改正データ保護法の施行開始
(スイス)
ジュネーブ発
2023年09月04日
スイス連邦法務省は9月1日、改正した連邦データ保護法(FDPA)とそれに対応する条例の施行が開始されたと発表した。
今回の改正により、データ処理に関する透明性を向上させ、個人データの管理を強化し、プライバシーの保護を強化する。これには、データ管理者による通知義務とデータ主体の個人データへのアクセス権の両方が含まれる。データ処理について、データ主体者本人が認識して初めて法的権利を行使することができる。連邦データ保護・情報委員会(FDPIC)には、監督を確実にするためのより大きな権限が与えられた。また、データ保護違反に対する罰則規定が強化された(2021年1月5日付地域・分析レポート参照)。
新しいFDPAでは、今後のデータ処理を計画する際に、データ保護規制も考慮しなければならない。データ管理者は個人データ処理が最小限となるよう制限しなければならない。計画されたデータ処理がデータ主体の人格または基本的権利に高いリスクを伴う場合、データ管理者は事前にデータ保護影響評価(DPA)を実施しなければならない。特に宗教的・政治的信条に関する情報や医療データは機微な情報として慎重に取り扱うことが求められる。
また、国境を越えるデータの流通が増加していることから、個人データの越境移転に関する規定が改定された。連邦参事会(内閣)は今後、個人データ保護体制が十分な国を認定する(十分性認定)。十分性認定を行った国のリストはデータ保護条例の付属文書として公開され、データ管理者を法的に拘束することになる。今回の改正法の施行前までは、法的拘束力のないリストをFDPICが管理・公表していた(2020年9月11日記事参照)。
(竹上嗣郎)
(スイス)
ビジネス短信 a075c14de29a7019