związane z nią rozporządzenia weszły w życie w Szwajcarii 1 września 2023 r. Zmiana ustawy dostosowuje ochronę danych do współczesnej technologii i społeczeństwa. Ludzie powinni być w stanie lepiej rozumieć i kontrolować sposób wykorzystywania ich danych. Jest to również już dawno spóźnione, biorąc pod uwagę, że stara ustawa o ochronie danych pochodziła jeszcze z 1992 roku. Google został założony w 1998 roku, a Facebook (Meta) uruchomiono w 2004 roku. Najpóźniej wtedy rozpoczęło się gromadzenie danych 🐙 na dużą skalę. RODO również obowiązuje od maja 2018 roku, a Szwajcaria teraz poszła w jego ślady, choć z istotną różnicą w kwestii kar.

Dlaczego w rezultacie bezpieczeństwo IT staje się jeszcze ważniejsze i dlaczego wielu reaguje dopiero teraz, wyjaśnię za chwilę.

Dlaczego potrzebna była nowa ustawa?

Nowa szwajcarska ustawa o ochronie danych ma dwa główne cele:

  • Aktualizuje zasady, aby dostosować je do współczesnych technologii, takich jak chmura, media społecznościowe, sztuczna inteligencja, Big Data i IoT. Ma to na celu zapewnienie ludziom większej kontroli nad własnymi danymi.
  • Zapewnia, że ochrona danych w Szwajcarii zostanie podniesiona do poziomu UE. Jest to ważne, aby wymiana danych między Szwajcarią 🇨🇭 a UE 🇪🇺 nadal przebiegała bez problemów. Ustawa uwzględnia również regulacje UE i międzynarodowe umowy o ochronie danych.

Dane osobowe? Mnie to nie dotyczy!

Dotyczy to każdego, kto ma do czynienia z danymi osobowymi. Zarówno w pracy, jak i w stowarzyszeniu czy w życiu prywatnym (z wyjątkiem przyjaciół i rodziny). Gdy tylko informacja odnosi się bezpośrednio lub pośrednio do konkretnej osoby fizycznej, jest ona uważana za dane osobowe. Obejmuje to nie tylko imię i nazwisko oraz adres, ale także takie rzeczy, jak adres IP czy adres e-mail. Jeśli takie dane są zbierane, przechowywane, wykorzystywane, zmieniane lub usuwane, mówimy o przetwarzaniu i ma zastosowanie zaktualizowana ustawa o ochronie danych.

Prywatność w fazie projektowania (Privacy by Design) i prywatność domyślna (Privacy by Default)

Prywatność domyślna” i „Prywatność w fazie projektowania” oznaczają, że firmy muszą od samego początku włączać ochronę danych do swojej technologii i ustawień. Oznacza to, że przy tworzeniu aplikacji lub stron internetowych zasady ochrony danych muszą być uwzględnione już na etapie planowania. Ponadto ustawienia domyślne powinny zawsze być najbardziej przyjazne dla prywatności. Na przykład, jeśli strona internetowa ma obszar członkowski, nazwa użytkownika nie powinna być widoczna domyślnie.

Minimalizowanie zbierania danych do niezbędnego minimum

Kiedy coś buduje się od podstaw (Privacy by Default), naturalnie łatwiej jest to uwzględnić; później zawsze jest to trochę bardziej skomplikowane. Ważne jest, aby dane były wykorzystywane tylko do celu, dla którego zostały pierwotnie zebrane. Można ich używać do innych celów tylko wtedy, gdy istnieje ku temu ważny powód, np. w celu realizacji umowy, lub gdy osoba, której dane dotyczą, wyrazi na to wyraźną zgodę.

Jeśli dane nie są już potrzebne do pierwotnego celu, należy je bezzwłocznie usunąć lub zanonimizować.

Cookies 🍪

Denerwujące ciasteczka i związane z nimi banery z prośbą o zgodę.

