2026-cı ildə revFADP-nin Strukturu

revFADP İsveçrənin 1992-ci il məlumatların mühafizəsi rejimini əksər əməliyyat məsələlərində GDPR-ı yaxından izləyən, eyni zamanda bir sıra fərqli İsveçrəyə xas mövqeləri qoruyan bir çərçivə ilə əvəz etdi. Hər ikisi revFADP ilə birlikdə qüvvədə olan Məlumatların Mühafizəsi üzrə Yenilənmiş Nizamnamə (rev-OPDP) və Məlumatların Mühafizəsi Sertifikatları üzrə Nizamnamə əməliyyat təfərrüatlarını dolduran sənədlərdir.

Yeniləmənin Dəyişdirdiyi Məsələlər

Yeniləmə aşağıdakıları tətbiq etdi: FDPIC-ə məcburi pozuntu bildirişi, əksər nəzarətçilər üçün emal qeydləri tələbi, yüksək riskli emal üçün məlumatların mühafizəsinə təsir qiymətləndirmələri, GDPR-ın Maddə 3(2)-sinə bənzər həqiqi əraziötəsi əhatə, gücləndirilmiş məlumat subyekti hüquqları və yalnız nəzarət edən təşkilata deyil, fərdlərə tətbiq edilən cinayət məsuliyyəti təminatı. Şəxsi məlumatların tərifi, qanuni emalın əsasları və məlumat subyekti hüquqlarının strukturu hamısı GDPR ilə yaxından uyğunlaşdırılıb ki, bu da artıq GDPR proqramı işlədən naşirlər üçün İsveçrə uyğunluğunu əhəmiyyətli dərəcədə sadələşdirir — lakin aradan qaldırmır.

Kim Tənzimlənir

revFADP İsveçrədə məlumatların emalına və İsveçrədəki fərdlərə təsir edən İsveçrə xaricindəki emalına tətbiq olunur. Lokallaşdırılmış saytlar, .ch domen, İsveçrə auditoriyasına uyğunlaşdırılmış Alman-Fransız-İtalyan-Roman dilli məzmun vasitəsilə və ya İsveçrə IP-lərinə qarşı alınan proqramatik inventarla İsveçrə trafikinə xidmət göstərən xarici naşirlər adətən əhatə dairəsindədir və FDPIC 2025-ci il təlimat yeniləmələrində əraziötəsi oxunu təsdiqləyib.

İnzibati Cərimələr və Cinayət Təminatı

revFADP-nin GDPR-dan ən çox müzakirə edilən fərqi onun sanksiya arxitekturasının inzibati deyil, ilk növbədə cinayət xarakterli olmasıdır. Fərdi cərimələr — adətən direktor, məlumatların mühafizəsi üzrə məsul şəxs və ya uyğunluq rəhbəri kimi məsul fiziki şəxslərə yönəlmiş — qəsdən edilmiş ihlallər üçün hər pozuntu üçün CHF 250,000-ə çata bilər, ən ciddi davranış üçün paralel cinayət məsuliyyəti mövcuddur. Şifr həddi mütləq dəyər baxımından GDPR-ın dörd faiz dövriyyə tavanından aşağıdır, lakin məsuliyyətin yalnız təşkilata deyil, adlanan fərdə yönəlməsi riski praktiki olaraq dəyişdirir. Bir neçə naşir 2025-ci ildə xüsusi olaraq əhatə dairəsini paylaşdırmaq üçün daxili imzalama iş axınlarını yenidən strukturlaşdırıb.

revFADP Çərçivəsində Şəxsi Məlumat Nədir

revFADP-nin şəxsi məlumat tərifi GDPR-ı yaxından izləyir. Şəxsi məlumat müəyyən edilmiş və ya müəyyən edilə bilən şəxslə əlaqəli məlumatdır və FDPIC ardıcıl olaraq cookie-ləri, reklam identifikatorlarını, IP ünvanlarını, cihaz barmaq izlərini və davranış profilllərini birbaşa və ya digər məlumatlarla birlikdə bir fərdə bağlana biləcəyi zaman şəxsi məlumat kimi qəbul etmişdir.

