当社にFADPは適用される？

FADPは、民間の管理者や連邦機関による個人データの処理に適用されます。GDPRと同様に、FADPにも国際効力があり、スイス国外に所在する企業にも適用されます。

これは、スイス国内に影響を及ぼすすべての行為が対象となる「効果説（Effect Doctrine）」によるものです。したがって、スイス国民に関わる処理だけでなく、たとえ国外からの処理であっても、スイス内サーバーでの処理はすべてFADPの適用対象となります。

GDPRの第27条に基づく代理人選任と、FADPの第14条における代理人選任義務には重要な違いがあります。
GDPRではEU内に拠点がない企業に代理人の選任を求めますが、FADPでは「本店所在地」がスイスにない組織に代理人選任義務が発生します。つまり、支店などスイス内に設立されていても、本店が国外にある場合は対象となります。
対象となる条件：

• スイス国内の個人に商品やサービスを提供している（ターゲティング条件）か、その行動を監視している（監視条件）
• 処理活動が定期的・大規模で、かつ個人の権利・利益に高リスクをもたらす

FADP第14条における「ターゲティングの基準」の文言は、GDPR第3条2項とほぼ同一です。そのため、現時点ではスイス当局からのガイダンスがないことから、欧州データ保護委員会（EDPB）のガイダンスで示された活動と同様の行為がスイス法下でも「スイス国内に商品・サービスを提供している」とみなされると推定されます。スイス当局は今後、独自のガイダンスを公表する見込みです。
スイス国内での商品・サービス提供と判断される可能性のある要素には、以下が含まれます：

• スイスで使用される言語を用い、支払いをCHF（スイスフラン）で受け付ける
• スイス国内の個人を対象とした広告やマーケティング施策
• スイス国内から連絡可能な住所・電話番号の記載
• スイスのトップレベルドメイン（.chなど）の使用
• スイス宛ての商品配送を提供している

現時点では、スイス当局による監視条件の具体的なガイダンスが出ていないため、GDPRの監視関連ガイダンスに準じて判断します。以下の行為は、代理人選任の必要性を引き起こす可能性があります：

• ターゲティング広告
• ジオロケーション活動
• クッキーやその他追跡技術によるオンライントラッキング
• 個人プロファイルに基づく市場調査や行動分析

FADPには重い制裁がありますが、GDPRと異なり、企業ではなく当該企業の責任者に適用されます。
行政罰ではなく刑事罰が科され、最大250,000CHFの罰金が課せられる可能性があります。