Strukturen i revFADP i 2026

revFADP erstattede Schweiz' databeskyttelsesordning fra 1992 med en ramme, der på de fleste driftsmæssige punkter følger GDPR tæt, mens den bevarer en håndfuld tydeligt schweiziske holdninger. Den reviderede databeskyttelsesforordning (rev-OPDP) og forordningen om databeskyttelsescertificeringer, begge i kraft parallelt med revFADP, udfylder de driftsmæssige detaljer.

Hvad revisionen ændrede

Revisionen indførte: obligatorisk brudanmeldelse til FDPIC, et behandlingsregistreringskrav for de fleste dataansvarlige, databeskyttelseskonsekvensvurderinger for højrisiko-behandling, et i sandhed ekstraterritorialt anvendelsesområde svarende til GDPR's artikel 3, stk. 2, styrkede rettigheder for registrerede og en strafferetlig hæftelsesgaranti, der gælder for enkeltpersoner og ikke kun for den kontrollerende organisation. Definitionen af personoplysninger, grundlaget for lovlig behandling og strukturen for de registreredes rettigheder er alle tæt afstemt med GDPR, hvilket materielt forenkler schweizisk overholdelse for udgivere, der allerede kører et GDPR-program — men eliminerer det ikke.

Hvem er reguleret

revFADP finder anvendelse på databehandling i Schweiz og på behandling uden for Schweiz, der berører personer i Schweiz. Udenlandske udgivere, der betjener schweizisk trafik via lokaliserede websteder, et .ch-domæne, tysk-fransk-italiensk-rætoromansk indhold tilpasset schweiziske publikummer eller programmatisk beholdning købt mod schweiziske IP-adresser, er typisk inden for anvendelsesområdet, og FDPIC har bekræftet den ekstraterritoriale fortolkning i sine vejledningsopdateringer for 2025.

Administrative bøder og den strafferetlige garanti

revFADP's mest omdiskuterede afvigelse fra GDPR er, at dens sanktionsarkitektur primært er strafferetlig snarere end administrativ. Individuelle bøder — typisk rettet mod de ansvarlige fysiske personer såsom direktører, databeskyttelsesrådgivere eller compliance-ansvarlige — kan nå op til CHF 250.000 pr. overtrædelse for forsætlige overtrædelser med parallel strafferetlig hæftelse for den mest alvorlige adfærd. Loftet er lavere end GDPR's fire procent af omsætningsloft i absolutte tal, men retningen af hæftelsen — mod den navngivne person og ikke kun organisationen — ændrer risikokalklen i praksis. Adskillige udgivere omstrukturerede interne godkendelsesworkflows i 2025 specifikt for at fordele eksponeringen.

Hvad der tæller som personoplysninger under revFADP

revFADP's definition af personoplysninger følger GDPR tæt. Personoplysninger er oplysninger, der vedrører en identificeret eller identificerbar person, og FDPIC har konsekvent behandlet cookies, reklame-id'er, IP-adresser, enhedsfingeraftryk og adfærdsprofiler som personoplysninger, når de kan knyttes til et individ direkte eller ved kombination med andre oplysninger.

Særligt følsomme personoplysninger

revFADP fastlægger en kategori kaldet særligt følsomme personoplysninger, der er noget bredere end GDPR's særlige kategorier. Den inkluderer: oplysninger om religiøse, filosofiske, politiske eller fagforeningssyn og -aktiviteter, sundhedsoplysninger, oplysninger om den intime sfære eller racemæssig eller etnisk oprindelse, genetiske og biometriske oplysninger, der entydigt identificerer en person, oplysninger om administrative og strafferetlige sager eller sanktioner, og oplysninger om sociale foranstaltninger. Behandling af særligt følsomme personoplysninger udløser forhøjede samtykke- og gennemsigtighedskrav.

Hvorfor dette betyder noget for cookies

En cookie, der gemmer et rutinemæssigt reklame-id, er almindelige personoplysninger. En cookie, der fodrer et målgruppesegment, der berører den særligt følsomme liste — sundhedsinteresser, politiske tilbøjeligheder, religiøst tilhørsforhold — er behandling af særligt følsomme personoplysninger og kræver udtrykkeligt samtykke, adskilt fra det generelle reklamesamtykkeflow. Schweizisk-sproget målgrupperetning, der overlapper denne liste, bør revideres specifikt i forhold til grænsen, som er trukket lidt anderledes end GDPR's særlige-kategori-linje.