Xüsusilə Həssas Şəxsi Məlumatlar

revFADP GDPR-ın xüsusi kateqoriyalarından bir qədər geniş olan xüsusilə həssas şəxsi məlumatlar adlanan kateqoriyanı müəyyən edir. Buraya daxildir: dini, fəlsəfi, siyasi və ya həmkarlar ittifaqı görüşləri və fəaliyyətləri haqqında məlumatlar, sağlamlıq məlumatları, intim sfera və ya irqi və ya etnik mənşə haqqında məlumatlar, bir şəxsi unikal şəkildə müəyyən edən genetik və biometrik məlumatlar, inzibati və cinayət prosesi və ya sanksiyalar haqqında məlumatlar, sosial yardım tədbirləri haqqında məlumatlar. Xüsusilə həssas şəxsi məlumatların emalı yüksəldilmiş razılıq və şəffaflıq tələblərini tetikləyir.

Cookie-lər üçün Bu Niyə Vacibdir

Adi reklam identifikatoru saxlayan bir cookie adi şəxsi məlumatdır. Xüsusilə həssas siyahıya toxunan auditoriya seqmentini — sağlamlıq maraqları, siyasi meyllər, dini üzvlük — qidalandıran bir cookie xüsusilə həssas şəxsi məlumatların emalıdır və ümumi reklam razılıq axınından ayrı açıq razılıq tələb edir. Bu siyahı ilə üst-üstə düşən İsveçrə dilli auditoriya hədəfləməsi xüsusi olaraq GDPR-ın xüsusi kateqoriya xəttindən bir qədər fərqli çəkilmiş sərhədlə nisbətdə yoxlanılmalıdır.

2026-cı ildə revFADP Çərçivəsində Cookie Razılığı

revFADP emal üçün bir neçə qanuni əsas təqdim edir və AB üzv dövlətlərinde tətbiq edilən ePrivacy Direktivindən fərqli olaraq İsveçrə qanunu qeyri-vacib cookie-lər üçün yalnız razılıq əsaslı qanuni minimum tətbiq etmir. Bununla belə, praktiki olaraq FDPIC-nin 2024 və 2025-ci il təlimatları və ən son tətbiq qərarları reklam, analitika və çarpaz kontekst profilinə bağlı cookie-lər üçün AB minimum xəttinə çox yaxın bir mövqeyə yönəlib.

FDPIC-nin Əməliyyat Mövqeyi

FDPIC-nin dərc edilmiş mövqeyi budur ki, qeyri-vacib cookie-lər — reklam, yenidən hədəfləmə, saytlararası analitika və fərdiləşdirmə daxil olmaqla — cookie-nin aktivləşdirilməsindən əvvəl əldə edilmiş əvvəlcədən, məlumatlı, azad verilmiş və xüsusi razılıq tələb edir. Tam zəruri cookie-lər və istifadəçinin açıq şəkildə tələb etdiyi xidməti dəstəkləyən cookie-lər əvvəlcədən razılıq sorğusu olmadan qanuni maraq əsasında və ya müqavilənin icrası əsasında qoyula bilər, lakin cookie-nin tam zəruri kimi təsnif edilməsi yükü nəzarətçidə qalır və 2025-ci ildə bir neçə şikayətdə mübahisəli olub.

Etibarlı Razılığın Elementləri

revFADP çərçivəsində razılıq aşağıdakı olmalıdır:

• Azad verilmiş — məcburiyyət, əsas xidmət göstərilməsi ilə paketlənmə və ya qeyri-vacib cookie qəbulunu əsas məzmuna girişin şərtinə çevirən cookie divarı olmadan
• Məlumatlı — məlumat subyekti hansı məlumatın işlənildiyini, kimin tərəfindən, hansı məqsədlə və hansı alıcılara olduğunu başa düşür
• Xüsusi — ümumi razılıq deyil, açıq şəkildə müəyyən edilmiş emal məqsədlərinə bağlı
• Birmənalı — sürüşdürmə, davamlı gözdən keçirmə və ya hərəkətsizlikdən çıkarılmayan, aydın müsbət bir aktla ifadə edilmiş
• Xüsusilə həssas şəxsi məlumatları əhatə edən hallarda Açıq, həssas emal üçün ayrı razılıq ilə

İsveçrə Trafiği üçün Uyğun CMP-nin Görünüşü

2026-cı ildə İsveçrə üçün konfiqurasiya edilmiş CMP aşağıdakıları təqdim etməlidir:

• Heç bir qeyri-vacib cookie aktivləşdirilməzdən əvvəl istifadəçinin dilindəki — Alman, Fransız, İtalyan və ya Roman — bir banner, dil seçimi ingiliscəyə default edilmək əvəzinə .ch sayt lokallaşdırması ilə uyğun olmalıdır
• Qəbul et, Rədd et və Parametrlər hərəkətlərinin bərabər vizual önəmi — FDPIC-nin 2025-ci il təlimatı Rədd etin Qəbul etə nisbətdə vizual olaraq zəiflədildiyi banner dizaynlarını açıq şəkildə tənqid edir
• Hər məqsəd üçün ətraflı keçidlər: analitika, reklam, fərdiləşdirmə, həddindən artıq köçürmə və hər hansı xüsusilə həssas kateqoriya
• Xüsusilə həssas şəxsi məlumatların hər hansı emalı üçün ayrı razılıq axını, ümumi razılıq ilə paketlənmək əvəzinə öz hərəkətinin arxasında saxlanılır
• İlkin seçimdən sonra razılığı geri çəkmək üçün razılıq verməklə bərabər sürtünmə ilə daimi, asanlıqla tapıla bilən mexanizm
• Nəzarətçinin kimliyi, işləyicilər, məqsədlər, alıcılar, saxlama müddətləri, ötürmə mexanizmləri və məlumat subyekti hüquqları yolu barədə tam açıqlama edən tam İsveçrə dilindəki məxfilik bildirişi

Razılıq Qeydləri

Nəzarətçilər razılığın sübutunu saxlamalıdır — kim razılıq verdi, nə vaxt, hansı xüsusi məqsədlərə və hansı interfeys vasitəsilə. 2025-ci ildə bir neçə FDPIC araşdırma məktubunda qeyri-adekvat razılıq qeydləri yer aldı və tətbiq edilə bilən müddət əhatəsi üçün saxlanılan zaman damğalı ixrac edilə bilən jurnallar əsas gözləntidir.

2024-cü ildəki Adekvatlıq Yenilənməsindən Sonra Həddindən Artıq Ötürmələr

Həddindən artıq məlumat ötürmələri İsveçrə mövqeyinin AB mövqeyindən ən açıq şəkildə ayrıldığı və bir qədər geridə qaldığı revFADP sahəsidir. AB-nin EU-US Data Privacy Framework qəbul etməsinin ardından gələn 2024-cü il yenilənməsi paralel İsveçrə-ABŞ Data Privacy Framework-ünü yaratdı, lakin əhatəsi və şərtləri eyni deyil.

Tanınan Ötürmə Mexanizmləri

revFADP və rev-OPDP bir neçə yol tanıyır:

• Adekvat qoruma təmin etdiyi qiymətləndirilən ölkələr üçün İsveçrə Federal Şurasının Adekvatlıq qərarları — hazırkı siyahıya EEA, Birləşmiş Krallıq və bir neçə digər yurisdiksiya daxildir
• 2024-cü ildən sonra İsveçrə-ABŞ Məxfilik Qalxanını əvəz edən çərçivə çərçivəsində öz-özünü sertifikatlandıran ABŞ təşkilatlarına ötürmələr üçün İsveçrə-ABŞ Data Privacy Framework
• FDPIC-nin dərc etdiyi İsveçrə əlavəsi ilə AB SCC-ləri daxil olmaqla FDPIC tərəfindən tanınan Standart müqavilə müddəaları (SCC)
• FDPIC tərəfindən təsdiq edilmiş Məcburi korporativ qaydalar (BCR)
• Adekvat açıqlama ilə açıq razılıq, müqavilə zərurəti, həyati maraq və əhəmiyyətli ictimai maraq daxil olmaqla Xüsusi istisnalar

Praktikada İsveçrə-ABŞ DPF

İsveçrə-ABŞ DPF öz-özünü sertifikatlandırmış və sertifikatlaşmasını qoruyan ABŞ təşkilatlarına ötürmələri əhatə edir. Naşirlər hər ABŞ reklam texnologiyası və ya analitika satıcısının DPF siyahısındakı aktiv sertifikat statusunu yoxlamalı, bir dəfəlik yoxlamaya əsaslanmamalıdır, çünki müddəti keçmiş sertifikatlar əvvəlki ötürmələri geriyə dönük olaraq etibarsız etmir, lakin davam edən axınlar üçün dərhal islah tələb edir. Satıcı DPF sertifikatlı deyilsə, FDPIC-nin İsveçrə əlavəsi olan AB SCC-ləri işlək alternativ olaraq qalır.

