Struktura revFADP v roce 2026

revFADP nahradil švýcarský režim ochrany údajů z roku 1992 rámcem, který v většině provozních ohledů těsně sleduje GDPR při zachování hrstky výrazně švýcarských postojů. Revidované nařízení o ochraně údajů (rev-OPDP) a Nařízení o certifikacích ochrany údajů, obě v platnosti spolu s revFADP, vyplňují provozní podrobnosti.

Co revize změnila

Revize zavedla: povinné oznámení porušení FDPIC, požadavek záznamu zpracování pro většinu správců, posouzení dopadu na ochranu údajů pro vysoce rizikové zpracování, skutečně extrateritoriální rozsah podobný čl. 3 odst. 2 GDPR, posílená práva subjektů údajů a záruky trestní odpovědnosti vztahující se na fyzické osoby a nejen na kontrolující organizaci. Definice osobních údajů, základy zákonného zpracování a struktura práv subjektů údajů jsou všechny těsně sladěny s GDPR, což pro vydavatele, kteří již provozují program GDPR, výrazně zjednodušuje švýcarské plnění — ale neodstraňuje ho.

Kdo je regulován

revFADP se vztahuje na zpracování údajů ve Švýcarsku a na zpracování mimo Švýcarsko, které se dotýká osob ve Švýcarsku. Zahraniční vydavatelé obsluhující švýcarský provoz prostřednictvím lokalizovaných webů, domény .ch, německo-francouzsko-italsko-rétorománského obsahu přizpůsobeného švýcarskému publiku nebo programatického inventáře zakoupeného proti švýcarským IP adresám jsou obvykle v rozsahu a FDPIC potvrdil extrateritoriální výklad v aktualizacích pokynů pro rok 2025.

Správní pokuty a trestní záruka

Nejdiskutovanějším odklonem revFADP od GDPR je, že jeho architektura sankcí je primárně trestní, nikoli správní. Individuální pokuty — obvykle na odpovědné fyzické osoby, jako jsou ředitelé, pověřenci pro ochranu údajů nebo vedoucí pracovníci odpovědní za dodržování — mohou dosáhnout až CHF 250 000 za jedno porušení u úmyslných přestupků, s paralelní trestní odpovědností za nejzávažnější jednání. Horní hranice je v absolutním vyjádření nižší než čtyřprocentní strop obratu GDPR, ale směřování odpovědnosti — vůči jmenované fyzické osobě a nejen organizaci — v praxi mění kalkul rizika. Několik vydavatelů v roce 2025 přestrukturovalo interní schvalovací pracovní postupy konkrétně s cílem rozložit expozici.

Co se počítá jako osobní údaje podle revFADP

Definice osobních údajů v revFADP těsně sleduje GDPR. Osobní údaje jsou informace vztahující se k identifikované nebo identifikovatelné osobě a FDPIC důsledně zacházel s cookies, identifikátory reklam, IP adresami, otisky zařízení a behaviorálními profily jako s osobními údaji, pokud je lze přímo nebo kombinací s jinými informacemi propojit s konkrétní osobou.

Zvláště citlivé osobní údaje

revFADP vymezuje kategorii nazvanou zvláště citlivé osobní údaje, která je poněkud širší než zvláštní kategorie GDPR. Zahrnuje: údaje o náboženských, filozofických, politických nebo odborových názorech a aktivitách, zdravotní údaje, údaje o intimní sféře nebo rasovém či etnickém původu, genetické a biometrické údaje jednoznačně identifikující osobu, údaje o správních a trestních řízeních nebo sankcích a údaje o opatřeních sociální pomoci. Zpracování zvláště citlivých osobních údajů spouští zvýšené požadavky na souhlas a transparentnost.

Proč je to důležité pro cookies

Cookie ukládající běžný identifikátor reklamy jsou běžné osobní údaje. Cookie, který napájí segment publika dotýkající se zvláště citlivého seznamu — zdravotní zájmy, politické sklony, náboženská příslušnost — je zpracováním zvláště citlivých osobních údajů a vyžaduje výslovný souhlas oddělený od obecného toku souhlasu s reklamou. Cílení na švýcarsky mluvící publikum, které se překrývá s tímto seznamem, by mělo být auditováno konkrétně vůči hranici, která je vytyčena mírně odlišně od linie zvláštní kategorie GDPR.