Pliki cookie to małe pliki tekstowe, które strony internetowe zapisują na komputerze lub urządzeniu mobilnym użytkownika. Są one często używane do poprawy komfortu użytkowania poprzez zapisywanie ustawień lub śledzenie zachowań użytkowników. W nowej ustawie o ochronie danych pliki cookie są istotne, ponieważ często gromadzą dane osobowe. Ustawa wymaga zatem, aby użytkownicy byli jasno i wyraźnie informowani o tym, jakie pliki cookie są używane i w jakim celu. Ponadto użytkownicy muszą wyrazić zgodę na ich umieszczenie przed ich ustawieniem. Domyślne ustawienia widoczne w banerze plików cookie muszą być przyjazne dla prywatności. Oznacza to, że tylko absolutnie niezbędne pliki cookie powinny być aktywowane automatycznie.

Jednak prowadzenie strony internetowej bez plików cookie, które zbierają dane użytkowników, nie jest już trudne. Dzięki RODO dostępne są różne nowe narzędzia, które stanowią alternatywę i poważnie traktują ochronę danych. Nasza strona internetowa nie używa plików cookie.

Polityka prywatności

Polityka prywatności to podstawowy dokument, który powinien znajdować się na każdej stronie internetowej firmy. Informuje ona odwiedzających i klientów o tym, jakie dane osobowe są zbierane, w jaki sposób są wykorzystywane i przechowywane oraz jakie prawa przysługują osobom, których dane dotyczą. Ponadto jasna i zrozumiała polityka prywatności jest nie tylko dobrą praktyką biznesową, ale także wymogiem prawnym, szczególnie w świetle nowych przepisów o ochronie danych. Powinna być regularnie aktualizowana, aby odzwierciedlać nowe wymogi prawne lub zmiany w praktykach przetwarzania danych.

Prawo do swoich danych

Każda osoba ma prawo do informacji o przechowywanych danych. Informacje te muszą być zazwyczaj udzielone w ciągu 30 dni i bezpłatnie osobie, której dotyczą. Osoby mają prawo do sprostowania błędnych danych lub żądania usunięcia danych. Prawa te nie są jednak absolutne i podlegają ograniczeniom, takim jak np. obowiązek przechowywania.

Bezpieczeństwo IT

Przejdźmy teraz do właściwego tematu tego artykułu: jak chronić dane. Jak widać, w firmie jest wiele miejsc, w których dane są zbierane, a tym samym przechowywane. Wszystko, co jest gdzieś przechowywane, może zostać skradzione, zaszyfrowane, zmienione lub usunięte. Dzięki niezbędnym środkom technicznym masz teraz możliwość zapobiegania niepożądanym zmianom.

Wprowadzenie nowej szwajcarskiej ustawy o ochronie danych (nDSG) znacznie zwiększyło znaczenie bezpieczeństwa IT w firmach, zwłaszcza w małych i średnich przedsiębiorstwach (MŚP). Chociaż bezpieczeństwo IT zawsze było czynnikiem krytycznym, nDSG jeszcze bardziej zwiększyło pilność tej kwestii. Od wejścia w życie ustawy 1 września 2023 r. odnotowaliśmy znaczny wzrost zapytań od MŚP, które chcą wzmocnić swoje środki bezpieczeństwa IT.

Ktoś inny powinien się tym zająć

Wiele z otrzymanych przez nas zapytań dotyczyło usługi Managed Detection and Response (MDR). Firmy chcą zrzec się odpowiedzialności i zdają sobie sprawę, że bezpieczeństwo IT to nie tylko zainstalowanie firewalla i już istniejącego programu Windows Defender.

Dlatego oczywiste jest zlecenie tego zadania zewnętrznym usługodawcom, którzy zajmują się tematem w pełnym wymiarze godzin i zajmują się łowieniem zagrożeń, którzy nie robią nic innego i doskonale znają branżę. Jest to mądra decyzja, ponieważ MDR oferuje proaktywne monitorowanie i reagowanie na incydenty bezpieczeństwa, co jest zgodne z wymaganiami nDSG. Jeśli w firmie masz inne systemy, możesz również wysyłać dane telemetryczne innych firm do Sophos. Oznacza to, że dane te również mogą być brane pod uwagę w kompleksowej analizie bezpieczeństwa.

