Структура revFADP у 2026 годзе

revFADP замяніў швейцарскі рэжым абароны даных 1992 года рамкамі, якія ў большасці аператыўных аспектаў цесна адсочваюць GDPR, захоўваючы пры гэтым некалькі выразна швейцарскіх пазіцый. Перагледжанае Палажэнне аб абароне даных (rev-OPDP) і Палажэнне аб сертыфікацыі абароны даных, абодва дзейныя нараўне з revFADP, запаўняюць аператыўныя дэталі.

Што змяніў перагляд

Перагляд увёў: абавязковае паведамленне FDPIC аб парушэннях, патрабаванне весці рэестр апрацоўкі для большасці кантролераў, ацэнкі ўздзеяння на абарону даных для апрацоўкі высокай рызыкі, сапраўды экстэрытарыяльны ахоп, падобны да артыкула 3(2) GDPR, узмоцненыя правы суб'ектаў даных і крымінальную адказнасць, якая прымяняецца да фізічных асоб, а не толькі да арганізацыі-кантролера. Вызначэнне персанальных даных, асновы для законнай апрацоўкі і структура правоў суб'ектаў даных цесна ўзгоднены з GDPR, што істотна спрашчае швейцарскую адпаведнасць для выдаўцоў, якія ўжо вядуць праграму GDPR, — але не ліквідуе яе.

Хто рэгулюецца

revFADP прымяняецца да апрацоўкі даных у Швейцарыі і да апрацоўкі па-за межамі Швейцарыі, якая закранае асоб у Швейцарыі. Замежныя выдаўцы, якія абслугоўваюць швейцарскі трафік праз лакалізаваныя сайты, дамен .ch, нямецка-французска-італьянска-рэтараманскі кантэнт, наладжаны пад швейцарскую аўдыторыю, або праграматычны інвентар, набыты пад швейцарскія IP, звычайна трапляюць у сферу дзеяння, і FDPIC пацвердзіў экстэрытарыяльную трактоўку ў сваіх абнаўленнях кіраўніцтва 2025 года.

Адміністрацыйныя штрафы і крымінальная адказнасць

Найбольш абмяркоўваемае адхіленне revFADP ад GDPR заключаецца ў тым, што яго архітэктура санкцый з'яўляецца пераважна крымінальнай, а не адміністрацыйнай. Індывідуальныя штрафы — звычайна на адказных фізічных асоб, такіх як дырэктары, упаўнаважаныя па абароне даных або кіраўнікі па адпаведнасці — могуць дасягаць 250 000 швейцарскіх франкаў за парушэнне пры наўмысных правапарушэннях, з паралельнай крымінальнай адказнасцю за найбольш сур'ёзныя дзеянні. Загалоўны ліміт ніжэйшы за чатырохпрацэнтную столь ад абароту GDPR у абсалютным выражэнні, але напрамак адказнасці — на названую фізічную асобу, а не толькі на арганізацыю — змяняе разлік рызыкі на практыцы. Некалькі выдаўцоў у 2025 годзе перабудавалі ўнутраныя працэсы зацвярджэння менавіта для размеркавання ўздзеяння.

Што лічыцца персанальнымі данымі паводле revFADP

Вызначэнне персанальных даных у revFADP цесна адсочвае GDPR. Персанальныя даныя — гэта інфармацыя, якая адносіцца да ідэнтыфікаванай або ідэнтыфікаванай асобы, і FDPIC паслядоўна разглядаў cookie, рэкламныя ідэнтыфікатары, IP-адрасы, лічбавыя адбіткі прылад і паводзінскія профілі як персанальныя даныя, калі іх можна звязаць з асобай напрамую або ў спалучэнні з іншай інфармацыяй.

