Şirketime FADP uygulanıyor mu?

FADP, kişisel verilerin özel denetleyiciler ve federal kurumlar tarafından işlenmesine uygulanır. GDPR gibi, FADP'nin ek-territoryal kapsamı vardır, bu da İsviçre dışında bulunan şirketlere uygulanır demektir. FADP'nin ek-territoryal kapsamı, GDPR'den daha geniştir çünkü İsviçre'de etkisi olan tüm durumları kapsar, hatta eylem yurtdışından başlatılmış olsa bile. Bu,

GDPR (Art 27) ve FADP'nin 14. maddesi altında bir temsilci atama zorunluluğu arasında önemli bir fark vardır. GDPR, AB'de bir kuruluşa temsilci atama zorunluluğunu gerektirirken, FADP altında bir temsilci atama zorunluluğu, İsviçre'de bir kurumsal merkezi olmayan bir kuruluş tarafından tetiklenir. Bu ne anlama geliyor? Bu, İsviçre'de bir şube veya herhangi bir diğer türde bir kuruluşu olan ve bir kurumsal merkezi olmayan şirketlerin, İsviçre'deki bireylere mal ve hizmet sunmaları (hedefleme kriteri) veya davranışlarını izlemeleri (izleme kriteri) durumunda hala bir İsviçre temsilcisi atamaları gerektiği anlamına gelir.

• İşlemleri düzenli, büyük ölçekte ve veri konuları için yüksek risk oluşturan şirketler.
• their processing activities are regular, on a large scale and pose a high risk to data subjects.

Hedefleme kriterinin 14. Madde FADP kapsamında yer alan ifadesi, neredeyse 3(2) GDPR kapsamındaki ifadeyle neredeyse aynıdır. Bu nedenle ve İsviçre makamlarından herhangi bir rehberlik olmadığından, Avrupa Veri Koruma Kurulu rehberliğinde belirtilen faaliyet türlerinin İsviçre hukuku kapsamında hedefleme kriterini tetikleyeceğini varsayabiliriz. İsviçre makamlarının kendi yönergelerini yakında yayınlamaları beklenmektedir. Bu zamana kadar, İsviçre'deki bireylere

• İsviçre'de kullanılan dilleri kullanmak ve CHF cinsinden ödemeler sunmak;
• İsviçre bireylerine hitap etmek için reklamları kullanmak veya İsviçre müşterilerine yönelik diğer pazarlama araçları kullanmak;
• İsviçre'den ulaşılabilen adresleri veya telefon numaralarını belirtmek;
• İsviçre üst düzey alan adlarını kullanmak;
• İsviçre'ye mal teslimi sunmak.

Tekrar, İsviçre yetkililerinden izleme kriterinin yorumu konusunda bir rehberlik olana kadar, GDPR ile ilgili rehberlikte belirtilen aşağıdaki faaliyetlerin, bir temsilci atama gerekliliğini tetikleme olasılığının yüksek olduğunu varsayıyoruz:

• davranışsal reklam
• coğrafi konumlama faaliyetleri
• çerezler veya diğer izleme teknolojileri kullanarak çevrimiçi takip
• bireysel profillere dayalı pazar araştırmaları ve diğer davranışsal çalışmalar

FADP ağır cezalar getiriyor. Bununla birlikte, GDPR'nin aksine, bunlar şirketlere değil, ihlal eden kuruluşun arkasındaki sorumlu doğal kişilere yöneltilmiyor. İdari para cezaları yerine, FADP ihlalleri cezai sorumluluklarla cezalandırır. Cezalar CHF 250.000'e kadar çıkabilir.