RevFADP:n rakenne vuonna 2026

RevFADP korvasi Sveitsin vuoden 1992 tietosuojajärjestelmän kehyksellä, joka seuraa tarkasti GDPR:ää useimmilta toiminnallisilta osin säilyttäen kuitenkin kourallisen selvästi sveitsiläisiä kantoja. Uudistettu tietosuoja-asetus (rev-OPDP) ja tietosuojasertifiointeja koskeva asetus, jotka molemmat ovat voimassa revFADP:n rinnalla, täyttävät toiminnalliset yksityiskohdat.

Mitä uudistus muutti

Uudistus toi mukanaan: velvollisuuden ilmoittaa tietoturvaloukkauksista FDPIC:lle, käsittelytoimien rekisterivaatimuksen useimmille rekisterinpitäjille, tietosuojavaikutusten arvioinnit korkean riskin käsittelyä varten, todellisen ekstraterritoriaalisen soveltamisalan samankaltaisena kuin GDPR:n 3 artiklan 2 kohta, vahvistetut rekisteröityjen oikeudet ja rikosoikeudellisen vastuun taustan, jota sovelletaan yksilöihin pelkän kontrollavan organisaation sijaan. Henkilötietojen määritelmä, lainmukaisen käsittelyn perusteet ja rekisteröityjen oikeuksien rakenne ovat kaikki tiiviisti GDPR:n mukaisia, mikä helpottaa olennaisesti Sveitsin vaatimustenmukaisuutta kustantajille, jotka jo ylläpitävät GDPR-ohjelmaa — mutta ei poista sitä.

Kuka on sääntelyn alainen

RevFADP koskee tietojenkäsittelyä Sveitsissä ja Sveitsin ulkopuolista käsittelyä, joka vaikuttaa Sveitsissä oleviin henkilöihin. Ulkomaiset kustantajat, jotka palvelevat sveitsiläistä liikennettä lokalisoitujen sivustojen, .ch-verkkotunnuksen, sveitsiläisille yleisöille räätälöidyn saksan-ranskan-italian-romanssin kielisen sisällön tai sveitsiläisiä IP-osoitteita vastaan ostetun ohjelmistopohjaisen mainostilan kautta, ovat tyypillisesti soveltamisalan piirissä, ja FDPIC on vahvistanut ekstraterritoriaalisen tulkinnan vuoden 2025 ohjeistuspäivityksissä.

Hallinnolliset sakot ja rikosoikeudellinen vastuu

RevFADP:n eniten keskusteltu eroavuus GDPR:stä on se, että sen sanktiorakenne on ensisijaisesti rikosoikeudellinen eikä hallinnollinen. Yksilösakot — tavallisesti vastuullisille luonnollisille henkilöille, kuten johtajille, tietosuojavastaavilla tai vaatimustenmukaisuuspäälliköille — voivat nousta enintään 250 000 CHF:iin tahallisesta rikkomuksesta, ja vakavimmasta toiminnasta seuraa rinnakkainen rikosoikeudellinen vastuu. Enimmäismäärä on absoluuttisina lukuina alhaisempi kuin GDPR:n neljän prosentin liikevaihtokatto, mutta vastuun suunta — nimettyyn yksilöön eikä vain organisaatioon — muuttaa riskinalaskentaa käytännössä. Useat kustantajat uudelleenorganisoivat sisäiset hyväksymistyönkulkunsa vuonna 2025 nimenomaan altistuksen jakamiseksi.

Mikä lasketaan henkilötiedoiksi revFADP:n nojalla

RevFADP:n henkilötietojen määritelmä seuraa tarkasti GDPR:ää. Henkilötiedot ovat tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön, ja FDPIC on johdonmukaisesti pitänyt evästeitä, mainostunnisteita, IP-osoitteita, laitteiden sormenjälkiä ja käyttäytymisprofiileja henkilötietoina, kun ne voidaan yhdistää yksilöön suoraan tai yhdistettynä muihin tietoihin.

Erityisen arkaluonteiset henkilötiedot

RevFADP määrittelee kategorian nimeltä erityisen arkaluonteiset henkilötiedot, joka on hieman laajempi kuin GDPR:n erityiset kategoriat. Se sisältää: tiedot uskonnollisista, filosofisista, poliittisista tai ammattiyhdistysnäkemyksistä ja -toiminnasta, terveystiedot, tiedot yksityiselämästä tai rodullisesta tai etnisestä alkuperästä, geneettisiä ja biometrisiä tietoja, jotka yksilöivät henkilön ainutlaatuisesti, tietoja hallinnollisista ja rikosoikeudellisista menettelyistä tai seuraamuksista sekä tietoja sosiaaliavustustoimenpiteistä. Erityisen arkaluonteisten henkilötietojen käsittely käynnistää tehostetut luvan ja avoimuuden vaatimukset.