Асабліва адчувальныя персанальныя даныя

revFADP вызначае катэгорыю пад назвай асабліва адчувальныя персанальныя даныя, якая некалькі шырэйшая за спецыяльныя катэгорыі GDPR. Яна ўключае: даныя пра рэлігійныя, філасофскія, палітычныя або прафсаюзныя погляды і дзейнасць, даныя пра здароўе, даныя пра інтымную сферу або расавае ці этнічнае паходжанне, генетычныя і біяметрычныя даныя, якія адназначна ідэнтыфікуюць асобу, даныя пра адміністрацыйныя і крымінальныя справы або санкцыі, а таксама даныя пра меры сацыяльнай дапамогі. Апрацоўка асабліва адчувальных персанальных даных запускае павышаныя патрабаванні да згоды і празрыстасці.

Чаму гэта важна для cookie

Cookie, які захоўвае руцінны рэкламны ідэнтыфікатар, з'яўляецца звычайнымі персанальнымі данымі. Cookie, які сілкуе сегмент аўдыторыі, што закранае спіс асабліва адчувальных даных — інтарэсы ў сферы здароўя, палітычныя схільнасці, рэлігійная прыналежнасць — з'яўляецца апрацоўкай асабліва адчувальных персанальных даных і патрабуе яўнай згоды, асобнай ад агульнага патоку рэкламнай згоды. Швейцарскамоўны таргетынг аўдыторыі, які перакрываецца з гэтым спісам, варта спецыяльна праверыць адносна мяжы, якая праведзена крыху інакш, чым лінія спецыяльных катэгорый GDPR.

Згода на cookie паводле revFADP у 2026 годзе

revFADP дазваляе некалькі законных асноў для апрацоўкі, і ў адрозненне ад Дырэктывы ePrivacy, як яна прымяняецца ў дзяржавах-членах ЕС, швейцарскае права не накладвае законнае патрабаванне выключна на згоду для неабавязковых cookie. На практыцы, аднак, кіраўніцтва FDPIC 2024 і 2025 гадоў і найноўшыя рашэнні па правапрымяненні сышліся ў пазіцыі, якая вельмі блізкая да базавай лініі ЕС для cookie, звязаных з рэкламай, аналітыкай і кросс-кантэкстным прафіляваннем.

Аператыўная пазіцыя FDPIC

Апублікаваная пазіцыя FDPIC заключаецца ў тым, што неабавязковыя cookie — уключаючы рэкламу, рэтаргетынг, кросс-сайтавую аналітыку і персаналізацыю — патрабуюць папярэдняй, інфармаванай, свабодна дадзенай і канкрэтнай згоды, атрыманай да спрацоўвання cookie. Строга неабходныя cookie і cookie, якія падтрымліваюць паслугу, відавочна запатрабаваную карыстальнікам, могуць быць усталяваны на аснове законнага інтарэсу або на аснове выканання дагавора без папярэдняга запыту згоды, але цяжар класіфікацыі cookie як строга неабходнага ляжыць на кантролеры і быў аспрэчаны ў некалькіх скаргах 2025 года.

Элементы сапраўднай згоды

Згода паводле revFADP павінна быць:

• Свабодна дадзенай — без прымусу, аб'яднання з прадастаўленнем асноўнай паслугі або сцяны cookie, якая абумоўлівае доступ да асноўнага кантэнту прыняццем неабавязковых cookie
• Інфармаванай — суб'ект даных разумее, якія даныя апрацоўваюцца, кім, з якой мэтай і з якімі атрымальнікамі
• Канкрэтнай — прывязанай да дакладна вызначаных мэтаў апрацоўкі, а не да парасонавай згоды
• Адназначнай — выражанай праз яўнае сцвярджальнае дзеянне, а не вывад з пракруткі, працягу прагляду або бяздзейнасці
• Яўнай у выпадках, якія тычацца асабліва адчувальных персанальных даных, з асобнай згодай на адчувальную апрацоўку

Як выглядае адпаведная CMP для швейцарскага трафіку

CMP, наладжаная для Швейцарыі ў 2026 годзе, павінна прадстаўляць:

• Банер, прадстаўлены на мове карыстальніка — нямецкай, французскай, італьянскай або рэтараманскай — да спрацоўвання любога неабавязковага cookie, з выбарам мовы, які адпавядае лакалізацыі сайта .ch, а не па змаўчанні англійскай
• Роўную візуальную прыкметнасць для дзеянняў "Прыняць", "Адхіліць" і "Налады" — кіраўніцтва FDPIC 2025 года выразна крытыкуе дызайн банераў, дзе "Адхіліць" візуальна прыніжаны адносна "Прыняць"
• Дэталізаваныя перамыкачы па кожнай мэце: аналітыка, рэклама, персаналізацыя, транскордонная перадача і любая асабліва адчувальная катэгорыя
• Асобны паток згоды для любой апрацоўкі асабліва адчувальных персанальных даных, замкнёны за ўласным дзеяннем, а не аб'яднаны ў агульную згоду
• Пастаянны, лёгка знаходны механізм адклікання згоды пасля першапачатковага выбару, з аднолькавай складанасцю, як і пры дачы згоды
• Поўнае паведамленне аб канфідэнцыяльнасці на швейцарскай мове, якое раскрывае асобу кантролера, апрацоўшчыкаў, мэты, атрымальнікаў, перыяды захоўвання, механізмы перадачы і шлях правоў суб'ектаў даных

Запісы згоды

Кантролеры павінны весці доказы згоды — хто даў згоду, калі, на якія канкрэтныя мэты і праз які інтэрфейс. Неадэкватныя запісы згоды фігуравалі ў некалькіх следчых лістах FDPIC у 2025 годзе, і часавыя журналы з магчымасцю экспарту, якія захоўваюцца на працягу прыдатнага тэрміна даўнасці, з'яўляюцца базавым чаканнем.

Транскордонныя перадачы пасля перанастройкі адэкватнасці 2024 года

Транскордонныя перадачы даных — гэта тая вобласць revFADP, дзе швейцарская пазіцыя найбольш выразна адхіляецца ад пазіцыі ЕС і крыху адстае ад яе. Перанастройка 2024 года пасля прыняцця ЕС Рамкі прыватнасці даных ЕС–ЗША стварыла паралельную швейцарска-амерыканскую Рамку прыватнасці даных, але яе ахоп і ўмовы не ідэнтычныя.

Прызнаныя механізмы перадачы

revFADP і rev-OPDP прызнаюць некалькі шляхоў:

• Рашэнні аб адэкватнасці Федэральнага савета Швейцарыі для краін, ацэненых як забяспечваючых адэкватную абарону — бягучы спіс уключае ЕЭП, Злучанае Каралеўства і жменьку іншых юрысдыкцый
• Швейцарска-амерыканская Рамка прыватнасці даных для перадач у амерыканскія арганізацыі, самасертыфікаваныя ў рамках, якая замяніла швейцарска-амерыканскі Privacy Shield пасля 2024 года
• Стандартныя кантрактныя ўмовы, прызнаныя FDPIC, уключаючы SCC ЕС са швейцарскім дадаткам, які апублікаваў FDPIC
• Абавязковыя карпаратыўныя правілы, зацверджаныя FDPIC
• Канкрэтныя выключэнні, уключаючы яўную згоду з адэкватным раскрыццём, неабходнасць дагавора, жыццёва важны інтарэс і істотны грамадскі інтарэс

Швейцарска-амерыканская DPF на практыцы

Швейцарска-амерыканская DPF ахоплівае перадачы ў амерыканскія арганізацыі, якія самасертыфікаваліся і захавалі сваю сертыфікацыю. Выдаўцы павінны правяраць статус актыўнай сертыфікацыі кожнага амерыканскага рэкламна-тэхналагічнага або аналітычнага пастаўшчыка ў спісе DPF, а не спадзявацца на аднаразовую праверку, паколькі скончаныя сертыфікацыі не анулююць рэтраактыўна папярэднія перадачы, але патрабуюць неадкладнага выпраўлення для бягучых патокаў. Калі пастаўшчык не сертыфікаваны DPF, SCC ЕС са швейцарскім дадаткам FDPIC застаюцца дзейснай альтэрнатывай.