Souhlas s cookies podle revFADP v roce 2026

revFADP umožňuje několik zákonných základů pro zpracování a na rozdíl od směrnice ePrivacy uplatňované v členských státech EU švýcarské právo nevnucuje zákonnou základní linii pouze souhlasu pro nezbytně nezbyné cookies. V praxi se však pokyny FDPIC z let 2024 a 2025 a nejnovější rozhodnutí o vymáhání sblížila do postoje, který je velmi blízko základní linii EU pro cookies spojené s reklamou, analytikou a profilováním v různých kontextech.

Provozní postoj FDPIC

Zveřejněný postoj FDPIC je, že nezbytně nezbyné cookies — včetně reklamy, retargetingu, meziwebové analytiky a personalizace — vyžadují předchozí, informovaný, svobodně udělený a konkrétní souhlas zachycený před aktivací cookie. Nezbytně nutné cookies a cookies podporující službu, kterou si uživatel výslovně vyžádal, lze nastavit na základě oprávněného zájmu nebo na základě plnění smlouvy bez předchozí výzvy k souhlasu, ale břemeno klasifikace cookie jako nezbytně nutného leží na správci a bylo napadeno v několika stížnostech z roku 2025.

Prvky platného souhlasu

Souhlas podle revFADP musí být:

• Svobodně udělený — bez nátlaku, sdružování s poskytováním základní služby nebo cookie zdí, která podmiňuje přístup k základnímu obsahu přijetím nezbytně nezbytného cookie
• Informovaný — subjekt údajů rozumí tomu, jaké údaje jsou zpracovávány, kým, za jakým účelem a jakým příjemcům
• Konkrétní — vázaný na jasně identifikované účely zpracování, nikoli na souhlas obecný
• Jednoznačný — vyjádřený jasným kladným úkonem, nikoli odvozený z rolování, pokračujícího prohlížení nebo nečinnosti
• Výslovný v případech zahrnujících zvláště citlivé osobní údaje, se samostatným souhlasem pro citlivé zpracování

Jak vypadá vyhovující CMP pro švýcarský provoz

CMP nakonfigurovaný pro Švýcarsko v roce 2026 by měl prezentovat:

• Banner zobrazený v jazyce uživatele — němčině, francouzštině, italštině nebo rétorománštině — před aktivací jakéhokoli nezbytně nezbyného cookie, přičemž výběr jazyka odpovídá lokalizaci webu .ch a nestandardně přechází do angličtiny
• Stejná vizuální výraznost akcí Přijmout, Odmítnout a Nastavení — pokyny FDPIC z roku 2025 explicitně kritizují návrhy bannerů, kde je Odmítnout vizuálně potlačeno vůči Přijmout
• Granulární přepínače pro každý účel: analytika, reklama, personalizace, přeshraniční přenos a jakákoli zvláště citlivá kategorie
• Samostatný tok souhlasu pro jakékoli zpracování zvláště citlivých osobních údajů uzamčený za vlastní akci namísto sdružení do obecného souhlasu
• Trvalý, snadno nalezitelný mechanismus pro odvolání souhlasu po počáteční volbě s paritou tření jako při udělení souhlasu
• Úplné oznámení o ochraně soukromí ve švýcarském jazyce zveřejňující identitu správce, zpracovatele, účely, příjemce, doby uchovávání, mechanismy přenosu a cestu práv subjektů údajů

Záznamy o souhlasech

Správci musí uchovávat důkazy o souhlasu — kdo souhlasil, kdy, s jakými konkrétními účely a prostřednictvím jakého rozhraní. Nedostatečné záznamy o souhlasech se vyskytly v několika vyšetřovacích dopisech FDPIC v roce 2025 a záznamy exportovatelné s časovým razítkem uchovávané po příslušnou lhůtu promlčení jsou základním očekáváním.

Přeshraniční přenosy po přehodnocení přiměřenosti v roce 2024

Přeshraniční přenosy dat jsou oblastí revFADP, kde se švýcarský postoj nejzřetelněji odchyluje od postoje EU a mírně zaostává. Přehodnocení v roce 2024, které následovalo po přijetí EU-US Data Privacy Framework ze strany EU, vyprodukovalo paralelní Swiss-US Data Privacy Framework, jehož rozsah a podmínky však nejsou totožné.

