Seit einigen Monaten ist die Abkürzung "LPD" sehr beliebt geworden. LPD repräsentiert das offizielle Akronym für das Datenschutzgesetz, eine von der Bundesversammlung nach einer langen Verarbeitungszeit vorgesehene Gesetzgebung, genau am 25. September 2020.

Das neue Modell erfordert eine Neubewertung grundlegender Aspekte des Unternehmens, wie der internen Organisation, der Personalmanagement, der verwendeten Technologie, der Lieferanten von Waren und Dienstleistungen, Sicherheit und Transparenz von Behandlungen. Die Verstärkung der Vorschriften ist eine natürliche Folge der Digitalisierung und die damit verbundenen systemischen Risiken (denken Sie an die IT -Katastrophen, die Diebstähle personenbezogener Daten und die Fälle von Erpressung durch "Ransomware") sowie die Missbräuche, die in internationalen Skandalen wie "Cambridge Analytica" (Profilierung und Manipulation der Masssen zu Manipulation der Masse "oder" Cambridge Analytica "oder" Masssen "oder" Masssen "oder durch den Fall von Snowden entstanden sind.

Das jüngste Data Protection Law (LPD) hat als Hauptziel die Sicherung von Einzelpersonen und folglich der gesamten Community aus jeglicher Form der unsachgemäßen Verwendung personenbezogener Daten. Ziel ist es sicherzustellen, dass die Informationen korrekt verwendet werden, um ein sicheres, effizientes und ohne Diskriminierungsunternehmen zu schaffen. Auf poetischere Weise könnten wir sagen, dass die LPD darauf abzielt, das kostbarste Wohl von allen zu schützen: die Freiheit und Würde jedes Einzelnen als menschliches Wesen.

Apropos Verantwortung, um zu demonstrieren, dass die Anpassung an die LPD nicht optional ist, werden die Mitglieder des Verwaltungsrates und der Manager als kriminell für die Verstöße der von ihren Unternehmen begangenen LPD (mit Geldstrafen bis zu CHF 250'000.-) angesehen. Dies beinhaltet auch das Versäumnis, die vom Bundesrat festgelegten Mindestsicherheitsstandards umzusetzen. Im Gegensatz zu europäischem Recht, das starke Verwaltungsstörungen für Unternehmen vorsieht, hat das Schweizer Recht hauptsächlich ausgewählt, Manager als Inhaber der Entscheidungsbefugnis zu befähigen. Gleichzeitig bleibt die zivilrechtliche Haftung der Manager gegenüber dem Unternehmen, seinen Aktionären und Gläubigern weiterhin die Verbreitung illegaler Handlungen oder die Nichteinführung einer Organisation gemäß dem Gesetz sowie die zivilrechtliche Haftung des Unternehmens für Vorurteile gegenüber der Persönlichkeit der betroffenen Personen nicht verhindern.

Das Datum des Eintritts in Kraft der LPD wurde noch nicht festgelegt, da die Durchführungsregeln fehlen. Obwohl der Begriff für das Referendum ohne Ergebnisse abgelaufen ist, gibt es keine rechtlichen Hindernisse für seine Umsetzung. Die Experten des Sektors glauben, dass das realistischste Datum die Hälfte 2022 ist. Da dieses Datum noch weit entfernt ist, könnte es versucht werden, die Angelegenheit zu verschieben. Es wäre jedoch ein schwerwiegender Fehler angesichts der Komplexität der Verpflichtungen, der notwendigen technischen Zeiten und der Tatsache, dass die neue LPD nach dem Eintritt in Kraft keine allgemeine Anpassungsdauer vorsieht. Es ist daher von grundlegender Bedeutung, den Anpassungsprozess sofort zu starten.

In einem Moment des Übergangs ist es wichtig, die Möglichkeit hervorzuheben, die Prognosen der zukünftigen LPD seitdem umzusetzen. Abgesehen von einigen seltenen Ausnahmen stehen diese Prognosen überhaupt nicht mit dem aktuellen Recht.

