La nouvelle loi sur la protection des données (nLPD) stipule que les personnes concernées doivent être informées de l’identité du responsable, du but du traitement et des éventuels destinataires de ces données de manière précise et transparente, dans un langage clair et compréhensible et sous une forme facilement accessible. La déclaration de protection des données doit en principe être publiée dans les langues du site web ou de l’offre. Cette obligation d’information est un élément essentiel du principe de transparence. La personne concernée doit recevoir ces informations avant la collecte de ses données. Cependant, il existe des exceptions à cette règle – par exemple lorsque la personne concernée est déjà au courant de l’utilisation de ses données ou lorsque le traitement est prévu par la loi.

Si les données personnelles sont communiquées à l’étranger, le/la responsable doit également informer la personne concernée du pays dans lequel les données seront transmises. Par exemple, les données sont considérées comme communiquées à l'étranger lorsqu’elles sont stockées sur des serveurs à l’étranger (cloud). Dans ce contexte, la personne concernée a également le droit de demander à tout moment des informations sur le traitement de ses données. Par exemple, un cabinet médical doit pouvoir fournir des informations sur la durée de conservation des données liées à la santé.

Pour un cabinet médical, cette nouvelle obligation d’information peut signifier, dans certaines circonstances, qu’une déclaration de protection des données doit être rédigée ou que la déclaration de protection des données existante doit être adaptée en conséquence. Pour faciliter ce processus, la Fédération des médecins suisses met à disposition un modèle de déclaration de protection des données. Il est important de ne pas reprendre les modèles sans les vérifier, mais de les adapter à ses propres conditions. Si les connaissances techniques nécessaires ne sont pas disponibles en interne, il est recommandé de faire appel à une assistance externe. Attention aux informations disponibles sur Internet: hormis les renseignements officiels fournis par les autorités, les informations disponibles sur Internet ne sont généralement pas contraignantes.

Enfin, le/la responsable doit également informer la personne concernée d’une décision fondée exclusivement sur un traitement automatisé et qui entraîne des conséquences juridiques pour celle-ci ou qui l’affecte de manière significative. De telles décisions individuelles automatisées sont envisageables, par exemple, dans le domaine du diagnostic par algorithme. Dans ce cas, la personne concernée peut exiger que la décision individuelle automatisée soit vérifiée par une personne physique.