Praktiki 2026-cı il Yanaşması

Əksər naşirlər üçün işlək yanaşma İsveçrə trafikindən gələn hər həddindən artıq məlumat axınını təyinat ölkəsinə və mexanizminə xəritələmək, DPF sertifikatı satıcını əhatə etmədikdə uyğun İsveçrə əlavəli SCC-ləri yerinə yetirmək, mexanizmi İsveçrə dilindəki məxfilik bildirişinə sənədləşdirmək və strukturlaşdırılmış mexanizmlərin emalı tam olaraq uyğunlaşmadığı yerdə yalnız razılığa əsaslanan icazə ilə tamamlamaqdır.

revFADP Çərçivəsində Məlumat Subyekti Hüquqları

revFADP bir neçə İsveçrəyə xas kontur ilə GDPR-ı yaxından izləyən hüquqlar toplusu verir:

• Nəzarətçidə saxlanılan şəxsi məlumatlara giriş hüququ, ildə bir pulsuz ilk girişlə və sonrakı və ya geniş əhatəli sorğular üçün xərci bərpa tavanı ilə
• Qeyri-dəqiq və ya natamam məlumatların düzəldilmə hüququ
• Silinmə hüququ
• Emalın məhdudlaşdırılması hüququ
• Razılıq və ya müqaviləyə əsasən avtomatlaşdırılmış vasitələrlə işlənilmiş məlumatların daşınabilirlik hüququ
• Emalına etiraz hüququ
• Razılığı geri çəkmə hüququ
• Hüquqi və ya bənzər əhəmiyyətli təsirlər yaradan avtomatlaşdırılmış fərdi qərar qəbuluna tabe olmamaq hüququ, əl ilə yoxlama üçün güvəncələ
• FDPIC-yə şikayət verme və ya mülki icraat başlatma hüququ

Cavab Müddətləri

Nəzarətçilər məlumat subyekti sorğularına ümumi çərçivə altında 30 gün ərzində cavab verməli, mürəkkəb hallarda əsaslandırılmış bildirişlə uzadıla bilər. Bu pəncərə üçün əməliyyat hazırlığı — Alman, Fransız və İtalyan dilləri əhatəsindəki İsveçrə dilli alətlər və işlək kitablarla — proqramlarını tək Avropa dilinə uyğunlaşdıran xarici naşirlər üçün ümumi bir boşluqdur.

2026-cı ildə Cəzalar və Tətbiq Mövqeyi

FDPIC-nin tətbiq fəaliyyəti 2024 və 2025-ci illər boyunca mənalı şəkildə artdı və 2026-cı il düzlənmək əvəzinə trayektoriyanı davam etdirir.

Cərimə Strukturu

Cərimələr ilk növbədə cinayət xarakterlidir və adlanan fərdlərə — direktora, DPO-ya, uyğunluq rəhbərinə — yönəldilmiş, qəsdən ihlal başına CHF 250,000 həddi ilə. 2025-ci il tətbiqindəki ən çox istinad edilən kateqoriyalar bunlardır: məlumat subyektlərinə qeyri-kafi məlumat, həddindən artıq ötürmələrdə lazımi diqqət borcunun pozulması, tələb olunan pəncərə ərzində məlumat pozuntularını FDPIC-yə bildirmə vəzifəsini yerinə yetirməmək, FDPIC qərar və ya əmrlərinə uyğunsuzluq.

Cinayət Məsuliyyəti Güvəncəsi

GDPR-dan fərqli olaraq, revFADP-nin cinayət məsuliyyəti yolu yalnız hüquqi şəxs əvəzinə məsul fiziki şəxsə qarşıdır ki, bu da 2025-ci ildə imzalama iş axınlarının əhəmiyyətli daxili yenidən strukturlaşdırılmasına səbəb oldu. Praktik təsir budur ki, uyğunluq attestasiyaları və audit izləri yalnız təşkilatın deyil, həm də fərdin məruz qalmasına görə önəmlidir — xüsusən DPO-lar sənədləşdirmə təcrübəsini bunu əks etdirmək üçün uyğunlaşdırıb.

Tətbiq Mövzuları

FDPIC-nin 2025 və 2026-cı ilin əvvəlindəki hərəkətləri ətrafında cəmlənib: Rədd et hərəkətini zəiflədən və ya əvvəlcədən işarələnmiş qutu istifadən edən cookie bannerlar, istifadəçinin İsveçrə milli dilindəki məxfilik bildirişi mövcud deyil, alternativ mexanizmi olmayan DPF sertifikatlı olmayan ABŞ satıcılarına həddindən artıq ötürmələr, 30 günlük pəncərə ərzində məlumat subyekti sorğularına cavab verməmək, gecikmiş və ya çatışmayan pozuntu bildirişləri. Xarici naşirlər bütün beş kateqoriyada göstərilib, banner dizaynı və həddindən artıq ötürmə kateqoriyaları siyahını aparır.