Практычны падыход 2026 года

Для большасці выдаўцоў дзейсны падыход заключаецца ў тым, каб скласці карту кожнага транскордоннага патоку даных са швейцарскага трафіку да краіны прызначэння і механізму, выканаць адпаведныя SCC-са-швейцарскім-дадаткам там, дзе сертыфікацыя DPF не пакрывае пастаўшчыка, задакументаваць механізм у паведамленні аб канфідэнцыяльнасці на швейцарскай мове і дапоўніць згодай-аўтарызацыяй толькі там, дзе структураваныя механізмы не зусім адпавядаюць апрацоўцы.

Правы суб'ектаў даных паводле revFADP

revFADP надае набор правоў, які цесна адсочвае GDPR, з некалькімі швейцарскімі асаблівасцямі:

• Права доступу да персанальных даных, якія захоўвае кантролер, з бясплатным першым доступам у год і столлю кампенсацыі выдаткаў для наступных або маштабных запытаў
• Права на выпраўленне недакладных або няпоўных даных
• Права на сціранне
• Права на абмежаванне апрацоўкі
• Права на пераноснасць даных, апрацаваных аўтаматызаванымі сродкамі на падставе згоды або дагавора
• Права запярэчыць апрацоўцы
• Права адклікаць згоду
• Права не быць аб'ектам аўтаматызаванага індывідуальнага прыняцця рашэнняў, якое стварае прававыя або падобна істотныя наступствы, з гарантыяй ручнога перагляду
• Права падаць скаргу ў FDPIC або звярнуцца ў грамадзянскі суд

Тэрміны адказу

Кантролеры павінны адказваць на запыты суб'ектаў даных на працягу 30 дзён у межах агульнай рамкі, з прадаўжэннем праз абгрунтаванае паведамленне ў складаных выпадках. Аператыўная гатоўнасць да гэтага акна — з інструментамі і інструкцыямі на швейцарскіх мовах на нямецкай, французскай і італьянскай — з'яўляецца распаўсюджаным прабелам для замежных выдаўцоў, якія наладзілі сваю праграму на адну еўрапейскую мову.

Спагнанні і пазіцыя правапрымянення ў 2026 годзе

Дзейнасць FDPIC па правапрымяненні істотна ўзрасла на працягу 2024 і 2025 гадоў, і 2026 год працягвае траекторыю, а не выходзіць на плато.

Структура штрафаў

Штрафы з'яўляюцца пераважна крымінальнымі па прыродзе і накіраваны на названых фізічных асоб — дырэктараў, DPO, кіраўнікоў па адпаведнасці — са столлю ў 250 000 швейцарскіх франкаў за наўмыснае парушэнне. Найбольш часта згадванымі катэгорыямі ў правапрымяненні 2025 года былі: недастатковая інфармацыя для суб'ектаў даных, парушэнне належнай асцярожнасці пры транскордонных перадачах, невыкананне абавязку паведамляць FDPIC аб парушэннях даных у патрэбнае акно і неадпаведнасць рашэнням або загадам FDPIC.

Крымінальная адказнасць

У адрозненне ад GDPR, шлях крымінальнай адказнасці revFADP накіраваны супраць адказнай фізічнай асобы, а не толькі юрыдычнай асобы, што выклікала істотную ўнутраную перабудову працэсаў зацвярджэння ў 2025 годзе. Практычны эфект заключаецца ў тым, што пацверджанні адпаведнасці і аўдытарскія сляды важныя не толькі для ўздзеяння на арганізацыю, але і для ўздзеяння на асобу — і DPO, у прыватнасці, скарэкціравалі практыку дакументавання, каб гэта адлюстраваць.

Тэмы правапрымянення

Дзеянні FDPIC 2025 і пачатку 2026 года групуюцца вакол: банераў cookie, якія прыніжаюць дзеянне "Адхіліць" або выкарыстоўваюць папярэдне адзначаныя сцяжкі, паведамленняў аб канфідэнцыяльнасці, недаступных на швейцарскай нацыянальнай мове карыстальніка, транскордонных перадач амерыканскім пастаўшчыкам, якія не сертыфікаваны DPF і не маюць альтэрнатыўнага механізму, невыканання адказу на запыты суб'ектаў даных у межах 30-дзённага акна і затрыманых або адсутных паведамленняў аб парушэннях. Замежныя выдаўцы былі названыя ва ўсіх пяці катэгорыях, прычым катэгорыі дызайну банераў і транскордонных перадач узначальваюць спіс.

