Структурата на revFADP през 2026 г.

revFADP замени швейцарския режим за защита на данните от 1992 г. с рамка, която в повечето оперативни отношения следи GDPR отблизо, като същевременно запазва шепа ясно изразени швейцарски позиции. Ревизираната наредба за защита на данните (rev-OPDP) и Наредбата за сертификации за защита на данните, и двете в сила наред с revFADP, допълват оперативните подробности.

Какво промени ревизията

Ревизията въведе: задължително уведомяване за нарушения до FDPIC, изискване за регистър на обработването за повечето администратори, оценки на въздействието върху защитата на данните при обработване с висок риск, истински екстериториален обхват, подобен на член 3(2) на GDPR, засилени права на субектите на данни и гаранция за углавна отговорност, приложима за физически лица, а не само за контролиращата организация. Определението за лични данни, основанията за законосъобразно обработване и структурата на правата на субектите на данни са приведени в тясно съответствие с GDPR, което съществено опростява швейцарското съответствие за издатели, вече изпълняващи програма по GDPR — но не го елиминира.

Кой е регулиран

revFADP се прилага за обработване на данни в Швейцария и за обработване извън Швейцария, което засяга физически лица в Швейцария. Чуждестранни издатели, обслужващи швейцарски трафик чрез локализирани сайтове, домейн .ch, немско-френско-италианско-романшко съдържание, настроено за швейцарска аудитория, или програмен инвентар, закупен срещу швейцарски IP адреси, обикновено попадат в обхвата, като FDPIC потвърди екстериториалното тълкуване в актуализациите на насоките за 2025 г.

Административни глоби и углавна гаранция

Най-обсъжданото отклонение на revFADP от GDPR е, че архитектурата на санкциите е предимно углавна, а не административна. Индивидуалните глоби — обикновено насочени към отговорните физически лица като директори, длъжностни лица по защита на данните или отговорници за съответствие — могат да достигнат до CHF 250 000 на нарушение при умишлени нарушения, с паралелна углавна отговорност за най-сериозното поведение. Таванът е по-нисък от четири процента от оборота по GDPR в абсолютно изражение, но насочеността на отговорността — към конкретното физическо лице, а не само към организацията — променя практически изчисленията на риска. Няколко издатели преструктурираха вътрешните работни потоци за одобрение специално за разпределяне на излагането през 2025 г.

Какво се счита за лични данни по revFADP

Определението на revFADP за лични данни следи GDPR отблизо. Личните данни са информация, свързана с идентифицирано или идентифицируемо лице, като FDPIC последователно третира бисквитките, рекламните идентификатори, IP адресите, дигиталните пръстови отпечатъци на устройствата и поведенческите профили като лични данни, когато могат да бъдат свързани с физическо лице пряко или чрез комбинация с друга информация.

Особено чувствителни лични данни

revFADP определя категория, наречена особено чувствителни лични данни, която е малко по-широка от специалните категории на GDPR. Тя включва: данни за религиозни, философски, политически или синдикални възгледи и дейности, здравни данни, данни за интимната сфера или расов или етнически произход, генетични и биометрични данни, уникално идентифициращи дадено лице, данни за административни и углавни производства или санкции, и данни за мерки за социална помощ. Обработването на особено чувствителни лични данни задейства повишени изисквания за съгласие и прозрачност.

Защо това е важно за бисквитките

Бисквитка, съхраняваща рутинен рекламен идентификатор, е обикновени лични данни. Бисквитка, която подхранва сегмент от аудитория, засягащ особено чувствителния списък — здравни интереси, политически наклонности, религиозна принадлежност — е обработване на особено чувствителни лични данни и изисква изрично съгласие, отделно от общия поток за рекламно съгласие. Таргетирането на швейцарскоезична аудитория, което се застъпва с този списък, трябва да бъде одитирано конкретно спрямо границата, която е очертана малко по-различно от линията за специални категории на GDPR.