2026-cı ildə İsveçrə Trafiği üçün Audit Siyahısı

• CMP banneri istifadəçinin İsveçrə milli dilindəki (DE, FR, IT və ya RM) Qəbul et, Rədd et və Parametrlər bərabər vizual önəmi ilə göstərilir
• Razılıq məqsədləri ətraflıdır və xüsusilə həssas emalı öz razılıq axınının arxasında ayırır
• Məxfilik bildirişi nəzarətçi, işləyicilər, məqsədlər, saxlama, hüquqlar və FDPIC şikayət yolu barədə tam açıqlamalarla hər uyğun İsveçrə dilindəki mövcuddur
• İsveçrə trafikindən gələn hər həddindən artıq axın təyinat və mexanizmə xəritələnib — adekvatlıq, İsveçrə-ABŞ DPF sertifikatı, FDPIC-İsveçrə əlavəli SCC-lər, BCR-lar və ya sənədləşdirilmiş istisnalar
• ABŞ satıcısının DPF sertifikat statusu bir dəfə alınıb unudulmaqla deyil, dərc edilmiş siyahıda yenidən yoxlanılır
• Razılıq jurnalları zaman damğalı, ixrac edilə bilən və tətbiq edilə bilən müddət əhatəsi üçün saxlanılıb
• Məlumat subyekti sorğu iş axını 30 gün ərzində başdan sona cavab verə bilir, Alman, Fransız və İtalyan dillərindəki
• Pozuntu bildirimi iş kitabı revFADP-nin cədvəllərinə uyğunlaşdırılıb və daxili hadisəyə cavab prosesi ilə inteqrasiya edilib
• İmzalama iş axınları cinayət-məsuliyyəti-fərd arxitekturasını əks etdirir, adlanan təsdiqçilərlə və sənədləşdirmə izləri ilə
• Xüsusilə həssas kateqoriyalı auditoriya seqmentləri açıq, ayrıca əldə edilmiş razılığın arxasında saxlanılır
• Cookie təsnifatı FDPIC-nin təlimatı altında hansı cookie-lərin həqiqətən tam zəruri kimi layiq olduğuna dair tənqidi bir gözlə nəzərdən keçirilib

2026-cı il Görünüşü

İsveçrənin məlumatların mühafizəsi rejimi hörmətli amma sakit bir köhnə qanunvericilikdən öz uyğunluq prioritetlərini müstəqil olaraq şəkilləndirmək üçün əməliyyat spesifikliyi, tətbiq gücü və cinayət məsuliyyəti arxitekturasına malik işlək bir alətə çevrildi. 2024-cü il adekvatlıq yenilənməsi ABŞ ötürmələri ətrafındakı ən mühüm struktur boşluğunu bağladı və FDPIC-nin artan 2025-ci il tətbiq mövqeyi bir dəfəlik kampaniya aparmaq deyil, davamlı bir şəkildə genişlənən tənzimləyiciyə uyğun. Artıq GDPR dərəcəli razılıq yığımı işlədən naşirlər üçün revFADP uyğunluğuna olan boşluq hər hansı digər AB xaricindəki yurisdiksiyaya olan boşluqdan daha dardır — lakin realdır və detalda yaşayır: İsveçrə dilli bannerlar və bildirişlər, hər ABŞ satıcısı üçün DPF-SCC xəritəsi, xüsusilə həssas kateqoriyanın bir qədər fərqli xətti, üç-dörd dil əhatəsindəki 30 günlük cavab ritmi, fərdi imza sənədlərini birinci dərəcəli uyğunluq artefaktına, yalnız xoş bir əlavəyə deyil, çevirən cinayət məsuliyyəti arxitekturası. Boşluq prioritet verilərsə həftələr içərisinde bağlana bilər və İsveçrənin naşir CPM-ləri prioritetləşdirməni iqtisadi cəhətdən sadə edir. 2024-cü il boyunca İsveçrəyə sakit bir şəkildə GDPR ötürməsi kimi baxan naşirlər 2026-cı ili əhəmiyyətli dərəcədə daha tələbkar tapır və tendensiya aydındır.