Cookie-samtykke under revFADP i 2026

revFADP tillader adskillige lovlige grundlag for behandling, og i modsætning til ePrivacy-direktivet som anvendt i EU's medlemsstater, pålægger schweizisk ret ikke et lovbestemt samtykke-kun-basislinje for ikke-essentielle cookies. I praksis er FDPIC's vejledning fra 2024 og 2025 og de seneste håndhævelsesafgørelser dog konvergeret mod en holdning, der er meget tæt på EU-basislinjen for cookies knyttet til reklame, analyse og profilering på tværs af kontekster.

FDPIC's operationelle holdning

FDPIC's offentliggjorte holdning er, at ikke-essentielle cookies — herunder reklame, retargeting, on-tværs-af-sider-analyse og personalisering — kræver et forudgående, informeret, frit givet og specifikt samtykke indhenttet, inden cookien sættes. Strengt nødvendige cookies og cookies, der understøtter en tjeneste, som brugeren udtrykkeligt har anmodet om, kan sættes på grundlag af legitim interesse eller på grundlag af kontraktopfyldelse uden en forudgående samtykkeopfordring, men byrden med at klassificere en cookie som strengt nødvendig påhviler den dataansvarlige og er blevet anfægtet i adskillige klager i 2025.

Elementerne i gyldigt samtykke

Samtykke under revFADP skal være:

• Frit givet — uden tvang, sammenkobling med levering af essentielle tjenester eller en cookie-mur, der betinger adgang til kerneindhold på accept af ikke-essentielle cookies
• Informeret — den registrerede forstår, hvilke data der behandles, af hvem, til hvilke formål og til hvilke modtagere
• Specifikt — knyttet til klart identificerede behandlingsformål snarere end et paraplysamtykke
• Utvetydigt — udtrykt gennem en klar bekræftende handling, ikke udledt af scrolling, fortsat browsing eller inaktivitet
• Udtrykkeligt i tilfælde, der involverer særligt følsomme personoplysninger, med separat samtykke til den følsomme behandling

Hvad en compliant CMP ser ud til schweizisk trafik

En CMP konfigureret til Schweiz i 2026 bør præsentere:

• Et banner vist på brugerens sprog — tysk, fransk, italiensk eller rætoromansk — inden nogen ikke-essentielle cookies sættes, med sprogvalg, der matcher .ch-webstedets lokalisering snarere end at bruge engelsk som standard
• Ligelig visuel fremtrædende for Accepter, Afvis og Indstillinger — FDPIC's vejledning fra 2025 kritiserer udtrykkeligt bannerdesigns, hvor Afvis er visuelt nedtonet i forhold til Accepter
• Granulære kontakter pr. formål: analyse, reklame, personalisering, grænseoverskridende overførsel og eventuelle særligt følsomme kategorier
• Et separat samtykkeflow for enhver behandling af særligt følsomme personoplysninger, låst bag sin egen handling snarere end bundtet i det generelle samtykke
• En permanent, letfindelig mekanisme til at trække samtykke tilbage efter det indledende valg, med samme friktion som ved at give samtykke
• En fuldstændig schweizisk-sproget privatlivsmeddelelse, der oplyser om den dataansvarliges identitet, databehandlere, formål, modtagere, opbevaringsperioder, overførselsmekanismer og stien til de registreredes rettigheder

Samtykkeposter

Dataansvarlige skal opretholde bevis for samtykke — hvem der gav samtykke, hvornår, til hvilke specifikke formål og via hvilken grænseflade. Utilstrækkelige samtykkeposter optrådte i adskillige FDPIC-undersøgelsesbreve i 2025, og tidsstemplede eksporterbare logfiler opbevaret i den gældende forældelsesfrist er basisforventningen.

Grænseoverskridende overførsler efter adequacy-tilpasningen i 2024

Grænseoverskridende dataoverførsler er det område af revFADP, hvor den schweiziske holdning tydeligst adskiller sig fra og lidt halter efter EU-holdningen. Tilpasningen i 2024, der fulgte EU's vedtagelse af EU-US Data Privacy Framework, producerede et parallelt Swiss-US Data Privacy Framework, men dets rækkevidde og betingelser er ikke identiske.