Съгласие за бисквитки по revFADP през 2026 г.

revFADP позволява няколко законни основания за обработване, и за разлика от Директивата за електронна поверителност (ePrivacy), приложена в държавите — членки на ЕС, швейцарското право не налага само законово задължение за съгласие за нехеосъществени бисквитки. На практика обаче насоките на FDPIC за 2024 и 2025 г. и най-новите решения за правоприлагане се насочиха към позиция, много близка до базовото ниво на ЕС за бисквитки, свързани с реклама, анализ и профилиране в различни контексти.

Оперативната позиция на FDPIC

Публикуваната позиция на FDPIC е, че нехеосъществените бисквитки — включително реклама, ретаргетиране, кроссайтов анализ и персонализация — изискват предварително, информирано, свободно дадено и конкретно съгласие, получено преди активирането на бисквитката. Строго необходимите бисквитки и бисквитките, поддържащи услуга, изрично поискана от потребителя, могат да бъдат поставени на основание на легитимен интерес или на основание на изпълнение на договор без предварителна подкана за съгласие, но тежестта за класифициране на бисквитка като строго необходима лежи върху администратора и е оспорена в няколко жалби от 2025 г.

Елементите на валидното съгласие

Съгласието по revFADP трябва да бъде:

• Свободно дадено — без принуда, обвързване с предоставяне на съществена услуга или стена от бисквитки, обуславяща достъпа до основно съдържание от приемане на нехеосъществена бисквитка
• Информирано — субектът на данни разбира какви данни се обработват, от кого, с каква цел и на кои получатели
• Конкретно — обвързано с ясно идентифицирани цели на обработването, а не общо съгласие
• Недвусмислено — изразено чрез ясно утвърдително действие, а не изведено от превъртане, продължавано сърфиране или бездействие
• Изрично в случаи, включващи особено чувствителни лични данни, с отделно съгласие за чувствителното обработване

Как изглежда съответстваща CMP за швейцарски трафик

CMP, конфигурирана за Швейцария през 2026 г., трябва да представя:

• Банер, предоставен на езика на потребителя — немски, френски, италиански или романшки — преди да се активира нехеосъществена бисквитка, като изборът на език съответства на локализацията на сайта .ch, а не се свежда по подразбиране до английски
• Еднакво визуално присъствие на действията Приемане, Отхвърляне и Настройки — насоките на FDPIC за 2025 г. изрично критикуват дизайни на банери, в които Отхвърлянето е визуално подценено спрямо Приемането
• Детайлни превключватели за всяка цел: анализ, реклама, персонализация, трансгранично предаване и всяка особено чувствителна категория
• Отделен поток за съгласие за всяко обработване на особено чувствителни лични данни, затворен зад собственото му действие, а не обединен в общото съгласие
• Постоянен, лесно намиращ се механизъм за оттегляне на съгласието след първоначалния избор, при равен разход с даването на съгласие
• Пълно известие за поверителност на швейцарски език, разкриващо самоличността на администратора, обработващите, целите, получателите, периодите на задържане, механизмите за предаване и пътя за правата на субектите на данни

Записи за съгласие

Администраторите трябва да пазят доказателства за съгласие — кой е дал съгласие, кога, за кои конкретни цели и чрез кой интерфейс. Неадекватните записи за съгласие фигурираха в няколко следствени писма на FDPIC от 2025 г., като времево маркираните, експортируемите журнали, запазени за приложимия давностен срок, са базовото очакване.

Трансгранични предавания след преориентирането на адекватността от 2024 г.

Трансграничните предавания на данни са областта на revFADP, където швейцарската позиция най-ясно се отдалечава от и леко изостава зад позицията на ЕС. Преориентирането от 2024 г., последвало приемането от ЕС на EU-US Data Privacy Framework, доведе до паралелен швейцарско-американски рамков механизъм, но неговият обхват и условия не са идентични.