Miksi tällä on merkitystä evästeiden kannalta

Tavanomaista mainostunnistetta tallentava eväste on tavallisia henkilötietoja. Eväste, joka syöttää erityisen arkaluonteisten tietojen luetteloon osuvaa yleisösegmenttiä — terveydelliset kiinnostukset, poliittiset suuntaukset, uskonnollinen kuuluvuus — on erityisen arkaluonteisten henkilötietojen käsittelyä ja vaatii nimenomaisen suostumuksen, erillään yleisestä mainosten suostumusvirrasta. Sveitsin kielelle räätälöity yleisökohdentaminen, joka leikkaa tämän luettelon kanssa, olisi auditoitava erityisesti rajan suhteen, joka on vedetty hieman eri tavalla kuin GDPR:n erityiskategorian raja.

Evästelupa revFADP:n nojalla vuonna 2026

RevFADP sallii useita lainmukaisia käsittelyperusteita, ja toisin kuin ePrivacy-direktiivi EU:n jäsenvaltioissa sovellettuna, Sveitsin laki ei aseta lakisääteistä pelkästään-suostumus-perusriviä ei-välttämättömille evästeille. Käytännössä FDPIC:n vuosien 2024 ja 2025 ohjeet ja viimeisimmät täytäntöönpanopäätökset ovat kuitenkin kokoontuneet kantaan, joka on erittäin lähellä EU:n perusriviä mainontaan, analytiikkaan ja kontekstienväliseen profilointiin liittyville evästeille.

FDPIC:n toiminnallinen kanta

FDPIC:n julkaistu kanta on, että ei-välttämättömät evästeet — mukaan lukien mainonta, uudelleenkohdentaminen, sivustojen välinen analytiikka ja personointi — vaativat ennakoivan, tietoisen, vapaasti annetun ja erityisen suostumuksen, joka kerätään ennen kuin eväste käynnistyy. Ehdottomasti välttämättömiä evästeitä ja evästeitä, jotka tukevat palvelua, jonka käyttäjä on nimenomaisesti pyytänyt, voidaan asettaa oikeutetun edun tai sopimuksen täytäntöönpanon perusteella ilman etukäteistä suostumuspyyntöä, mutta evästeen luokittelun rasitus ehdottomasti välttämättömäksi kuuluu rekisterinpitäjälle ja sitä on kyseenalaistettu useissa vuoden 2025 kanteluissa.

Pätevän suostumuksen osatekijät

RevFADP:n mukaisen suostumuksen on oltava:

• Vapaasti annettu — ilman pakottamista, olennaiseen palvelun tarjontaan nivouttamista tai evästeseinää, joka asettaa ehdoksi ydinlisäsisällön pääsyn ei-välttämättömän evästeen hyväksymiselle
• Tietoinen — rekisteröity ymmärtää mitä tietoja käsitellään, kenen toimesta, mihin tarkoitukseen ja keille vastaanottajille
• Erityinen — sidottu selkeästi tunnistettuihin käsittelytarkoituksiin eikä yleisuostumukseen
• Yksiselitteinen — ilmaistu selkeällä vahvistavalla teolla, eikä johdettu vierityksestä, jatkuvasta selailusta tai toimettomuudesta
• Nimenomainen erityisen arkaluonteisia henkilötietoja koskevissa tapauksissa, erillisellä suostumuksella arkaluonteiseen käsittelyyn

Millainen vaatimustenmukainen CMP näyttää sveitsiläiselle liikenteelle

Sveitsiä varten vuonna 2026 konfiguroitu CMP tulisi esittää:

• Banneri, joka tarjotaan käyttäjän kielellä — saksaksi, ranskaksi, italiaksi tai romanssin kielellä — ennen kuin mikään ei-välttämätön eväste käynnistyy, ja kielivalinta vastaa .ch-sivuston lokalisointia eikä oletuksena englantia
• Yhtäläinen visuaalinen näkyvyys Hyväksy-, Hylkää- ja Asetukset-toiminnoille — FDPIC:n vuoden 2025 ohjeet kritisoivat nimenomaisesti bannerien suunnitteluja, joissa Hylkää on visuaalisesti heikommin korostettu kuin Hyväksy
• Granulaareja vipuja tarkoituksittain: analytiikka, mainonta, personointi, rajat ylittävä siirto ja kaikki erityisen arkaluonteiset kategoriat
• Erillinen suostumusvuo minkä tahansa erityisen arkaluonteisten henkilötietojen käsittelyn osalta, joka on portitettu oman toimintonsa taakse eikä niputettu yleiseen suostumukseen
• Pysyvä, helposti löydettävä mekanismi suostumuksen peruuttamiseksi alkuperäisen valinnan jälkeen, yhtä suurella kitkalla kuin suostumuksen antaminen
• Täydellinen sveitsinsuomalainen tietosuojakäytäntö, jossa ilmoitetaan rekisterinpitäjän henkilöllisyys, käsittelijät, tarkoitukset, vastaanottajat, säilytysajat, siirtomekanismit ja rekisteröityjen oikeuksien polku

Suostumustiedot

Rekisterinpitäjien on säilytettävä näyttöä suostumuksesta — kuka antoi suostumuksen, milloin, mihin tiettyihin tarkoituksiin ja minkä käyttöliittymän kautta. Puutteelliset suostumustiedot esiintyivät useissa FDPIC:n tutkimuskirjeissä vuonna 2025, ja aikaleimattuja vietävissä olevia lokeja, joita säilytetään sovellettavan vanhentumisajan ajan, ovat perusodotus.

Rajat ylittävät tiedonsiirrot vuoden 2024 riittävyysarvioinnin uudistuksen jälkeen

Rajat ylittävät tiedonsiirrot ovat revFADP:n alue, jossa Sveitsin kanta poikkeaa selkeimmin EU:n kannasta ja on hieman jäljessä siitä. Vuoden 2024 uudelleenarviointi EU:n EU-US Data Privacy Framework -kehyksen hyväksymisen jälkeen tuotti rinnakkaisen Swiss-US Data Privacy Framework -kehyksen, mutta sen laajuus ja ehdot eivät ole identtiset.

Tunnustetut siirtomekanismit

RevFADP ja rev-OPDP tunnustavat useita polkuja:

• Riittävyyspäätökset Sveitsin liittoneuvostolta maille, joiden on arvioitu tarjoavan riittävää suojaa — nykyiseen luetteloon kuuluvat EEA, Yhdistynyt kuningaskunta ja muutama muu lainkäyttöalue
• Swiss-US Data Privacy Framework siirroille Yhdysvaltain organisaatioille, jotka ovat itserekisteröineet kehyksen mukaisesti, ja joka korvasi Swiss-US Privacy Shield -kehyksen vuoden 2024 jälkeen
• FDPIC:n tunnustamat vakiosopimuslausekkeet, mukaan lukien EU:n SCC:t FDPIC:n julkaiseman sveitsiläisen lisäkkeen kanssa
• FDPIC:n hyväksymät sitovat yrityssäännöt
• Erityiset poikkeukset, mukaan lukien nimenomainen suostumus riittävällä ilmoituksella, sopimuksen välttämättömyys, elintärkeä etu ja huomattava julkinen etu

Swiss-US DPF käytännössä

Swiss-US DPF kattaa siirrot Yhdysvaltain organisaatioille, jotka ovat itserekisteröineet ja ylläpitäneet rekisteröintiään. Kustantajien tulisi tarkistaa kunkin yhdysvaltalaisen mainosteknologia- tai analytiikkatoimittajan aktiivinen rekisteröintistatus DPF-luettelosta sen sijaan, että luottaisivat kertakaikkiseen tarkistukseen, koska vanhentuneet rekisteröinnit eivät takautuvasti mitätöi aiempia siirtoja, mutta vaativat välitöntä korjausta jatkuville virroille. Jos toimittajalla ei ole DPF-rekisteröintiä, EU:n SCC:t FDPIC:n sveitsiläisen lisäkkeen kanssa pysyvät toimivana vaihtoehtona.

Käytännöllinen lähestymistapa vuoteen 2026

Useimmille kustantajille toimiva lähestymistapa on kartoittaa jokainen rajat ylittävä datavirta sveitsiläisestä liikenteestä kohdemaahansakin ja mekanismiin, toteuttaa asianmukaiset SCC:t sveitsiläisellä lisäkkeellä siellä, missä DPF-rekisteröinti ei kata toimittajaa, dokumentoida mekanismi sveitsinsuomalaisen tietosuojakäytäntöön ja täydentää suostumukseen perustuvalla valtuutuksella vain siellä, missä rakennetut mekanismit eivät puhtaasti sovi käsittelyyn.