De anerkendte overførselsmekanismer

revFADP og rev-OPDP anerkender adskillige veje:

• Adequacy-beslutninger truffet af det schweiziske forbundsråd for lande vurderet som ydende tilstrækkelig beskyttelse — den aktuelle liste inkluderer EEA, Det Forenede Kongerige og en håndfuld andre jurisdiktioner
• Swiss-US Data Privacy Framework for overførsler til amerikanske organisationer, der har selvcerti ficeret sig under rammen, som erstattede Swiss-US Privacy Shield efter 2024
• Standardkontraktbestemmelser (SCC) anerkendt af FDPIC, herunder EU-SCC'erne med et schweizisk tillæg, som FDPIC offentliggjorde
• Bindende virksomhedsregler (BCR) godkendt af FDPIC
• Specifikke undtagelser, herunder udtrykkeligt samtykke med tilstrækkelig oplysning, kontraktnødvendighed, vital interesse og væsentlig offentlig interesse

Swiss-US DPF i praksis

Swiss-US DPF dækker overførsler til amerikanske organisationer, der har selvcerti ficeret sig og opretholdt deres certificering. Udgivere bør verificere hvert amerikansk adtech- eller analyseudbyders aktive certificeringsstatus på DPF-listen snarere end at stole på en engangskontrol, fordi udløbne certificeringer ikke retroaktivt ugyldiggør tidligere overførsler, men kræver øjeblikkelig afhjælpning for igangværende flows. Hvor en udbyder ikke er DPF-certificeret, forbliver EU-SCC'erne med FDPIC's schweiziske tillæg det fungerende alternativ.

Den praktiske tilgang for 2026

For de fleste udgivere er den fungerende tilgang at kortlægge hvert grænseoverskridende dataflow fra schweizisk trafik til dets destinationsland og mekanisme, gennemføre de relevante SCC-med-schweizisk-tillæg, hvor DPF-certificeringen ikke dækker udbyderen, dokumentere mekanismen i den schweizisk-sprogede privatlivsmeddelelse og supplere med samtykkebaseret godkendelse kun, hvor de strukturerede mekanismer ikke passer rent til behandlingen.

Registreredes rettigheder under revFADP

revFADP giver et sæt rettigheder, der tæt følger GDPR, med et par specifikt schweiziske konturer:

• Ret til indsigt i personoplysninger hos den dataansvarlige, med gratis første adgang pr. år og et omkostningsgendannelsesloft for efterfølgende eller store anmodninger
• Ret til berigtigelse af unøjagtige eller ufuldstændige oplysninger
• Ret til sletning
• Ret til begrænsning af behandling
• Ret til dataportabilitet for data behandlet ved automatiserede midler på grundlag af samtykke eller kontrakt
• Ret til at gøre indsigelse mod behandling
• Ret til at trække samtykke tilbage
• Ret til ikke at være genstand for automatiseret individuel beslutningstagning, der frembringer retsvirkninger eller tilsvarende væsentlige virkninger, med en sikkerhedsforanstaltning for manuel gennemgang
• Ret til at indgive klage til FDPIC eller til at anlægge civile sager

Svarfrister

Dataansvarlige skal besvare anmodninger fra registrerede inden for 30 dage under den generelle ramme, forlængeligt med en begrundet meddelelse i komplekse tilfælde. Operationel beredskab til dette vindue — med schweizisk-sproget værktøj og runbooks på tværs af tysk, fransk og italiensk — er et hyppigt hul for udenlandske udgivere, der har indstillet deres program til et enkelt europæisk sprog.

Bøder og håndhævelsesposition i 2026

FDPIC's håndhævelsesaktivitet eskalerede markant gennem 2024 og 2025, og 2026 fortsætter banen snarere end at platå.

Bødestrukturen

Bøder er primært strafferetlige i karakter og rettet mod navngivne individer — direktører, DPO'er, compliance-ansvarlige — med et loft på CHF 250.000 pr. forsætlig overtrædelse. De hyppigst citerede kategorier i håndhævelse i 2025 var: utilstrækkelig information til registrerede, brud på due care-pligten ved grænseoverskridende overførsler, manglende opfyldelse af pligten til at anmelde databrud til FDPIC inden for det krævede vindue og manglende overholdelse af FDPIC-beslutninger eller -ordrer.