Признатите механизми за предаване

revFADP и rev-OPDP признават няколко пътища:

• Решения за адекватност на Швейцарския федерален съвет за страни, оценени като осигуряващи адекватна защита — текущият списък включва EEA, Обединеното кралство и шепа други юрисдикции
• Швейцарско-американският Data Privacy Framework за предавания към американски организации, самосертифицирани по рамката, която замени швейцарско-американския Privacy Shield след 2024 г.
• Стандартни договорни клаузи (SCC), признати от FDPIC, включително SCC на ЕС с швейцарско приложение, публикувано от FDPIC
• Задължителни корпоративни правила (BCR), одобрени от FDPIC
• Специфични изключения, включително изрично съгласие с адекватно разкриване, необходимост за договора, жизненоважен интерес и значителен обществен интерес

Швейцарско-американският DPF на практика

Швейцарско-американският DPF обхваща предавания към американски организации, самосертифицирали се и поддържащи сертификацията си. Издателите трябва да проверяват активния статус на сертификация на всеки американски доставчик на рекламни технологии или анализ в списъка на DPF, вместо да разчитат на еднократна проверка, тъй като изтеклите сертификации не анулират retroактивно предишните предавания, но изискват незабавно коригиране за текущи потоци. Когато доставчикът не е сертифициран по DPF, SCC на ЕС с швейцарското приложение на FDPIC остава работещата алтернатива.

Практическият подход за 2026 г.

За повечето издатели работещият подход е да картографират всеки трансграничен поток от данни от швейцарски трафик до страната на местоназначение и механизма, да изпълнят подходящите SCC с швейцарско приложение, когато DPF сертификацията не обхваща доставчика, да документират механизма в известието за поверителност на швейцарски език и да допълват с базирано на съгласие упълномощаване само там, където структурираните механизми не пасват чисто на обработването.

Права на субектите на данни по revFADP

revFADP предоставя набор от права, следящи GDPR отблизо, с няколко специфично швейцарски контура:

• Право на достъп до личните данни, съхранявани от администратора, с безплатен първи достъп на година и таван за възстановяване на разходи за последващи или мащабни заявки
• Право на коригиране на неточни или непълни данни
• Право на изтриване
• Право на ограничаване на обработването
• Право на преносимост на данни за данни, обработвани по автоматизиран начин въз основа на съгласие или договор
• Право на възражение срещу обработването
• Право на оттегляне на съгласие
• Право да не бъде обект на автоматизирано индивидуално вземане на решения, произвеждащо правни или подобно значими последствия, с гаранция за ръчен преглед
• Право на подаване на жалба до FDPIC или за завеждане на граждански производства

Срокове за отговор

Администраторите трябва да отговарят на заявки на субекти на данни в рамките на 30 дни съгласно общата рамка, с удължаване чрез мотивирано уведомление в сложни случаи. Оперативната готовност за тази времева рамка — с инструменти на швейцарски език и наръчници на немски, френски и италиански — е честа пропаст за чуждестранни издатели, настроили програмата си на един европейски език.

Наказания и позиция при правоприлагане през 2026 г.

Правоприлагащата дейност на FDPIC се засили значимо през 2024 и 2025 г. и 2026 г. продължава тази тенденция, вместо да я изравни.

Структурата на глобите

Глобите са предимно углавни по характер и насочени към конкретни физически лица — директори, DPOs, отговорници за съответствие — с таван от CHF 250 000 на умишлено нарушение. Най-цитираните категории при правоприлагане от 2025 г. са: недостатъчна информация за субектите на данни, нарушение на задължението за надлежна грижа при трансгранични предавания, неизпълнение на задължението за уведомяване на FDPIC за нарушения на данните в рамките на изискваното времево пространство и несъответствие с решенията или разпорежданията на FDPIC.

Углавната гаранция

За разлика от GDPR, маршрутът за углавна отговорност на revFADP е насочен срещу отговорното физическо лице, а не само срещу юридическото лице, което предизвика значително вътрешно преструктуриране на работните потоци за одобрение през 2025 г. Практическото следствие е, че удостоверенията за съответствие и одитните следи имат значение не само за излагането на организацията, но и за излагането на физическото лице — и DPOs в частност са адаптирали практиката за документиране, за да отразят това.

