English version below
Dieser Blogpost ist der vierte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.
Das revidierte Schweizer Datenschutzgesetz verpflichtet zur Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten. Es handelt sich dabei um eine Liste, in welchem ein Unternehmen alle Prozesse auflistet, in welchen Personendaten bearbeitet werden.
Art. 12 revDSG gibt vor, welche Angaben das Verzeichnis enthalten muss. Konkret sollte für jeden Prozess die folgenden Angaben ermittelt werden:
- Wer ist für die Bearbeitung verantwortlich?
- Wer ist der Auftragsdatenbearbeiter?
- Zu welchem Zweck werden die Daten bearbeitet?
- Welche Kategorien von Personen sind betroffen?
- Welche Kategorien von Daten sind betroffen?
- An welche Kategorien von Empfängern werden Daten übertragen?
- Wie lange werden die Daten aufbewahrt?
- Mit welchen Massnahmen wird die Datensicherheit gewährleistet?
- In welche Länder werden Daten übertragen? Welche Garantien zur Sicherstellung des Datenschutzes bestehen beim Transfer in diese Länder?
Nach der Revision muss das Verzeichnis von Unternehmen mit mehr als 250 Mitarbeitern zwingend geführt werden. Kleinere Unternehmen oder Privatpersonen müssen nur dann ein Verzeichnis führen, wenn sie umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen (Art. 26 revVDSG). Diese Regelung entstammt dem Entwurf der Verordnung zum revDSG und könnte bis zum Inkrafttreten des Gesetzes allenfalls noch verändert werden.
Unternehmen die der europäischen DSGVO unterliegen, müssen aufgrund der Regelung in Art. 30 DSGVO bereits heute ein solches Verzeichnis führen.
In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.
English version:
Series revDSG: Directory of data processing operations
This blogpost is the fourth in our new series on the revised Swiss Data Protection Act.
The revised Swiss Data Protection Act requires the creation of a register of processing activities. This is a list in which a company lists all processes in which personal data are processed.
Art. 12 revDSG specifies what information the directory must contain. Specifically, the following information should be identified for each process:
- Who is responsible for the processing?
- Who is the commissioned data processor?
- For what purpose is the data processed?
- What categories of individuals are affected?
- What categories of data are affected?
- To which categories of recipients is data transferred?
- How long will the data be stored?
- What measures are taken to ensure data security?
- To which countries is data transferred? What guarantees are in place to ensure data protection when transferring to these countries?
After the revision, it will be mandatory for companies with more than 250 employees to maintain the directory. Smaller companies or private individuals only have to keep a directory if they extensively process particularly sensitive personal data or carry out high-risk profiling (Art. 26 revVDSG). This regulation originates from the draft of the ordinance to the revDSG and could still be changed until the law enters into force.
Companies that are subject to the European GDPR must already maintain such a directory today due to the regulation in Art. 30 GDPR.
In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.