Uznávané mechanismy přenosu

revFADP a rev-OPDP uznávají několik cest:

• Rozhodnutí o přiměřenosti Švýcarské federální rady pro země hodnocené jako poskytující přiměřenou ochranu — aktuální seznam zahrnuje EEA, Spojené království a hrstku dalších jurisdikcí
• Swiss-US Data Privacy Framework pro přenosy do organizací v USA, které se vlastně certifikovaly podle rámce, jenž nahradil Swiss-US Privacy Shield po roce 2024
• Standardní smluvní doložky (SCC) uznávané FDPIC, včetně SCC EU se švýcarským dodatkem, který FDPIC zveřejnil
• Závazná podniková pravidla (BCR) schválená FDPIC
• Specifické výjimky včetně výslovného souhlasu s přiměřeným zveřejněním, nezbytnosti smlouvy, životního zájmu a podstatného veřejného zájmu

Swiss-US DPF v praxi

Swiss-US DPF pokrývá přenosy do organizací v USA, které se vlastně certifikovaly a udržují svou certifikaci. Vydavatelé by měli ověřovat aktivní stav certifikace každého poskytovatele reklamních technologií nebo analytiky v USA na seznamu DPF místo spoléhání se na jednorázovou kontrolu, protože propadlé certifikace zpětně nezneplatňují předchozí přenosy, ale vyžadují okamžitou nápravu pro probíhající toky. Pokud poskytovatel nemá certifikaci DPF, SCC EU se švýcarským dodatkem FDPIC zůstávají funkční alternativou.

Praktický přístup pro rok 2026

Pro většinu vydavatelů spočívá funkční přístup v mapování každého přeshraničního datového toku ze švýcarského provozu do jeho cílové země a mechanismu, provedení příslušných SCC-se-švýcarským-dodatkem tam, kde certifikace DPF poskytovatele nekryje, zdokumentování mechanismu v oznámení o ochraně soukromí ve švýcarském jazyce a doplnění souhlasovým oprávněním pouze tam, kde strukturované mechanismy čistě nezapadají do zpracování.

Práva subjektů údajů podle revFADP

revFADP uděluje soubor práv těsně sledující GDPR s několika specificky švýcarskými obrysy:

• Právo na přístup k osobním údajům uchovávaným správcem, s bezplatným prvním přístupem za rok a stropem pro náhradu nákladů u následných nebo rozsáhlých žádostí
• Právo na opravu nepřesných nebo neúplných údajů
• Právo na výmaz
• Právo na omezení zpracování
• Právo na přenositelnost údajů zpracovávaných automatizovanými prostředky na základě souhlasu nebo smlouvy
• Právo vznést námitku vůči zpracování
• Právo odvolat souhlas
• Právo nebýt předmětem automatizovaného individuálního rozhodování, které má právní nebo podobně závažné účinky, se zárukou pro ruční přezkum
• Právo podat stížnost FDPIC nebo zahájit občanskoprávní řízení

Lhůty odpovědí

Správci musí odpovědět na žádosti subjektů údajů do 30 dnů podle obecného rámce, s možností prodloužení prostřednictvím odůvodněného oznámení ve složitých případech. Provozní připravenost pro tuto lhůtu — s nástroji ve švýcarském jazyce a runbooky v němčině, francouzštině a italštině — je běžnou mezerou pro zahraniční vydavatele, kteří laděli svůj program na jeden evropský jazyk.

Sankce a vymáhací postoj v roce 2026

Vymáhací aktivita FDPIC se v průběhu let 2024 a 2025 výrazně stupňovala a rok 2026 v tomto trendu pokračuje, místo aby se stabilizoval.

Struktura pokut

Pokuty jsou svou povahou primárně trestní a směřují vůči jmenovaným fyzickým osobám — ředitelům, DPOs, vedoucím pracovníkům compliance — s horní hranicí CHF 250 000 za úmyslné porušení. Nejčastěji citované kategorie při vymáhání v roce 2025 byly: nedostatečné informace subjektům údajů, porušení povinné péče při přeshraničních přenosech, neplnění povinnosti oznámit porušení zabezpečení dat FDPIC v požadované lhůtě a nesoulad s rozhodnutími nebo příkazy FDPIC.

Trestní záruka

Na rozdíl od GDPR vede cesta trestní odpovědnosti revFADP vůči odpovědné fyzické osobě, nikoli pouze vůči právnické osobě, což v roce 2025 vedlo k podstatnému internímu přestrukturování schvalovacích pracovních postupů. Praktickým důsledkem je, že osvědčení o shodě a záznamy o auditech jsou důležité nejen z hlediska expozice organizace, ale také z hlediska expozice fyzické osoby — a DPOs zejména upravily dokumentační praxi, aby to odrážela.

