חוק הגנת הנתונים הפדרלי המתוקן של שוויץ ב-2026: מדריך לבעלי אתרים ומפרסמים בנושא הסכמת עוגיות, אכיפת FDPIC וזרימת נתונים שוויץ-האיחוד האירופי
חוק הגנת הנתונים הפדרלי המתוקן של שוויץ — ה-revFADP, המכונה לעיתים גם nFADP בחומרים צרפתיים וגרמניים — נכנס לתוקף ב-1 בספטמבר 2023 ללא תקופת החסד הרב-שנתית שהעניקו שיפוטים אחרים, ובילה את שמונה-עשר החודשים הראשונים בשלב שה-נציב הפדרלי להגנת נתונים ומידע (FDPIC) תיאר בפומבי כתקופת תצפית. תקופה זו הסתיימה. לאורך 2025 פתח ה-FDPIC סדרה גלויה של חקירות רשמיות נגד גורמים שולטים שוויצרים וזרים, הוציא את פסיקותיו הראשונות המפורסמות מכוח החוק המתוקן, וגיבש הנחיות תפעוליות עם ה-GDPR ברוב ההיבטים תוך שמירה על עמדות שוויצריות ייחודיות בנושאים ספציפיים — בעיקר העברות חוצות-גבולות לארצות הברית, תפקיד ההסכמה לעוגיות שאינן חיוניות, ורשת הביטחון של האחריות הפלילית הנמצאת לצד המשטר המינהלי. בפתיחת 2026, ה-revFADP כבר אינו אח שקט של ה-GDPR שבעלי אתרים יכלו להתייחס אליו כשגיאת עיגול בתוכנית האירופית שלהם. עבור כל בעל אתר, מפרסם או פלטפורמה המעבד נתונים אישיים של יחידים בשוויץ — בין אם מבוסס בשוויץ ובין אם משרת תנועה שוויצרית מחו"ל — 2026 הוא השנה שבה ה-revFADP הופך לחובת ציות עצמאית הדורשת ביקורת משלה. מדריך זה סוקר את ה-revFADP כפי שהוא עומד ב-2026, מה הסכמת העוגיות דורשת בפועל לפי הדין השוויצרי, כיצד פועלות ההעברות חוצות-הגבולות לאחר יישור מחדש של הלימות 2024, ומה חושפים נושאי האכיפה המוקדמים של ה-FDPIC לגבי סדרי העדיפויות של 2026.
מבנה ה-revFADP ב-2026
ה-revFADP החליף את משטר הגנת הנתונים השוויצרי משנת 1992 במסגרת העוקבת באדיקות אחר ה-GDPR ברוב ההיבטים התפעוליים, תוך שמירה על מספר עמדות שוויצריות ייחודיות. תקנות הגנת הנתונים המתוקנות (rev-OPDP) ותקנות הסמכה בהגנת נתונים, שתיהן בתוקף לצד ה-revFADP, ממלאות את הפרטים התפעוליים.
מה שינתה הרפורמה
הרפורמה הכניסה: הודעת חובה על פרצות ל-FDPIC, דרישת רישום פעולות עיבוד לרוב הגורמים השולטים, הערכות השפעה על הגנת נתונים לעיבוד בסיכון גבוה, תחולה אקסטרה-טריטוריאלית אמיתית הדומה לסעיף 3(2) של ה-GDPR, זכויות חזקות יותר של נושאי נתונים, ורשת ביטחון של אחריות פלילית החלה על יחידים ולא רק על הארגון השולט. הגדרת הנתונים האישיים, הבסיסים לעיבוד חוקי ומבנה זכויות נושאי הנתונים מיושרים כולם עם ה-GDPR, מה שמפשט מאוד את הציות השוויצרי עבור בעלי אתרים שכבר מפעילים תוכנית GDPR — אך אינו מייתר אותה.
מי מפוקח
ה-revFADP חל על עיבוד נתונים בשוויץ ועל עיבוד מחוץ לשוויץ המשפיע על יחידים בשוויץ. בעלי אתרים זרים המשרתים תנועה שוויצרית באמצעות אתרים מותאמים מקומית, דומיין .ch, תוכן בגרמנית-צרפתית-איטלקית-רומאנשית המכוון לקהלים שוויצרים, או מלאי תכנותי שנרכש מול IP שוויצריות נמצאים בדרך כלל בתחולה, ו-FDPIC אישר את הפרשנות האקסטרה-טריטוריאלית בעדכוני ההנחיות שלו לשנת 2025.