Mimo to wciąż słyszy się o ludziach, którzy myślą, że mogą to zrobić sami i nie doceniają wagi tego tematu. Tutaj mogę polecić ten artykuł z filmami i szybko zmienisz zdanie: Film dokumentalny o ransomware

Mówię tu przede wszystkim o punkcie końcowym, ale to samo dotyczy oczywiście również firewalla. Konfiguracja, konserwacja, audyt i testy penetracyjne powinny być przeprowadzane przez przeszkolony personel lub, w przypadku jego braku, zlecone zewnętrznemu usługodawcy, takiemu jak my.

Audyt bezpieczeństwa - Zawsze testuj ponownie

Podczas gdy większość ludzi uważa regularne przeglądy i konserwację swoich samochodów za coś oczywistego, ponieważ jest to wymagane przez prawo, bezpieczeństwo IT jest często zaniedbywane. Jednakże, szczególnie w dzisiejszych czasach, gdy krajobraz zagrożeń stale rośnie i zmienia się, niezbędne jest ciągłe testowanie systemów IT.

Ważnym krokiem w kierunku solidnego bezpieczeństwa IT są regularne audyty i testy penetracyjne. Podczas gdy audyty sprawdzają zgodność z wytycznymi bezpieczeństwa, testy penetracyjne symulują cyberataki w celu zidentyfikowania luk w systemie. Obie metody są ważne, aby zapewnić, że środki bezpieczeństwa spełniają aktualne wymagania.

Kilka najlepszych praktyk cyberbezpieczeństwa

W naszym niedawno opublikowanym wpisie na blogu „Rekomendacje Sophos – najlepsze praktyki cyberbezpieczeństwa” podkreśliliśmy kilka punktów, które są ważne dla bezpieczeństwa IT. Wiele z tych punktów może zostać uznanych za „niedbałość”, jeśli nie zostaną uwzględnione, szczególnie w świetle nowego nDSG.

Obowiązek zgłaszania

EDÖB to Federalny Inspektor Ochrony Danych i Publiczności w Szwajcarii. Jest to niezależny organ, który monitoruje i egzekwuje ochronę danych na szczeblu federalnym. W nowej ustawie o ochronie danych (nDSG) EDÖB odgrywa ważną rolę, ponieważ jest odpowiedzialny za monitorowanie przestrzegania ustawy. W przypadku naruszeń ochrony danych, które stanowią wysokie ryzyko dla praw osobistych lub podstawowych osób, których dane dotyczą, należy je zgłosić do EDÖB. Może on również wydawać instrukcje i nakładać sankcje, jeśli przepisy o ochronie danych nie są przestrzegane.

Narodowe Centrum Cyberbezpieczeństwa (NCSC) Zgłoś incydent
report.ncsc.admin.ch

W ramach nDSG, cyberataki, które prowadzą do naruszenia bezpieczeństwa danych, muszą być zgłaszane do EDÖB. Ma to miejsce w szczególności, gdy atak stanowi wysokie ryzyko dla praw osobistych lub podstawowych praw osób, których dane dotyczą.

Naruszenie bezpieczeństwa danych występuje wtedy, gdy dane osobowe zostaną nieumyślnie lub niezgodnie z prawem utracone, usunięte, zniszczone, zmienione lub udostępnione nieuprawnionym osobom. Należy to niezwłocznie zgłosić do EDÖB. Zgłoszenie musi nastąpić jak najszybciej, zazwyczaj w ciągu 72 godzin od uzyskania informacji o ataku. EDÖB jest właściwym organem do przyjmowania takich zgłoszeń i dalszego monitorowania sytuacji. Incydent musi być jednak również zgłoszony do NCSC: Zgłoś incydent do Narodowego Centrum Cyberbezpieczeństwa (NCSC)

Taki scenariusz powinien zostać przemyślany z wyprzedzeniem, a nie dopiero w momencie wystąpienia sytuacji awaryjnej.

Karalność

W przypadku umyślnych naruszeń nDSG, takich jak naruszenie obowiązków informacyjnych, informacyjnych, współpracy lub należytej staranności, osoby prywatne mogą zostać ukarane grzywną do 250 000 CHF. W przypadku naruszeń w działalności gospodarczej, firmy mogą zostać ukarane grzywną do 50 000 CHF, jeśli ustalenie tożsamości osób winnych wiązałoby się z nieproporcjonalnym wysiłkiem – i grzywna dla nich nie przekroczyłaby 50 000 CHF.