Кантрольны спіс аўдыту для швейцарскага трафіку ў 2026 годзе

• Банер CMP прадстаўлены на швейцарскай нацыянальнай мове карыстальніка (DE, FR, IT або RM) з "Прыняць", "Адхіліць" і "Налады" пры роўнай візуальнай прыкметнасці
• Мэты згоды дэталізаваны і аддзяляюць асабліва адчувальную апрацоўку за ўласным патокам згоды
• Паведамленне аб канфідэнцыяльнасці даступна на кожнай адпаведнай швейцарскай мове з поўным раскрыццём кантролера, апрацоўшчыкаў, мэтаў, захоўвання, правоў і шляху скаргі FDPIC
• Кожны транскордонны паток са швейцарскага трафіку прывязаны да краіны прызначэння і механізму — адэкватнасць, сертыфікацыя швейцарска-амерыканскай DPF, SCC з FDPIC-швейцарскім дадаткам, BCR або задакументаванае выключэнне
• Статус DPF-сертыфікацыі амерыканскага пастаўшчыка паўторна правяраецца ў апублікаваным спісе, а не прымаецца аднойчы і забываецца
• Журналы згоды маюць часавыя меткі, магчымасць экспарту і захоўваюцца на працягу прыдатнага тэрміна даўнасці
• Працэс запытаў суб'ектаў даных можа адказваць у межах 30 дзён ад пачатку да канца на нямецкай, французскай і італьянскай
• Інструкцыя па паведамленні аб парушэннях наладжана пад тэрміны revFADP і інтэгравана з унутраным працэсам рэагавання на інцыдэнты
• Працэсы зацвярджэння адлюстроўваюць архітэктуру крымінальнай-адказнасці-на-асобе, з названымі зацвярджаючымі і слядом дакументацыі
• Сегменты аўдыторыі асабліва-адчувальнай-катэгорыі замкнёны за яўнай, асобна атрыманай згодай
• Класіфікацыя cookie была разгледжана з крытычным поглядам на тое, якія cookie насамрэч кваліфікуюцца як строга неабходныя паводле кіраўніцтва FDPIC

Перспектыва на 2026 год

Рэжым абароны даных Швейцарыі сталеў з паважанага, але ціхага старэйшага статута ў дзейсны інструмент з аператыўнай канкрэтнасцю, магчымасцямі правапрымянення і архітэктурай крымінальнай адказнасці, каб самастойна фарміраваць прыярытэты адпаведнасці, а не проста ехаць на праграме ЕС. Перанастройка адэкватнасці 2024 года закрыла найбольш значны структурны прабел вакол амерыканскіх перадач, а нарастаючая пазіцыя правапрымянення FDPIC 2025 года адпавядае рэгулятару, які ўстойліва нарошчвае магутнасць, а не праводзіць аднаразовую кампанію. Для выдаўцоў, якія ўжо вядуць стэк згоды ўзроўню GDPR, прабел да адпаведнасці revFADP вузейшы, чым прабел для любой іншай неэўрапейскай юрысдыкцыі — але ён рэальны, і ён жыве ў дэталях: банеры і паведамленні на швейцарскіх мовах, картаграфаванне DPF-супраць-SCC для кожнага амерыканскага пастаўшчыка, крыху іншая лінія асабліва адчувальнай катэгорыі, 30-дзённы рытм адказу на трох ці чатырох мовах і архітэктура крымінальнай адказнасці, якая робіць дакументацыю індывідуальнага зацвярджэння першакласным артэфактам адпаведнасці, а не прыемным дадаткам. Прабел можна закрыць за тыдні, калі расставіць прыярытэты, а выдавецкія CPM Швейцарыі робяць расстаноўку прыярытэтаў эканамічна простай. Выдаўцы, якія ціха разглядалі Швейцарыю як скразны праход GDPR да 2024 года, выяўляюць, што 2026 год значна больш патрабавальны, і тэндэнцыя відавочная.