קנסות מינהליים ורשת הביטחון הפלילית
ההבדל הנדון ביותר של ה-revFADP מה-GDPR הוא שארכיטקטורת הסנקציות שלו היא בעיקרה פלילית ולא מינהלית. קנסות אישיים — בדרך כלל על האנשים הפיזיים האחראים כגון מנהלים, ממונים על הגנת נתונים, או אחראי ציות — יכולים להגיע עד 250,000 CHF לכל הפרה מכוונת, עם אחריות פלילית מקבילה להתנהגות החמורה ביותר. תקרת הכותרת נמוכה יותר מתקרת ה-GDPR של ארבעה אחוזים ממחזור במונחים מוחלטים, אך כיוון האחריות — כלפי האדם הנקוב ולא רק הארגון — משנה את חישוב הסיכון בפועל. מספר בעלי אתרים בנו מחדש זרימות עבודת אישור פנימיות ב-2025 במיוחד כדי לפזר את החשיפה.
מה נחשב לנתונים אישיים תחת ה-revFADP
הגדרת הנתונים האישיים של ה-revFADP עוקבת מקרוב אחר ה-GDPR. נתונים אישיים הם מידע הנוגע לאדם מזוהה או ניתן לזיהוי, ו-FDPIC התייחס באופן עקבי לעוגיות, מזהי פרסום, כתובות IP, טביעות אצבע של מכשיר ופרופילי התנהגות כנתונים אישיים כאשר ניתן לקשרם לאדם ישירות או בשילוב עם מידע אחר.
נתונים אישיים רגישים במיוחד
ה-revFADP מגדיר קטגוריה הנקראת נתונים אישיים רגישים במיוחד, הרחבה מעט מהקטגוריות המיוחדות של ה-GDPR. היא כוללת: נתונים על דעות ופעילויות דתיות, פילוסופיות, פוליטיות או של איגוד מקצועי, נתוני בריאות, נתונים על הספירה האינטימית או מוצא גזעי או אתני, נתונים גנטיים וביומטריים המזהים אדם באופן ייחודי, נתונים על הליכים ועונשים מינהליים ופליליים, ונתונים על אמצעי סיוע סוציאלי. עיבוד נתונים אישיים רגישים במיוחד מפעיל דרישות הסכמה ושקיפות מוגברות.
מדוע זה חשוב לעוגיות
עוגייה המאחסנת מזהה פרסום שגרתי היא נתונים אישיים רגילים. עוגייה המזינה פלח קהל הנוגע לרשימה הרגישה במיוחד — תחומי עניין בריאותיים, נטיות פוליטיות, שייכות דתית — מהווה עיבוד נתונים אישיים רגישים במיוחד ומצריכה הסכמה מפורשת, בנפרד מזרימת ההסכמה הכללית לפרסום. פילוח קהל בשפה שוויצרית החופף ברשימה זו צריך להיות מבוקר באופן ספציפי מול הגבול, המסומן מעט שונה מגבול הקטגוריה המיוחדת של ה-GDPR.
הסכמת עוגיות תחת ה-revFADP ב-2026
ה-revFADP מתיר מספר בסיסים חוקיים לעיבוד, ובניגוד לדירקטיבת ePrivacy כפי שהיא מיושמת במדינות חברות ב-EU, הדין השוויצרי אינו מטיל קו בסיס חוקי של הסכמה-בלבד לעוגיות שאינן חיוניות. בפועל, עם זאת, הנחיות ה-FDPIC לשנים 2024 ו-2025 ופסיקות האכיפה האחרונות התכנסו לעמדה הקרובה מאוד לקו הבסיס של ה-EU לעוגיות הקשורות לפרסום, אנליטיקה ופרופיילינג חוצה-הקשר.
העמדה התפעולית של ה-FDPIC
העמדה המפורסמת של ה-FDPIC היא שעוגיות שאינן חיוניות — לרבות פרסום, ריטרגטינג, אנליטיקה חוצת-אתרים והתאמה אישית — מצריכות הסכמה מוקדמת, מושכלת, שניתנה בחופשיות וספציפית, הנאספת לפני שהעוגייה מופעלת. עוגיות הכרחיות בהחלט ועוגיות התומכות בשירות שהמשתמש ביקש במפורש ניתן להגדיר על בסיס אינטרס לגיטימי או בסיס ביצוע חוזה ללא הנחיית הסכמה מוקדמת, אך הנטל לסיווג עוגייה כהכרחית בהחלט חל על הגורם השולט ואותגר במספר תלונות ב-2025.