Tutaj leży również istotna różnica w stosunku do RODO. W odniesieniu do karalności należy w szczególności wziąć pod uwagę, że od 1 września 2023 r. naruszenie niektórych obowiązków stanowi podstawę karalności, która nie dotyczy przedsiębiorstwa, lecz odpowiedzialnej osoby fizycznej. Osoby odpowiedzialne mogą być zarówno członkami zarządu, jak i innymi osobami decyzyjnymi w firmie, a także osobami, które dopuściły się naruszenia obowiązku (np. naruszenia tajemnicy). Jednakże w prawie szwajcarskim karalne jest tylko świadome popełnienie czynu.

Grzywna w wysokości do 250 000 CHF może zostać nałożona w Szwajcarii za różne przestępstwa związane z ochroną danych, w tym za:

  • Brak przejrzystości lub brak polityki prywatności
  • Brak umów z podmiotami przetwarzającymi dane
  • Błędy w bezpieczeństwie danych, takie jak niewystarczające środki techniczne i organizacyjne (TOM)
  • Przekazywanie danych osobowych do krajów bez odpowiedniej ochrony danych, bez dodatkowych środków bezpieczeństwa lub bez ważnego wyjątku, takiego jak zgoda
  • Niewypełnienie obowiązku udzielania informacji
  • Ignorowanie tak zwanej „małej tajemnicy zawodowej”

Zrewidowana szwajcarska ustawa o ochronie danych przewiduje również konsekwencje karne dla osób fizycznych odpowiedzialnych za takie przestępstwa.

FAQ dotyczące nowego nDSG

Co to jest nowa szwajcarska ustawa o ochronie danych?

Jest to nowelizacja ustawy o ochronie danych z 1992 r., która weszła w życie 1 września 2023 r., mająca na celu wzmocnienie ochrony danych w Szwajcarii i dostosowanie jej do ogólnego rozporządzenia o ochronie danych UE.

Jakie są kary za naruszenie nDSG?

Kary mogą wynosić do 250 000 CHF, przy czym możliwe są również sankcje karne wobec osób fizycznych.

Co oznacza "Privacy by Design"?

Jest to zasada, zgodnie z którą ochrona danych i bezpieczeństwo danych są od początku integrowane z planowaniem i rozwojem projektów.

Czy firmy muszą informować użytkowników o przetwarzaniu ich danych?

Tak, firmy muszą jasno i wyraźnie informować użytkowników o tym, jakie dane są zbierane i w jakim celu.

Czy nDSG ma zastosowanie również do firm spoza Szwajcarii?

Tak, ustawa ma zakres transgraniczny i dotyczy każdej strony internetowej, która przetwarza dane osobowe osób w Szwajcarii, niezależnie od jej lokalizacji.

Jakie wymagania stawia nowa nDSG w zakresie zgody?

Zgoda musi być konkretna, świadoma i dobrowolna, przy czym użytkownicy powinni mieć możliwość wyrażenia zgody na różne kategorie plików cookie.

Kogo dotyczy nowa ustawa o ochronie danych?

Każdy, kto pracuje z danymi osobowymi, jest objęty ustawą. Dotyczy to firm, stowarzyszeń, ale także osób prywatnych, o ile wykorzystanie danych wykracza poza sferę prywatną, taką jak rodzina i przyjaciele.

Zastrzeżenie ⚖️

Prosimy pamiętać, że ten wpis na blogu jest jedynie krótkim podsumowaniem aspektów nowej ustawy o ochronie danych, które uważamy za ważne. Nie jesteśmy ekspertami prawnymi ani prawnikami. W celu uzyskania kompleksowej porady prawnej należy skonsultować się z wykwalifikowanym prawnikiem, aby upewnić się, że spełniasz wszystkie wymogi prawne. Naszym głównym źródłem było Admin.ch :: Komunikat prasowy :: Nowe prawo o ochronie danych od 1 września 2023 r.

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.