Rekisteröityjen oikeudet revFADP:n nojalla

RevFADP myöntää joukon oikeuksia, jotka seuraavat tarkasti GDPR:ää muutamalla sveitsiläisellä muodolla:

• Oikeus tutustua rekisterinpitäjän hallussa oleviin henkilötietoihin, ensimmäisellä maksuttomalla pääsyllä vuodessa ja kustannusten korvauskatto myöhemmille tai laajamittaisille pyynnöille
• Oikeus epätarkkojen tai puutteellisten tietojen oikaisemiseen
• Oikeus poistamiseen
• Oikeus käsittelyn rajoittamiseen
• Oikeus tietojen siirrettävyyteen suostumuksen tai sopimuksen perusteella automaattisin keinoin käsitellyistä tiedoista
• Oikeus vastustaa käsittelyä
• Oikeus peruuttaa suostumus
• Oikeus olla olematta automaattisen yksilöllisen päätöksenteon kohteena, joka tuottaa oikeudellisia tai vastaavasti merkittäviä vaikutuksia, suojatoimilla manuaalista tarkistusta varten
• Oikeus tehdä valitus FDPIC:lle tai nostaa siviilioikeudellinen kanne

Vastaamisaikataulut

Rekisterinpitäjien on vastattava rekisteröityjen pyyntöihin 30 päivän kuluessa yleisen kehyksen mukaisesti, ja monimutkaisissa tapauksissa perustellulla ilmoituksella pidennettävissä. Toiminnallinen valmius tähän ikkunaan — sveitsiläisellä kielityökaluistuksella ja käsikirjoilla saksaksi, ranskaksi ja italiaksi — on tavallinen puute ulkomaisille kustantajille, jotka ovat virittäneet ohjelmansa yhdelle eurooppalaiselle kielelle.

Seuraamukset ja täytäntöönpanokanta vuonna 2026

FDPIC:n täytäntöönpanotoiminta kiihtyi merkittävästi vuosina 2024 ja 2025, ja vuosi 2026 jatkaa suuntausta pikemmin kuin tasaantuu.

Sakkorakenne

Sakot ovat luonteeltaan ensisijaisesti rikosoikeudellisia ja suunnattu nimetyille yksilöille — johtajille, DPO:ille, vaatimustenmukaisuuspäälliköille — tahallisesta rikkomuksesta enintään 250 000 CHF:n katolla. Yleisimmin mainitut kategoriat vuoden 2025 täytäntöönpanossa olivat: riittämätön tieto rekisteröidyille, velvollisuuksienhoitopoikkeama rajat ylittävissä siirroissa, tietoturvaloukkausilmoitusvelvollisuuden laiminlyönti FDPIC:lle vaaditun aikaikkunan sisällä ja FDPIC:n päätösten tai määräysten noudattamatta jättäminen.

Rikosoikeudellinen vastuu

Toisin kuin GDPR:ssä, revFADP:n rikosoikeudellinen vastuureitti kohdistuu vastuulliseen luonnolliseen henkilöön eikä vain oikeushenkilöön, mikä on saanut aikaan huomattavan sisäisen hyväksymistyönkulkujen uudelleenjärjestelyn vuonna 2025. Käytännöllinen vaikutus on, että vaatimustenmukaisuuden todisteet ja auditointipolut ovat tärkeitä paitsi organisaation altistukselle myös yksilön altistukselle — ja DPO:t erityisesti ovat mukauttaneet dokumentointikäytäntöjä tämän heijastamiseksi.

Täytäntöönpanoteemat

FDPIC:n vuosien 2025 ja 2026 alun toimet keskittyvät: evästebannereihin, jotka vähentävät Hylkää-toiminnon näkyvyyttä tai käyttävät ennalta rastittuja ruutuja, tietosuojakäytäntöihin, joita ei ole saatavilla käyttäjän sveitsiläisellä kansallisella kielellä, rajat ylittäviin siirtoihin Yhdysvaltain toimittajille, joilla ei ole DPF-rekisteröintiä eikä vaihtoehtoista mekanismia, kyvyttömyyteen vastata rekisteröityjen pyyntöihin 30 päivän ikkunassa ja viivästyneisiin tai puuttuviin loukkausilmoituksiin. Ulkomaisia kustantajia on mainittu kaikissa viidessä kategoriassa, bannerien suunnittelu ja rajat ylittävät siirrot johtavat asialistaa.