מרכיבי ההסכמה התקפה
הסכמה תחת ה-revFADP חייבת להיות:
- ניתנת בחופשיות — ללא כפייה, חבילה עם אספקת שירות חיוני, או חומת עוגיות המתנה גישה לתוכן הליבה בקבלת עוגייה שאינה חיונית
- מושכלת — נושא הנתונים מבין אילו נתונים מעובדים, על ידי מי, לאיזו מטרה ולאיזה נמענים
- ספציפית — קשורה למטרות עיבוד שזוהו בבירור ולא להסכמה כוללת
- חד-משמעית — מובעת באמצעות פעולה אישורית ברורה, לא מוסקת מגלילה, גלישה מתמשכת או חוסר פעילות
- מפורשת במקרים הכוללים נתונים אישיים רגישים במיוחד, עם הסכמה נפרדת לעיבוד הרגיש
כיצד נראה CMP תואם לתנועה שוויצרית
CMP שהוגדר לשוויץ ב-2026 צריך להציג:
- באנר המוצג בשפת המשתמש — גרמנית, צרפתית, איטלקית או רומאנשית — לפני שמופעלת כל עוגייה שאינה חיונית, עם בחירת שפה התואמת את הלוקליזציה של אתר ה-.ch ולא ברירת מחדל לאנגלית
- בולטות ויזואלית שווה לפעולות קבל, דחה והגדרות — הנחיות ה-FDPIC לשנת 2025 מותחות ביקורת מפורשת על עיצובי באנר שבהם דחה מוצג בבולטות ויזואלית פחותה ביחס לקבל
- מתגים גרנולריים לכל מטרה: אנליטיקה, פרסום, התאמה אישית, העברה חוצת-גבולות, וכל קטגוריה רגישה במיוחד
- זרימת הסכמה נפרדת לכל עיבוד של נתונים אישיים רגישים במיוחד, מוגנת מאחורי פעולתה שלה ולא ארוזה בהסכמה הכללית
- מנגנון קבוע וקל למציאה לביטול ההסכמה לאחר הבחירה הראשונית, בחיכוך שווה לנתינת הסכמה
- הודעת פרטיות מלאה בשפה שוויצרית המגלה זהות הגורם השולט, מעבדים, מטרות, נמענים, תקופות שמירה, מנגנוני העברה ונתיב זכויות נושאי הנתונים
רישומי הסכמה
על הגורמים השולטים לשמור ראיות להסכמה — מי הסכים, מתי, לאיזה מטרות ספציפיות ודרך איזה ממשק. רישומי הסכמה לא מספקים הופיעו במספר מכתבי חקירה של ה-FDPIC ב-2025, ויומני ייצוא עם חותמת זמן שנשמרו לתקופת התיישנות החלה הם הציפייה הבסיסית.
העברות חוצות-גבולות לאחר יישור מחדש של הלימות 2024
העברות נתונים חוצות-גבולות הן תחום ה-revFADP שבו עמדת שוויץ מתחרגת בצורה הברורה ביותר מעמדת ה-EU, ומעט מפגרת אחריה. יישור מחדש 2024 בעקבות אימוץ ה-EU לעיל EU-US Data Privacy Framework הניב Swiss-US Data Privacy Framework מקביל, אך היקפו ותנאיו אינם זהים.
מנגנוני ההעברה המוכרים
ה-revFADP וה-rev-OPDP מכירים במספר מסלולים:
- החלטות הלימות של המועצה הפדרלית השוויצרית למדינות שנמצאו כמספקות הגנה נאותה — הרשימה הנוכחית כוללת את ה-EEA, בריטניה ומספר שיפוטים אחרים
- ה-Swiss-US Data Privacy Framework להעברות לארגונים אמריקאיים שאישרו את עצמם במסגרת המנגנון, שהחליף את ה-Swiss-US Privacy Shield לאחר 2024
- סעיפים חוזיים סטנדרטיים המוכרים על ידי ה-FDPIC, לרבות EU SCCs עם נספח שוויצרי שפרסם ה-FDPIC
- כללי תאגיד מחייבים שאושרו על ידי ה-FDPIC
- פטורים ספציפיים לרבות הסכמה מפורשת עם גילוי נאות, הכרח חוזי, אינטרס חיוני ואינטרס ציבורי משמעותי
ה-Swiss-US DPF בפועל
ה-Swiss-US DPF מכסה העברות לארגונים אמריקאיים שאישרו עצמם ושמרו על אישורם. בעלי אתרים צריכים לאמת את סטטוס האישור הפעיל של כל ספק פרסום-טכנולוגיה או אנליטיקה אמריקאי ברשימת ה-DPF ולא להסתמך על בדיקה חד-פעמית, מכיוון שאישורים שפגה תוקפם אינם מבטלים רטרואקטיבית העברות קודמות אך מחייבים תיקון מיידי לזרימות מתמשכות. כאשר ספק אינו מאושר ב-DPF, EU SCCs עם הנספח השוויצרי של ה-FDPIC נותרים האלטרנטיבה הפעילה.
