Revize edilmiş İsviçre Veri Koruma Yasası (revDSG), Eylül 2023'ten bu yana yürürlüktedir ve online satıcılara önemli yükümlülükler getirmektedir. AB GDPR ile uyumlu olmakla birlikte İsviçre pazarına özgü kendine has düzenlemeleri vardır. Federal Veri Koruma ve Bilgi Komiseri (FDPIC/EDÖB) uyumluluğu denetler ve olası ihlallere karşı soruşturma başlatabilir.
Temel Yükümlülükler
Online satıcılar, veri işlemenin türü, kapsamı ve amacı hakkında bilgilendiren şeffaf bir gizlilik politikası sunmalıdır. Yüksek riskli işlemeler için veri koruma etki değerlendirmesi (DSFA) gereklidir. Veri ihlalleri mümkün olan en kısa sürede EDÖB'e bildirilmelidir. Her online mağazanın ayrıca izleme teknolojilerinin kullanımı hakkında bilgilendiren bir çerez banner'ı olmalıdır.
Veri Toplama Bilgilendirme Yükümlülüğü
Kişisel veriler toplandığında ilgili kişi bilgilendirilmelidir. E-ticaret için bu şu anlama gelir: sipariş, bülten kaydı, iletişim formları ve hesap oluşturma sırasında hangi verilerin toplandığı ve hangi amaçla kullanıldığı açıkça iletilmelidir. Gizlilik politikası İsviçre dil bölgelerini kapsayacak şekilde en azından Almanca ve Fransızca olarak sunulmalıdır.
İşleme Faaliyetleri Kaydı
250'den fazla çalışanı olan şirketler, veri işleme faaliyetlerinin kaydını tutmalıdır. Daha küçük şirketler, büyük ölçekte özellikle hassas veriler işlemedikçe veya yüksek riskli profilleme yapmadıkça bu zorunluluktan muaftır. E-ticaret işletmeleri için müşteri verileri, ödeme bilgileri ve sipariş geçmişleri sistematik olarak işlendiğinden böyle bir kayıt tutulması yine de önerilir.
Uluslararası Veri Transferi
Kişisel verilerin yurt dışına aktarılmasında yeterli düzeyde veri koruması sağlanmalıdır. Federal Konsey, yeterli koruma düzeyine sahip ülkelerin listesini yayınlar. Diğer ülkeler için standart sözleşme maddeleri veya bağlayıcı kurumsal kurallar gereklidir. AWS, Google Cloud veya Azure gibi bulut hizmetlerini kullanan işletmeler, veri işlemenin İsviçre gereksinimlerini karşıladığından emin olmalıdır.
AB GDPR'dan Farklar
GDPR'dan farklı olarak İsviçre DSG'si tüm çerezler için onay gerektirmez – yalnızca zorunlu olmayan izleme çerezleri için kullanıcı onayı gereklidir. Ayrıca veri koruma görevlisi atama zorunluluğu yoktur, ancak önerilir.
Cezalar ve Uygulama
GDPR'dan farklı olarak İsviçre'de gerçek kişiler (sorumlu çalışanlar) CHF 250.000'e kadar para cezasıyla cezalandırılır. AB'deki gibi ciroya dayalı ceza modeli yoktur. EDÖB soruşturma başlatabilir ve kararlar verebilir. Zunapro, online satıcıları gizlilik politikası hazırlamadan çerez yönetimine, teknik ve organizasyonel önlemlerin uygulanmasına kadar tam DSG uyumluluğunda destekler. Veri ihlali durumunda EDÖB'ye bildirim süreçlerinin planlanması ve çalışan eğitimi konularında da kapsamlı danışmanlık hizmeti sunulmaktadır ve sürekli güncellenmektedir.