Sveitsiläisen liikenteen auditointitarkistuslista vuodelle 2026

• CMP-banneri tarjotaan käyttäjän sveitsiläisellä kansallisella kielellä (DE, FR, IT tai RM) Hyväksy-, Hylkää- ja Asetukset-toimintojen ollessa yhtäläisesti visuaalisesti näkyviä
• Suostumuksen tarkoitukset ovat granulaareja, ja erityisen arkaluonteinen käsittely on portitettu oman suostumusvuonsa taakse
• Tietosuojakäytäntö on saatavilla jokaisella asiaankuuluvalla sveitsiläisellä kielellä täydellisine tietoineen rekisterinpitäjästä, käsittelijöistä, tarkoituksista, säilytyksestä, oikeuksista ja FDPIC:n valituspolusta
• Jokainen rajat ylittävä virta sveitsiläisestä liikenteestä on kartoitettu kohteeseen ja mekanismiin — riittävyys, Swiss-US DPF -rekisteröinti, FDPIC:n sveitsiläisellä lisäkkeellä varustetut SCC:t, BCR:t tai dokumentoitu poikkeus
• Yhdysvaltalaisen toimittajan DPF-rekisteröintistatus tarkistetaan uudelleen julkaistusta luettelosta eikä luoteta kerran tehtyyn tarkistukseen
• Suostumustiedot ovat aikaleimatut, vietävissä olevia ja säilytetty sovellettavan vanhentumisajan ajan
• Rekisteröityjen pyyntöjen työnkulku pystyy vastaamaan 30 päivässä alusta loppuun saksaksi, ranskaksi ja italiaksi
• Loukkausilmoitusten käsikirja on viritetty revFADP:n aikatauluihin ja integroitu sisäiseen poikkeamavalmiuteen
• Hyväksymistyönkulut heijastavat yksilötason rikosoikeudellisen vastuun arkkitehtuuria nimettyjen hyväksyjien ja dokumentointipolun avulla
• Erityisen arkaluonteisen kategorian yleisösegmentit on portitettu erikseen kerätyn nimenomaisen suostumuksen taakse
• Evästeiden luokittelu on tarkistettu kriittisesti sen suhteen, mitkä evästeet todella täyttävät ehdottoman välttämättömyyden kriteerit FDPIC:n ohjeiden mukaan

Vuoden 2026 näkymät

Sveitsin tietosuojajärjestelmä on kypsytty arvostetusta mutta hiljaisesta vanhemmasta säädöksestä toimivaksi välineeksi, jolla on toiminnallinen erityisyys, täytäntöönpanokapasiteetti ja rikosoikeudellisen vastuun arkkitehtuuri muokkaamaan vaatimustenmukaisuuden prioriteetteja itsenäisesti eikä pelkästään ratsastamalla EU-ohjelmalla. Vuoden 2024 riittävyysarvioinnin uudistus sulki merkittävimmän rakenteellisen aukon Yhdysvaltain siirtojen ympärillä, ja FDPIC:n kiihtyvä vuoden 2025 täytäntöönpanokanta on johdonmukainen valvojan kanssa, joka skaalaa ylös kestävällä tavalla eikä aja kertaluontoista kampanjaa. Kustantajille, jotka jo ylläpitävät GDPR-luokan suostumuspinoa, aukko revFADP-vaatimustenmukaisuuteen on kapeampi kuin minkään muun ei-EU-lainkäyttöalueen aukko — mutta se on todellinen ja elää yksityiskohdissa: sveitsiläisen kielen bannerit ja ilmoitukset, DPF- vs. SCC-kartoitus kullekin yhdysvaltalaiselle toimittajalle, erityisen arkaluonteisen kategorian hieman erilainen raja, 30 päivän vastaamisrytmi kolmella tai neljällä kielellä ja rikosoikeudellisen vastuun arkkitehtuuri, joka tekee yksilöllisestä hyväksymisdokumentaatiosta ensiluokkaisen vaatimustenmukaisuuden artefaktin eikä mukavaa-olla-olemassa. Aukko voidaan sulkea viikoissa jos se priorisoidaan, ja Sveitsin kustantajien CPM:t tekevät priorisoinnista taloudellisesti suoraviivaista. Kustantajat, jotka hiljaa kohtelivat Sveitsiä GDPR-läpikulkuna vuoteen 2024 asti, havaitsevat vuoden 2026 merkittävästi vaativammaksi, ja suuntaus on selvä.