ساختار revFADP در ۲۰۲۶

revFADP رژیم حفاظت از داده ۱۹۹۲ سوئیس را با چارچوبی جایگزین کرد که در اکثر جنبه‌های عملیاتی به دقت GDPR را دنبال می‌کند در حالی که تعدادی از موضع‌های متمایزاً سوئیسی را حفظ می‌کند. آیین‌نامه اصلاح‌شده حفاظت از داده (rev-OPDP) و آیین‌نامه گواهینامه‌های حفاظت از داده، هر دو همراه با revFADP لازم‌الاجرا، جزئیات عملیاتی را پر می‌کنند.

آنچه بازنگری تغییر داد

بازنگری موارد زیر را معرفی کرد: اطلاع‌رسانی اجباری نقض به FDPIC، الزام ثبت پردازش برای اکثر کنترل‌کنندگان، ارزیابی‌های تأثیر حفاظت از داده برای پردازش پرخطر، حوزه فرا-سرزمینی واقعی مشابه ماده ۳(۲) GDPR، تقویت حقوق موضوع داده، و پشتیبان مسئولیت کیفری قابل اعمال به افراد به جای تنها سازمان کنترل‌کننده. تعریف داده‌های شخصی، مبانی پردازش قانونی، و ساختار حقوق موضوع داده همه به دقت با GDPR همراستا هستند، که انطباق سوئیسی را برای ناشرانی که از قبل برنامه GDPR دارند به طور قابل توجهی ساده می‌کند — اما آن را حذف نمی‌کند.

چه کسی تحت نظارت قرار دارد

revFADP بر پردازش داده در سوئیس و پردازش خارج از سوئیس که بر افراد در سوئیس تأثیر می‌گذارد اعمال می‌شود. ناشران خارجی که از طریق سایت‌های بومی‌سازی‌شده، یک دامنه .ch، محتوای آلمانی-فرانسوی-ایتالیایی-رومانشی تنظیم‌شده برای مخاطبان سوئیسی، یا موجودی برنامه‌ای خریداری‌شده در برابر IP‌های سوئیسی به ترافیک سوئیسی خدمت می‌دهند معمولاً در محدوده هستند، و FDPIC تفسیر فرا-سرزمینی را در به‌روزرسانی‌های راهنمای ۲۰۲۵ خود تأیید کرده است.

جریمه‌های اداری و پشتیبان مسئولیت کیفری

متمایزترین بخش revFADP از GDPR این است که معماری تحریمی آن بیشتر کیفری تا اداری است. جریمه‌های فردی — معمولاً بر اشخاص حقیقی مسئول مانند مدیران، مسئولان حفاظت از داده، یا سرپرستان انطباق — می‌توانند تا ۲۵۰,۰۰۰ CHF برای هر تخلف عمدی برسند، با مسئولیت کیفری موازی برای جدی‌ترین رفتارها. سقف اصلی در شرایط مطلق پایین‌تر از سقف چهار درصد گردش مالی GDPR است، اما جهت مسئولیت — به سمت فرد نام‌برده شده به جای تنها سازمان — محاسبه ریسک را در عمل تغییر می‌دهد. چندین ناشر گردش کار تأیید داخلی را در ۲۰۲۵ به طور خاص برای توزیع قرارگیری در معرض بازساختاری کردند.

آنچه به عنوان داده شخصی در قالب revFADP محاسبه می‌شود

تعریف داده‌های شخصی revFADP به دقت GDPR را دنبال می‌کند. داده‌های شخصی اطلاعاتی است که به یک شخص شناسایی‌شده یا قابل شناسایی مربوط می‌شود، و FDPIC به طور مداوم کوکی‌ها، شناسه‌های تبلیغاتی، آدرس‌های IP، اثر انگشت دستگاه، و پروفایل‌های رفتاری را به عنوان داده شخصی تلقی کرده است زمانی که می‌توان آن‌ها را مستقیماً یا به صورت ترکیبی با اطلاعات دیگر به یک فرد مرتبط کرد.