Den strafferetlige garanti

I modsætning til GDPR er revFADP's strafferetlige hæftelsesrute rettet mod den ansvarlige fysiske person snarere end kun den juridiske enhed, hvilket fremkaldte en betydelig intern omstrukturering af godkendelsesworkflows i 2025. Den praktiske effekt er, at overholdelseserklæringer og revisionsregistre ikke kun er vigtige for organisationens eksponering, men også for individets eksponering — og DPO'er i særdeleshed har tilpasset dokumentationspraksis for at afspejle dette.

Håndhævelsestemaer

FDPIC's handlinger fra 2025 og begyndelsen af 2026 samler sig om: cookie-bannere, der nedtoner Afvis-handlingen eller bruger forhåndsafkrydsede felter, privatlivsmeddelelser, der ikke er tilgængelige på brugerens schweiziske nationalsprog, grænseoverskridende overførsler til amerikanske udbydere, der ikke er DPF-certificerede og mangler en alternativ mekanisme, manglende svar på anmodninger fra registrerede inden for 30-dages-vinduet og forsinkede eller manglende brudanmeldelser. Udenlandske udgivere er blevet citeret i alle fem kategorier, med banner-design- og grænseoverskridende-overførsels-kategorierne i front på dockets.

Revisionscheckliste for schweizisk trafik i 2026

• CMP-banneret betjenes på brugerens schweiziske nationalsprog (DE, FR, IT eller RM) med ligelig visuel fremtrædende for Accepter, Afvis og Indstillinger
• Samtykkeformål er granulære og adskiller særligt følsom behandling bag sit eget samtykkeflow
• Privatlivsmeddelelsen er tilgængelig på hvert relevant schweizisk sprog med fuld videregivelse af dataansvarlig, databehandlere, formål, opbevaring, rettigheder og FDPIC-klagevej
• Hvert grænseoverskridende flow fra schweizisk trafik er kortlagt til destination og mekanisme — adequacy, Swiss-US DPF-certificering, FDPIC-schweizisk-tillæg-SCC'er, BCR'er eller en dokumenteret undtagelse
• US-udbyderens DPF-certificeringsstatus kontrolleres på den offentliggjorte liste snarere end tages én gang og glemmes
• Samtykkeposter er tidsstemplede, eksporterbare og opbevaret i den relevante forældelsesfrist
• Datasbjektets anmodningsworkflow kan besvare inden for 30 dage fra ende til ende, på tysk, fransk og italiensk
• Brudanmeldelsesrunbook er indstillet til revFADP's tidsfrister og integreret med den interne hændelsesberedskabsproces
• Godkendelsesworkflows afspejler strafferetlig-hæftelse-på-individ-arkitekturen med navngivne godkendere og dokumentationsspor
• Særlig-følsom-kategori målgruppesegmenter er låst bag udtrykkeligt, separat indhentet samtykke
• Cookie-klassificering er gennemgået med et kritisk blik på, hvilke cookies der faktisk kvalificerer sig som strengt nødvendige under FDPIC's vejledning

Udsigterne for 2026

Schweiz' databeskyttelsesordning er modnet fra en respekteret men stille ældre lov til et fungerende redskab med den operationelle specificitet, håndhævelseskapaciteten og den strafferetlige hæftelsesarkitektur til at forme overholdelsesprioriteter selvstændigt snarere end blot at ride med på EU-programmet. Adequacy-tilpasningen i 2024 lukkede den mest konsekvente strukturelle kløft vedrørende US-overførsler, og FDPIC's eskalerende håndhævelsesposition i 2025 er i overensstemmelse med en tilsynsmyndighed, der skalerer op på en vedvarende måde snarere end at køre en engangs-kampagne. For udgivere, der allerede kører en GDPR-klassebaseret samtykkestack, er kløften til revFADP-overholdelse smallere end kløften for enhver anden ikke-EU-jurisdiktion — men den er reel og lever i specifikationerne: schweizisk-sprogede bannere og meddelelser, DPF-versus-SCC-kortlægning for hver US-udbyder, den særligt følsomme kategoris lidt anderledes grænse, 30-dages svartakten på tværs af tre eller fire sprog og den strafferetlige hæftelsesarkitektur, der gør individuel godkendelsesdokumentation til et førsteklasses overholdelseselement snarere end noget rart at have. Kløften kan lukkes på uger, hvis den prioriteres, og Schweiz' udgiver-CPM'er gør prioriteringen økonomisk ligetil. De udgivere, der stille behandlede Schweiz som en GDPR-gennemgang gennem 2024, finder 2026 markant mere krævende, og tendensen er klar.