Wir untersuchen konkret, wie wir vorgehen sollen und was die Hauptaufgaben erledigen müssen. Es ist wichtig zu unterstreichen, dass es sich nicht nur um eine bürokratische Übung handelt (wie viele glauben), sondern eine echte Renovierung des Unternehmens, die eine Reflexion über die Beziehung zu den beteiligten Personen, personenbezogenen Daten und Technologie sowie eine radikale Mentalitätsänderung beinhaltet, die alle beteiligt, von Mitarbeitern bis zum Unternehmensmanagement.

Erstens ist es notwendig, ein maßgebliches Projektteam zu erstellen, das über die angemessenen Ressourcen, die erforderlichen technischen, operativen und rechtlichen Fähigkeiten sowie klare Ziele verfügt. Es ist wichtig, dass das Team die allgemeine Verwaltung und den Verwaltungsrat voll unterstützt. Für den Fall, dass Sie kein internes Fachkenntnis haben, können Sie den Leitfaden des Teams einem externen Spezialisten anvertrauen. Es ist jedoch wichtig, vollständig externe Lösungen zu vermeiden, bei denen der Spezialist behauptet, das Unternehmen in Übereinstimmung mit einigen Interviews zu stellen. Diese Lösungen sind illusorisch und gefährlich, da niemand das Unternehmen besser kennt als diejenigen, die dort arbeiten. Daher ist die Beteiligung der Innenräume in einem ernsthaften Projekt von wesentlicher Bedeutung.

Nach der Gründung des Teams ist es notwendig, den Arbeitsplan mit dem relativen Kalender auf der Grundlage der verfügbaren Ressourcen, Ziele und Interventionsprioritäten zu definieren. Zu diesem Zeitpunkt gibt es zwei vorläufige Probleme, die zwanghaft angegangen werden müssen.

(i) Angesichts der Art der vom Unternehmen ausgeführten Aktivitäten ist es erforderlich, ausländische Vorschriften wie die DSGVO zu berücksichtigen und umzusetzen

Und

(ii) die Identifizierung von Aktivitäten, die eine bestimmte (und vorrangige) Prüfung erfordern (z. B. aufgrund der daraus resultierenden kriminellen Verantwortlichkeiten oder von "sichtbaren" Aspekten extern, wie im Fall von Informationen zu Cookies oder weil die Risiken für die beteiligten Personen hoch sind).

Die erste Maßnahme, die ausgeführt werden soll, besteht darin, die Behandlungen personenbezogener Daten zu "zuzuordnen" und die folgenden Details in ein spezielles Register einzufügen: Welche Daten werden verarbeitet, von wem, wie, wo, zu welchem ​​Zweck, wer der Empfänger und auf der Grundlage dessen Grund, warum die Behandlung stattfindet (Gesetz, Einverständnis oder öffentliches oder privates Interesse). Um diese Aktivität auszuführen, ist es ratsam, eine Computermanagementsoftware zu verwenden (in mittleren und großen Unternehmen ist die Wahl obligatorisch).