داده‌های شخصی به ویژه حساس

revFADP دسته‌ای به نام داده‌های شخصی به ویژه حساس تعیین می‌کند که تا حدی گسترده‌تر از دسته‌های خاص GDPR است. شامل: داده‌های مربوط به دیدگاه‌ها و فعالیت‌های مذهبی، فلسفی، سیاسی، یا اتحادیه‌های کارگری، داده‌های بهداشتی، داده‌های مربوط به حوزه صمیمی یا اصل نژادی یا قومی، داده‌های ژنتیکی و بیومتریک که یک شخص را به طور منحصربه‌فرد شناسایی می‌کنند، داده‌های مربوط به رسیدگی‌ها و ضمانت‌اجراهای اداری و کیفری، و داده‌های مربوط به اقدامات کمک اجتماعی. پردازش داده‌های شخصی به ویژه حساس الزامات رضایت و شفافیت ارتقاءیافته را فعال می‌کند.

چرا این برای کوکی‌ها اهمیت دارد

کوکی که یک شناسه تبلیغاتی معمول را ذخیره می‌کند داده شخصی معمولی است. کوکی‌ای که یک بخش مخاطب لمس‌کننده فهرست به ویژه حساس را تغذیه می‌کند — علایق بهداشتی، گرایشات سیاسی، وابستگی مذهبی — پردازش داده شخصی به ویژه حساس است و نیاز به رضایت صریح دارد، جدا از جریان رضایت تبلیغاتی عمومی. هدف‌گذاری مخاطبان زبان سوئیسی که با این فهرست همپوشانی دارد باید به طور خاص در برابر مرز بررسی شود، که کمی متفاوت از خط دسته خاص GDPR ترسیم شده است.

رضایت کوکی در قالب revFADP در ۲۰۲۶

revFADP چندین مبنای قانونی برای پردازش مجاز می‌کند، و بر خلاف دستورالعمل ePrivacy آن‌طور که در کشورهای عضو اتحادیه اروپا اعمال می‌شود، قانون سوئیس یک خط پایه قانونی فقط-رضایت برای کوکی‌های غیرضروری تحمیل نمی‌کند. در عمل، با این حال، راهنمای ۲۰۲۴ و ۲۰۲۵ FDPIC و جدیدترین تصمیمات اجرایی به موضعی همگرا شده‌اند که بسیار نزدیک به خط پایه اتحادیه اروپا برای کوکی‌های مرتبط با تبلیغات، تحلیلیات، و پروفایل‌سازی متقاطع است.

موضع عملیاتی FDPIC

موضع منتشرشده FDPIC این است که کوکی‌های غیرضروری — از جمله تبلیغات، هدف‌گذاری مجدد، تحلیلیات بین سایتی، و شخصی‌سازی — نیاز به رضایت قبلی، آگاهانه، آزادانه داده‌شده، و خاصی دارند که قبل از فعال شدن کوکی جمع‌آوری می‌شود. کوکی‌های کاملاً ضروری و کوکی‌هایی که از خدمتی که کاربر صراحتاً درخواست کرده پشتیبانی می‌کنند ممکن است بر اساس منافع مشروع یا اجرای قرارداد بدون اعلان رضایت قبلی تنظیم شوند، اما بار طبقه‌بندی یک کوکی به عنوان کاملاً ضروری بر عهده کنترل‌کننده است و در چندین شکایت ۲۰۲۵ مورد چالش قرار گرفته است.

عناصر رضایت معتبر

رضایت در قالب revFADP باید:

• آزادانه داده شده — بدون اجبار، همراه کردن با ارائه خدمات اساسی، یا دیوار کوکی که دسترسی به محتوای اصلی را مشروط به پذیرش کوکی غیرضروری می‌کند
• آگاهانه — موضوع داده درک می‌کند که چه داده‌ای پردازش می‌شود، توسط چه کسی، برای چه هدفی، و با چه گیرندگانی
• خاص — مرتبط با اهداف پردازش شناسایی‌شده واضح به جای رضایت چتری
• بدون ابهام — از طریق یک عمل تأییدی واضح بیان می‌شود، نه از طریق اسکرول، مرور ادامه‌دار، یا عدم فعالیت استنتاج می‌شود
• صریح در موارد مربوط به داده‌های شخصی به ویژه حساس، با رضایت جداگانه برای پردازش حساس

CMP منطبق برای ترافیک سوئیسی چگونه به نظر می‌رسد

CMP پیکربندی‌شده برای سوئیس در ۲۰۲۶ باید ارائه دهد:

• یک بنر ارائه‌شده به زبان کاربر — آلمانی، فرانسوی، ایتالیایی، یا رومانشی — قبل از فعال شدن هر کوکی غیرضروری، با انتخاب زبان مطابق بومی‌سازی سایت .ch به جای پیش‌فرض انگلیسی
• برجستگی بصری برابر برای اقدامات پذیرش، رد، و تنظیمات — راهنمای ۲۰۲۵ FDPIC صراحتاً طراحی‌های بنر را که در آن رد از نظر بصری نسبت به پذیرش کمتر برجسته است انتقاد می‌کند
• دکمه‌های گرانول به ازای هر هدف: تحلیلیات، تبلیغات، شخصی‌سازی، انتقال فرامرزی، و هر دسته به ویژه حساس
• یک جریان رضایت جداگانه برای هر پردازش داده شخصی به ویژه حساس، پشت اقدام خاص خودش و نه همراه با رضایت عمومی
• یک مکانیسم ماندگار و به آسانی یافتنی برای پس گرفتن رضایت پس از انتخاب اولیه، با اصطکاک برابر با دادن رضایت
• یک اطلاعیه حریم خصوصی کامل به زبان سوئیسی که هویت کنترل‌کننده، پردازنده‌ها، اهداف، گیرندگان، دوره‌های نگهداری، مکانیسم‌های انتقال، و مسیر حقوق موضوع داده را افشا می‌کند

سوابق رضایت

کنترل‌کنندگان باید شواهد رضایت را حفظ کنند — چه کسی رضایت داد، چه زمانی، برای کدام اهداف خاص، و از طریق کدام رابط. سوابق ناکافی رضایت در چندین نامه تحقیقاتی FDPIC در ۲۰۲۵ ظاهر شد، و گزارش‌های قابل صادرات با مُهر زمانی که برای دوره مرور زمان قابل اعمال نگهداری می‌شوند انتظار خط پایه هستند.

انتقال‌های فرامرزی پس از همراستایی مجدد کفایت ۲۰۲۴

انتقال‌های فرامرزی داده حوزه‌ای از revFADP هستند که موضع سوئیس در آن به وضوح از موضع اتحادیه اروپا انحراف دارد و کمی عقب است. همراستایی مجدد ۲۰۲۴ به دنبال تصویب EU-US Data Privacy Framework توسط اتحادیه اروپا یک Swiss-US Data Privacy Framework موازی ایجاد کرد، اما محدوده و شرایط آن یکسان نیستند.

مکانیسم‌های انتقال شناخته‌شده

revFADP و rev-OPDP چندین مسیر را شناسایی می‌کنند:

• تصمیمات کفایت توسط شورای فدرال سوئیس برای کشورهایی که ارزیابی شده‌اند که حمایت کافی ارائه می‌دهند — فهرست کنونی شامل EEA، بریتانیا، و تعداد کمی از حوزه‌های دیگر است
• Swiss-US Data Privacy Framework برای انتقال به سازمان‌های آمریکایی که در قالب گواهی‌نامه خود-تأییدی دارند، که جایگزین Swiss-US Privacy Shield پس از ۲۰۲۴ شد
• شرایط قراردادی استاندارد شناخته‌شده توسط FDPIC، شامل EU SCCهایی با پیوست سوئیسی که FDPIC منتشر کرده است
• قوانین شرکتی الزام‌آور تأییدشده توسط FDPIC
• معافیت‌های خاص شامل رضایت صریح با افشای کافی، ضرورت قرارداد، منافع حیاتی، و منافع عمومی قابل توجه

Swiss-US DPF در عمل

Swiss-US DPF انتقال‌ها به سازمان‌های آمریکایی که خود-گواهی کرده‌اند و گواهینامه خود را حفظ کرده‌اند را پوشش می‌دهد. ناشران باید وضعیت گواهینامه فعال هر فروشنده فناوری تبلیغات یا تحلیلیات آمریکایی را در فهرست DPF تأیید کنند به جای اینکه به یک بررسی یک‌باره تکیه کنند، زیرا گواهینامه‌های منقضی‌شده انتقال‌های قبلی را به صورت گذشته‌نگر باطل نمی‌کنند اما نیاز به اصلاح فوری برای جریان‌های جاری دارند. در جایی که فروشنده دارای گواهینامه DPF نیست، EU SCCهایی با پیوست سوئیسی FDPIC جایگزین کاری باقی می‌مانند.