הגישה המעשית ל-2026
עבור רוב בעלי האתרים, הגישה הפעילה היא מיפוי כל זרימת נתונים חוצת-גבולות מהתנועה השוויצרית אל מדינת היעד ומנגנונה, ביצוע SCCs-עם-נספח-שוויצרי המתאימות כאשר אישור DPF אינו מכסה את הספק, תיעוד המנגנון בהודעת הפרטיות בשפה שוויצרית, והשלמה עם הרשאה מבוססת-הסכמה רק היכן שהמנגנונים המובנים אינם מתאימים בצורה נקייה לעיבוד.
זכויות נושאי הנתונים תחת ה-revFADP
ה-revFADP מעניק מערכת זכויות העוקבת מקרוב אחר ה-GDPR, עם כמה קווים ייחודיים לשוויץ:
- זכות גישה לנתונים אישיים שמוחזקים על ידי הגורם השולט, עם גישה ראשונה חינמית בשנה ותקרת החזר עלויות לבקשות עוקבות או בהיקף רחב
- זכות תיקון נתונים לא מדויקים או חלקיים
- זכות מחיקה
- זכות הגבלת עיבוד
- זכות ניידות נתונים לנתונים שעובדו באמצעות אוטומציה על בסיס הסכמה או חוזה
- זכות להתנגד לעיבוד
- זכות לבטל הסכמה
- זכות לא להיות כפוף לקבלת החלטות אוטומטית ברמת הפרט המייצרת השפעות משפטיות או דומות משמעותית, עם הגנה לביקורת ידנית
- זכות להגיש תלונה ל-FDPIC או לפתוח בהליכים אזרחיים
לוחות זמנים לתגובה
על הגורמים השולטים להגיב לבקשות נושאי נתונים תוך 30 יום במסגרת הכללית, עם אפשרות הארכה בהודעה מנומקת במקרים מורכבים. מוכנות תפעולית לחלון זה — עם כלים ומחברות בשפה שוויצרית בגרמנית, צרפתית ואיטלקית — היא פער שכיח אצל בעלי אתרים זרים שכיילו את תוכניתם לשפה אירופאית אחת.
עונשים ועמדת אכיפה ב-2026
פעילות האכיפה של ה-FDPIC הסלימה משמעותית לאורך 2024 ו-2025, ו-2026 ממשיך את המגמה ולא מתייצב.
מבנה הקנסות
הקנסות הם בעיקרם פליליים באופיים ומכוונים לאנשים נקובים — מנהלים, DPO, אחראי ציות — עם תקרה של 250,000 CHF לכל הפרה מכוונת. הקטגוריות המצוינות לרוב באכיפת 2025 היו: מידע לא מספק לנושאי נתונים, הפרת חובת זהירות בהעברות חוצות-גבולות, אי-מילוי חובת הודעה על פרצות נתונים ל-FDPIC בחלון הנדרש, ואי-ציות להחלטות או צווים של ה-FDPIC.
רשת הביטחון של האחריות הפלילית
בניגוד ל-GDPR, מסלול האחריות הפלילית של ה-revFADP מכוון כלפי האדם הפיזי האחראי ולא רק הישות המשפטית, מה שגרם לארגון מחדש פנימי משמעותי של זרימות עבודת האישור ב-2025. ההשפעה המעשית היא שאישורי ציות ומסלולי ביקורת חשובים לא רק לחשיפת הארגון אלא גם לחשיפת האדם — ו-DPO בפרט התאימו את פרקטיקת התיעוד לשקף זאת.