Darüber hinaus ist es notwendig, die Rollen und Verantwortlichkeiten jeder Person zu definieren, die sich mit personenbezogenen Daten befasst, sowohl interne (Manager, Mitarbeiter) als auch externe (Datenprozessor) für das Unternehmen. Diese Situation muss in einem leicht verständlichen Organisationsdiagramm dargestellt werden. Diese Personen müssen klare und vollständige Anweisungen zu den durchzuführenden Behandlungen (Richtlinien und internen Vorschriften) erhalten, und im Falle externer Lieferanten muss die Zuverlässigkeit der einzelnen Lieferanten und ihrer Produkte und/oder Dienstleistungen überprüft wurde, dass die Delegation der Behandlung durch eine schriftliche Konvention reguliert werden muss. In dieser Phase muss bewertet werden, ob es angemessen ist (oder obligatorisch ist, wenn Sie mit der DSGVO verglichen werden), einen Datenschutzbeauftragten (DPO) zu ernennen, der für das Unternehmen intern oder extern sein kann, um die Einhaltung der Regeln zu gewährleisten und dem Unternehmen und den betroffenen Personen durch Informations-, Inspektions- und Beratungsaktivitäten eine ständige Unterstützung zu gewährleisten. Basierend auf der neuen LPD, für die die obligatorische Zahl der DPO nicht erforderlich ist, beinhaltet die Ernennung (unter bestimmten Bedingungen) den Ausschluss der Verpflichtung zur Konsultation des Bundespostens im Falle von Behandlungen mit hohem Risiko. Schließlich ist es notwendig, die Prinzipien für die Verarbeitung personenbezogener Daten (Sicherheit, Verhältnismäßigkeit, Korrektheit, Privatsphäre durch Design und standardmäßig usw.) in Bezug auf die durchgeführten Behandlungen und die Auswahl von Werkzeugen (physische und IT) sowie Verarbeitungsmethoden sowie die Identifizierung und Blockierung von illegalen Aktivitäten (anhängige Anpassung oder Datenzerstörung) umzusetzen.

Viertens ist es notwendig, die Verpflichtungen zu erfüllen, interessierte Personen (einschließlich Mitarbeiter, Nutzer von Online -Ressourcen und Kunden) über die vom Unternehmen (oder Delegierten an Dritte) durchgeführten Behandlungen zu informieren und alle gesetzlich vorgeschriebenen Informationen bereitzustellen. An dem fünften Platz ist es notwendig, die Gründe zu identifizieren, die jede Behandlungskategorie rechtfertigen und gegebenenfalls die Zustimmung der interessierten Parteien (gültig und rechtlich erkennbar) einholen und die Verwendung vorherrschender öffentlicher oder privater Interessen ("LIA) angemessen rechtfertigen. An dem sechsten Platz ist es notwendig, ein Team und die Regeln für die effektive und zeitnahe Verwaltung der Verstöße gegen die Datensicherheit (als "Datenverstoß") sowie die Anfragen interessierter Personen (Datenkorrektur, Blockierung der Verarbeitung, Widerruf, Datenzugriff, Tragbarkeit usw.) zu erstellen. An siebter Stelle ist es notwendig, Behandlungen mit hohem Risiko zu identifizieren, bei denen eine Folgenbewertung zum Datenschutz (als "DPIA" bezeichnet) und diese Bewertung korrekt durchgeführt werden (normalerweise mit Hilfe eines IT -Tools). Bei Bedarf ist es notwendig, die Bundesperson im Voraus zu konsultieren. An dem achten Platz finden wir einen grundlegenden Punkt: das Bewusstsein und die Schulungsaktivitäten von Mitarbeitern für die Risiken, Rechte und Verpflichtungen des jeweils beim Schutz personenbezogener Daten sowie zu den mit ihnen verbundenen Verantwortlichkeiten.

Ich glaube, es ist wichtig zu unterstreichen, wie die neuen Regeln nicht als starre und belastende Auferlegung angesehen werden sollten, sondern als Gelegenheit, das Vertrauensverhältnis zu Kunden und Mitarbeitern zu stärken und ein positives Unternehmen im Unternehmen zu fördern, das die Regeln und die Grundrechte der Menschen sozial verantwortlich und respektiert. Investitionen in den Schutz personenbezogener Daten bedeutet, in einem neuen Kontext zu arbeiten, sich der Risiken und Chancen bewusst zu sein und Wettbewerbsvorteile und innovative Tools im Bereich der Digitalisierung vollständig auszunutzen. Die zunehmenden Erwartungen von Benutzern hinsichtlich des Schutzes von Privatsphäre und persönlicher Sphäre, wie im Fall von WhatsApp gezeigt, ist nicht nur aus rechtlicher, sondern auch kommerzieller Sicht schädlich. Letztendlich wird die Straße verfolgt und wir müssen sie nur mit gutem Willen, Entschlossenheit und dem bestmöglichen Unternehmen zum Ziel durchführen.