رویکرد عملی ۲۰۲۶

برای اکثر ناشران، رویکرد کاری این است که هر جریان داده فرامرزی از ترافیک سوئیسی را به کشور مقصد و مکانیسم آن نگاشت کنند، SCCهای مناسب با پیوست سوئیسی را در جایی که گواهینامه DPF فروشنده را پوشش نمی‌دهد اجرا کنند، مکانیسم را در اطلاعیه حریم خصوصی زبان سوئیسی مستند کنند، و تنها در جایی که مکانیسم‌های ساختاریافته به طور تمیز با پردازش منطبق نمی‌شوند با مجوز مبتنی بر رضایت تکمیل کنند.

حقوق موضوع داده در قالب revFADP

revFADP مجموعه‌ای از حقوق می‌دهد که به دقت GDPR را دنبال می‌کند، با چند شکل متمایز سوئیسی:

• حق دسترسی به داده‌های شخصی نگهداری‌شده توسط کنترل‌کننده، با اولین دسترسی رایگان در سال و سقف بازیابی هزینه برای درخواست‌های بعدی یا با دامنه بزرگ
• حق اصلاح داده‌های نادرست یا ناقص
• حق پاک کردن
• حق محدود کردن پردازش
• حق انتقال‌پذیری داده برای داده‌های پردازش‌شده توسط ابزارهای خودکار بر اساس رضایت یا قرارداد
• حق اعتراض به پردازش
• حق پس گرفتن رضایت
• حق عدم مشمولیت به تصمیم‌گیری فردی خودکار که اثرات قانونی یا به طور مشابه قابل توجه ایجاد می‌کند، با حفاظتی برای بررسی دستی
• حق تسلیم شکایت به FDPIC یا آغاز رسیدگی مدنی

جداول زمانی پاسخ

کنترل‌کنندگان باید ظرف ۳۰ روز در قالب عمومی به درخواست‌های موضوع داده پاسخ دهند، که با یک اطلاعیه موجه در موارد پیچیده قابل تمدید است. آمادگی عملیاتی برای این پنجره — با ابزارسازی زبان سوئیسی و کتاب‌های اجرایی در آلمانی، فرانسوی، و ایتالیایی — یک شکاف رایج برای ناشران خارجی است که برنامه خود را به یک زبان اروپایی تنظیم کرده‌اند.

جریمه‌ها و موضع اجرایی در ۲۰۲۶

فعالیت اجرایی FDPIC در طول ۲۰۲۴ و ۲۰۲۵ به طور معناداری افزایش یافت، و ۲۰۲۶ مسیر را ادامه می‌دهد نه اینکه به اوج برسد.

ساختار جریمه

جریمه‌ها در ماهیت خود عمدتاً کیفری هستند و به افراد نام‌برده‌شده هدایت می‌شوند — مدیران، DPOها، سرپرستان انطباق — با سقف ۲۵۰,۰۰۰ CHF برای هر تخلف عمدی. رایج‌ترین دسته‌های ذکرشده در اجرای ۲۰۲۵ عبارت بودند از: اطلاعات ناکافی به موضوعات داده، نقض مراقبت لازم در انتقال‌های فرامرزی، عدم انجام وظیفه اطلاع‌رسانی نقض داده به FDPIC در پنجره مورد نیاز، و عدم انطباق با تصمیمات یا دستورات FDPIC.

پشتیبان مسئولیت کیفری

بر خلاف GDPR، مسیر مسئولیت کیفری revFADP در برابر شخص حقیقی مسئول است نه تنها نهاد قانونی، که باعث شده بازساختاری اساسی داخلی گردش کارهای تأیید در ۲۰۲۵ صورت گیرد. اثر عملی این است که تصدیق‌نامه‌های انطباق و مسیرهای ممیزی نه تنها برای قرارگیری در معرض سازمان بلکه برای قرارگیری در معرض فرد نیز اهمیت دارند — و DPOها به ویژه رویه مستندسازی را برای انعکاس این موضوع تنظیم کرده‌اند.

موضوعات اجرایی

اقدامات ۲۰۲۵ و اوایل ۲۰۲۶ FDPIC حول این موارد خوشه‌بندی می‌شوند: بنرهای کوکی که اقدام رد را کم‌رنگ می‌کنند یا از کادرهای از پیش تیک‌خورده استفاده می‌کنند، اطلاعیه‌های حریم خصوصی که به زبان ملی سوئیسی کاربر موجود نیستند، انتقال‌های فرامرزی به فروشندگان آمریکایی که دارای گواهینامه DPF نیستند و مکانیسم جایگزینی ندارند، عدم پاسخ به درخواست‌های موضوع داده در پنجره ۳۰ روزه، و اطلاعیه‌های نقض تأخیر داشته یا گمشده. ناشران خارجی در هر پنج دسته ذکر شده‌اند، با طراحی بنر و دسته‌های انتقال فرامرزی که دفتر را رهبری می‌کنند.