Témata vymáhání

Opatření FDPIC z roku 2025 a začátku roku 2026 se soustředí kolem: cookie bannerů, které vizuálně potlačují akci Odmítnout nebo používají předem zaškrtnutá pole, oznámení o ochraně soukromí nedostupných v národním švýcarském jazyce uživatele, přeshraničních přenosů k poskytovatelům v USA, kteří nemají certifikaci DPF a postrádají alternativní mechanismus, nereagování na žádosti subjektů údajů ve lhůtě 30 dnů a opožděných nebo chybějících oznámení o porušeních. Zahraniční vydavatelé byli citováni ve všech pěti kategoriích, přičemž kategorie návrhu bannerů a přeshraničních přenosů vedou na pořadu.

Auditní kontrolní seznam pro švýcarský provoz v roce 2026

• Banner CMP je zobrazován v národním švýcarském jazyce uživatele (DE, FR, IT nebo RM) se stejnou vizuální výrazností pro Přijmout, Odmítnout a Nastavení
• Účely souhlasu jsou granulární a oddělují zvláště citlivé zpracování za vlastním tokem souhlasu
• Oznámení o ochraně soukromí je dostupné v každém příslušném švýcarském jazyce s úplným zveřejněním správce, zpracovatelů, účelů, uchovávání, práv a cesty stížnosti FDPIC
• Každý přeshraniční tok ze švýcarského provozu je namapován na cílovou zemi a mechanismus — přiměřenost, certifikace Swiss-US DPF, SCC se švýcarským dodatkem FDPIC, BCR nebo zdokumentovaná výjimka
• Stav certifikace DPF poskytovatele v USA je znovu ověřován v publikovaném seznamu, nikoli přijat jednou a zapomenut
• Záznamy o souhlasech jsou opatřeny časovými razítky, exportovatelné a uchovávány po příslušnou promlčecí lhůtu
• Pracovní postup žádostí subjektů údajů dokáže odpovědět ve lhůtě 30 dnů od začátku do konce, v němčině, francouzštině a italštině
• Runbook pro oznámení o porušení je naladěn na lhůty revFADP a integrován s interním procesem reakce na incidenty
• Schvalovací pracovní postupy odrážejí architekturu trestní odpovědnosti vůči fyzické osobě, s jmenovanými schvalovateli a dokumentačními záznamy
• Segmenty publika zvláště citlivé kategorie jsou uzamčeny za výslovným, samostatně zachyceným souhlasem
• Klasifikace cookies byla přezkoumána kritickým pohledem na to, které cookies se skutečně kvalifikují jako nezbytně nutné podle pokynů FDPIC

Výhled na rok 2026

Švýcarský režim ochrany údajů se vyvinul z respektovaného, ale tichého staršího zákona do funkčního nástroje s provozní specifičností, vymáhací kapacitou a architekturou trestní odpovědnosti, aby formoval priority plnění samostatně, nikoli se pouze opírat o program EU. Přehodnocení přiměřenosti v roce 2024 uzavřelo nejzávažnější strukturální mezeru kolem přenosů do USA a stupňující se vymáhací postoj FDPIC v roce 2025 je v souladu s regulátorem, který škáluje udržitelným způsobem, nikoli provozuje jednorázovou kampaň. Pro vydavatele, kteří již provozují zásobník souhlasů na úrovni GDPR, je mezera k souladu s revFADP užší než mezera pro jakoukoli jinou jurisdikci mimo EU — ale je reálná a žije v konkrétních detailech: bannery a oznámení ve švýcarském jazyce, mapování DPF versus SCC pro každého poskytovatele v USA, mírně odlišná linie zvláště citlivé kategorie, 30denní rytmus odpovídání ve třech nebo čtyřech jazycích a architektura trestní odpovědnosti, která dělá z dokumentace individuálního schválení prvotřídní artefakt souladu, nikoli pěkný doplněk. Mezera může být uzavřena v týdnech, pokud bude prioritizována, a švýcarské CPM vydavatelů dělají prioritizaci ekonomicky přímočarou. Vydavatelé, kteří dosud tiše zacházeli se Švýcarskem jako s průchodem GDPR, zjišťují, že rok 2026 je výrazně náročnější, a tento trend je jasný.