נושאי אכיפה
פעולות ה-FDPIC מ-2025 ותחילת 2026 מתאגדות סביב: באנרי עוגיות המצמצמים את פעולת הדחייה או משתמשים בתיבות סימון מסומנות מראש, הודעות פרטיות שאינן זמינות בשפה הלאומית השוויצרית של המשתמש, העברות חוצות-גבולות לספקים אמריקאיים שאינם מאושרים ב-DPF וחסרים מנגנון חלופי, כישלון בתגובה לבקשות נושאי נתונים בחלון של 30 ימים, והודעות פרצה מאוחרות או חסרות. בעלי אתרים זרים צוינו בכל חמש הקטגוריות, כאשר קטגוריות עיצוב הבאנר והעברות חוצות-הגבולות מובילות את הרשימה.
רשימת בדיקה לביקורת על תנועה שוויצרית ב-2026
- באנר ה-CMP מוגש בשפה הלאומית השוויצרית של המשתמש (DE, FR, IT או RM) עם קבל, דחה והגדרות בבולטות ויזואלית שווה
- מטרות ההסכמה הן גרנולריות ועיבוד רגיש במיוחד מופרד מאחורי זרימת הסכמה משלו
- הודעת הפרטיות זמינה בכל שפה שוויצרית רלוונטית עם גילוי מלא של הגורם השולט, מעבדים, מטרות, שמירה, זכויות ונתיב תלונה ל-FDPIC
- כל זרימה חוצת-גבולות מהתנועה השוויצרית ממופה ליעד ומנגנון שלה — הלימות, אישור Swiss-US DPF, SCCs עם נספח שוויצרי של FDPIC, BCR, או פטור מתועד
- סטטוס האישור ב-DPF של ספק אמריקאי מאומת מחדש ברשימה המפורסמת ולא נלקח פעם אחת ונשכח
- רישומי ההסכמה מוחתמים בזמן, ניתנים לייצוא, ונשמרים לתקופת ההתיישנות החלה
- זרימת עבודת בקשת נושאי הנתונים יכולה להגיב תוך 30 יום מקצה לקצה, בגרמנית, צרפתית ואיטלקית
- מחברת הודעת הפרצה מכוונת ללוחות הזמנים של ה-revFADP ומשולבת עם תהליך תגובת האירועים הפנימי
- זרימות עבודת האישור משקפות ארכיטקטורת אחריות-פלילית-כלפי-פרד עם מאשרים נקובים ומסלול תיעוד
- פלחי קהל של קטגוריה רגישה במיוחד מוגנים מאחורי הסכמה מפורשת שנאספה בנפרד
- סיווג עוגיות נסקר בעין ביקורתית כלפי אילו עוגיות מוסמכות בפועל כהכרחיות בהחלט לפי הנחיות ה-FDPIC
תחזית 2026
משטר הגנת הנתונים של שוויץ הבשיל מחוק ותיק מכובד אך שקט לכלי עבודה עם ספציפיות תפעולית, כושר אכיפה וארכיטקטורת אחריות פלילית לעצב עדיפויות ציות באופן עצמאי ולא רק לרכוב על תוכנית ה-EU. יישור מחדש ההלימות 2024 סגר את הפער המבני המשמעותי ביותר סביב העברות לארצות הברית, ועמדת האכיפה העולה של ה-FDPIC ב-2025 עקבית עם רגולטור שמסלים בצורה בת-קיימא ולא מנהל מסע חד-פעמי. עבור בעלי אתרים המפעילים כבר ערמת הסכמה ברמת GDPR, הפער עד לציות ה-revFADP צר יותר מהפער לכל שיפוט אחר שאינו EU — אך הוא אמיתי, וחי בפרטים: באנרים והודעות בשפה שוויצרית, מיפוי DPF מול SCC לכל ספק אמריקאי, הקו השונה מעט של הקטגוריה הרגישה במיוחד, קצב התגובה של 30 יום בשלוש או ארבע שפות, וארכיטקטורת האחריות הפלילית שהופכת את תיעוד האישור האישי לממצא ציות מדרגה ראשונה ולא לדבר נחמד שיש לו. הפער יכול להיסגר בשבועות אם מעמידים אותו בעדיפות, ו-CPM של בעלי אתרים שוויצריים הופכים את העדיפות לברורה מבחינה כלכלית. בעלי אתרים שהתייחסו בשקט לשוויץ כמעבר GDPR עד 2024 מגלים ש-2026 הוא תובעני משמעותית יותר, והמגמה ברורה.