چک‌لیست ممیزی برای ترافیک سوئیسی در ۲۰۲۶

• بنر CMP به زبان ملی سوئیسی کاربر (DE، FR، IT، یا RM) ارائه می‌شود با پذیرش، رد، و تنظیمات با برجستگی بصری برابر
• اهداف رضایت گرانول هستند و پردازش به ویژه حساس را پشت جریان رضایت خاص خودش جدا می‌کنند
• اطلاعیه حریم خصوصی به هر زبان سوئیسی مرتبط با افشاهای کامل کنترل‌کننده، پردازنده‌ها، اهداف، نگهداری، حقوق، و مسیر شکایت FDPIC موجود است
• هر جریان فرامرزی از ترافیک سوئیسی به مقصد و مکانیسم آن نگاشته شده است — کفایت، گواهینامه Swiss-US DPF، SCCهای FDPIC-پیوست-سوئیسی، BCRها، یا یک معافیت مستند
• وضعیت گواهینامه DPF فروشنده آمریکایی در فهرست منتشرشده دوباره تأیید می‌شود نه یک‌بار گرفته و فراموش شده
• گزارش‌های رضایت دارای مُهر زمانی، قابل صادرات، و برای دوره مرور زمان قابل اعمال نگهداری می‌شوند
• گردش کار درخواست موضوع داده می‌تواند ظرف ۳۰ روز از ابتدا تا انتها به آلمانی، فرانسوی، و ایتالیایی پاسخ دهد
• کتاب اجرایی اطلاعیه نقض به جداول زمانی revFADP تنظیم شده و با فرآیند پاسخ‌دهی داخلی به حوادث یکپارچه است
• گردش کارهای تأیید معماری مسئولیت-کیفری-در-فرد را با تأییدکنندگان نام‌برده و مسیر مستندسازی منعکس می‌کنند
• بخش‌های مخاطب دسته به ویژه حساس پشت رضایت صریح جداگانه جمع‌آوری‌شده دروازه‌بندی شده‌اند
• طبقه‌بندی کوکی با دیدی انتقادی به اینکه کدام کوکی‌ها واقعاً به عنوان کاملاً ضروری در قالب راهنمای FDPIC واجد شرایط هستند بررسی شده است

چشم‌انداز ۲۰۲۶

رژیم حفاظت از داده سوئیس از یک قانون قدیمی محترم اما ساکت به یک ابزار کاری با ویژگی عملیاتی، ظرفیت اجرا، و معماری مسئولیت کیفری برای شکل دادن به اولویت‌های انطباق به صورت مستقل بلغ کرده است نه صرفاً سواری بر برنامه اتحادیه اروپا. همراستایی مجدد کفایت ۲۰۲۴ اساسی‌ترین شکاف ساختاری حول انتقال‌های آمریکایی را بست، و موضع اجرایی رو به افزایش ۲۰۲۵ FDPIC با یک تنظیم‌کننده‌ای سازگار است که به روشی پایدار مقیاس می‌گیرد نه اینکه یک کمپین یک‌باره اجرا کند. برای ناشرانی که از قبل یک پشته رضایت در کلاس GDPR دارند، شکاف تا انطباق revFADP کمتر از شکاف برای هر حوزه قضایی غیر اتحادیه اروپا است — اما واقعی است، و در جزئیات زندگی می‌کند: بنرها و اطلاعیه‌های زبان سوئیسی، نگاشت DPF در مقابل SCC برای هر فروشنده آمریکایی، خط کمی متفاوت دسته به ویژه حساس، ریتم پاسخ ۳۰ روزه در سه یا چهار زبان، و معماری مسئولیت کیفری که مستندسازی تأیید فردی را به یک مصنوع انطباق درجه اول تبدیل می‌کند نه یک چیز خوب برای داشتن. شکاف می‌تواند در هفته‌ها بسته شود اگر اولویت‌بندی شود، و CPMهای ناشر سوئیس اولویت‌بندی را از نظر اقتصادی قابل توجیه می‌سازند. ناشرانی که سوئیس را تا ۲۰۲۴ به آرامی به عنوان یک رهگذر GDPR تلقی کردند، ۲۰۲۶ را به طور معناداری چالش‌برانگیزتر می‌یابند، و روند واضح است.