Теми в правоприлагането

Действията на FDPIC от 2025 и началото на 2026 г. се концентрират около: банери за бисквитки, подценяващи действието Отхвърляне или използващи предварително маркирани квадратчета, известия за поверителност, недостъпни на националния швейцарски език на потребителя, трансгранични предавания до американски доставчици, несертифицирани по DPF и лишени от алтернативен механизъм, неотговаряне на заявките на субектите на данни в рамките на 30-дневния срок и закъснели или липсващи уведомления за нарушения. Чуждестранни издатели са цитирани в и петте категории, като категориите за дизайн на банери и трансгранични предавания водят делата.

Одитен контролен списък за швейцарски трафик през 2026 г.

• Банерът на CMP се предоставя на националния швейцарски език на потребителя (DE, FR, IT или RM) с равно визуално присъствие на Приемане, Отхвърляне и Настройки
• Целите на съгласие са детайлни и отделят особено чувствителното обработване зад собствен поток за съгласие
• Известието за поверителност е достъпно на всеки съответен швейцарски език с пълни разкривания за администратора, обработващите, целите, задържането, правата и пътя за жалба до FDPIC
• Всеки трансграничен поток от швейцарски трафик е картографиран до местоназначението и механизма му — адекватност, швейцарско-американска DPF сертификация, SCC с швейцарско приложение на FDPIC, BCR или документирано изключение
• Статусът на DPF сертификация на американски доставчик се проверява повторно в публикувания списък, вместо да бъде взет веднъж и забравен
• Журналите за съгласие са времево маркирани, експортируеми и запазени за приложимия давностен срок
• Работният поток за заявки на субекти на данни може да отговаря в рамките на 30 дни от край до край, на немски, френски и италиански
• Наръчникът за уведомяване при нарушения е настроен към сроковете на revFADP и интегриран с вътрешния процес за реакция при инциденти
• Работните потоци за одобрение отразяват архитектурата на углавна отговорност при физическото лице, с посочени одобряващи и документационна следа
• Сегментите от аудитория в особено чувствителна категория са затворени зад изрично, отделно получено съгласие
• Класификацията на бисквитките е прегледана с критично око за това кои бисквитки действително се квалифицират като строго необходими по насоките на FDPIC

Перспективите за 2026 г.

Швейцарският режим за защита на данните се е развил от уважаван, но тих по-стар закон в работещ инструмент с оперативна специфика, правоприлагащ капацитет и архитектура на углавна отговорност, за да формира приоритети за съответствие самостоятелно, вместо само да разчита на европейската програма. Преориентирането на адекватността от 2024 г. затвори най-значимата структурна пропаст около предаванията на данни към Съединените щати, а ескалиращата правоприлагаща позиция на FDPIC от 2025 г. е в съответствие с регулатор, разширяващ се по устойчив начин, а не провеждащ еднократна кампания. За издатели, вече изпълняващи стек за съгласие на ниво GDPR, пропастта до съответствие с revFADP е по-тясна от пропастта за всяка друга юрисдикция извън ЕС — но е реална и живее в специфики: банери и известия на швейцарски език, DPF спрямо SCC картографиране за всеки американски доставчик, леко различната линия за особено чувствителната категория, 30-дневният ритъм на отговор на три или четири езика и архитектурата на углавна отговорност, която прави документацията за индивидуално одобрение артефакт на съответствие от първи клас, а не хубаво допълнение. Пропастта може да бъде затворена за седмици, ако е приоритизирана, и швейцарските CPM на издателите правят приоритизирането икономически ясно. Издателите, тихо третирали Швейцария като пропускателен пункт за GDPR до 2024 г., намират 2026 г. значително по-взискателна и тенденцията е ясна.