Struktura revFADP-a u 2026. godini

RevFADP je zamijenio švicarski režim zaštite podataka iz 1992. okvirom koji u većini operativnih aspekata blisko prati GDPR, zadržavajući pri tome nekoliko posebno švicarskih stavova. Revidirani Pravilnik o zaštiti podataka (rev-OPDP) i Pravilnik o certifikacijama u području zaštite podataka, oba na snazi uz revFADP, popunjavaju operativne pojedinosti.

Što je revizija promijenila

Revizija je uvela: obveznu prijavu povreda FDPIC-u, zahtjev za vođenje evidencije aktivnosti obrade za većinu voditelja, procjene učinka zaštite podataka za obradu visokog rizika, stvarno ekstrateritorijalnu primjenu sličnu čl. 3. st. 2. GDPR-a, ojačana prava ispitanika te kaznenu odgovornost koja se primjenjuje na pojedince, a ne samo na organizaciju voditelja obrade. Definicija osobnih podataka, osnove za zakonitu obradu i struktura prava ispitanika u bliskom su skladu s GDPR-om, što nakladnicima koji već provode program GDPR-a materijalno olakšava švicarsku usklađenost — no je ne ukida.

Na koga se primjenjuje

RevFADP se primjenjuje na obradu podataka u Švicarskoj i na obradu izvan Švicarske koja utječe na pojedince u Švicarskoj. Strani nakladnici koji opslužuju švicarski promet putem lokaliziranih stranica, domene .ch, sadržaja na njemačkom-francuskom-talijanskom-romanškom prilagođenog švicarskim korisnicima ili programatskog inventara kupljenog prema švicarskim IP adresama tipično su u dosegu, a FDPIC je ekstrateritorijalno tumačenje potvrdio u ažuriranjima smjernica iz 2025.

Administrativne kazne i kaznena odgovornost

Najdiskutiranija razlika revFADP-a od GDPR-a jest to što je njegova sankcijska arhitektura pretežito kaznenopravna, a ne administrativna. Individualne kazne — tipično za odgovorne fizičke osobe poput direktora, službenika za zaštitu podataka ili voditelja usklađenosti — mogu doseći do 250.000 CHF po namjernoj povredi, uz paralelnu kaznenu odgovornost za najozbiljnije postupke. Gornja granica niža je u apsolutnim iznosima od četirije posto prihoda kako je propisano GDPR-om, no smjer odgovornosti — prema imenovanoj osobi, a ne samo organizaciji — u praksi mijenja izračun rizika. Nekoliko je nakladnika u 2025. godini posebno restrukturiralo interne tijekove rada za odobrenje radi raspodjele izloženosti.

Što se smatra osobnim podatkom prema revFADP-u

Definicija osobnih podataka revFADP-a blisko prati GDPR. Osobni podaci su informacije koje se odnose na identificiranu ili djelo identificiranu osobu, a FDPIC je dosljedno tretirao kolačiće, identifikatore oglašavanja, IP adrese, otiske prstiju uređaja i bihevioralne profile kao osobne podatke kada ih se može vezati uz pojedinca izravno ili kombinacijom s drugim informacijama.

Posebno osjetljivi osobni podaci

RevFADP određuje kategoriju nazvanu posebno osjetljivi osobni podaci, koja je nešto šira od posebnih kategorija GDPR-a. Uključuje: podatke o vjerskim, filozofskim, političkim ili sindikalnim stavovima i aktivnostima, zdravstvene podatke, podatke o intimnoj sferi ili rasnom ili etničkom podrijetlu, genetske i biometrijske podatke koji jedinstveno identificiraju osobu, podatke o administrativnim i kaznenim postupcima ili sankcijama te podatke o mjerama socijalne pomoći. Obrada posebno osjetljivih osobnih podataka aktivira pojačane zahtjeve pristanka i transparentnosti.

Zašto je to važno za kolačiće

Kolačić koji pohranjuje uobičajeni identifikator oglašavanja su obični osobni podaci. Kolačić koji hrani segment korisnika koji dotiče posebno osjetljivi popis — zdravstveni interesi, politička uvjerenja, vjerska pripadnost — jest obrada posebno osjetljivih osobnih podataka i zahtijeva izričit pristanak, odvojen od općeg toka pristanka za oglašavanje. Ciljanje korisnika na švicarskim jezicima koje se preklapa s tim popisom trebalo bi posebno revidirati u odnosu na granicu, koja je povučena nešto drugačije od crte posebne kategorije GDPR-a.

Pristanak na kolačiće prema revFADP-u u 2026. godini

RevFADP dopušta nekoliko zakonitih osnova za obradu, a za razliku od Direktive ePrivacy kako se primjenjuje u državama članicama EU, švicarsko pravo ne nameće zakonsku osnovu isključivo pristanka za nebitne kolačiće. U praksi su ipak smjernice FDPIC-a iz 2024. i 2025. i najnovije odluke o provedbi konvergirale prema stavu koji je vrlo blizak EU osnovi za kolačiće vezane za oglašavanje, analitiku i profiliranje u više konteksta.

Operativni stav FDPIC-a

Objavljeni stav FDPIC-a jest da nebitni kolačići — uključujući oglašavanje, retargeting, međustraničnu analitiku i personalizaciju — zahtijevaju prethodni, informirani, slobodno dani i specifični pristanak prikupljen prije aktiviranja kolačića. Nužno potrebni kolačići i kolačići koji podržavaju uslugu koju je korisnik izričito zatražio mogu se postaviti na osnovi legitimnog interesa ili osnovi izvršenja ugovora bez prethodnog zahtjeva za pristanak, no teret klasifikacije kolačića kao nužno potrebnog leži na voditelju obrade te je osporavan u nekoliko pritužbi iz 2025.

Elementi valjanog pristanka

Pristanak prema revFADP-u mora biti:

• Slobodno dan — bez prisile, udruživanja s pružanjem bitnih usluga ili zida kolačića koji uvjetuje pristup temeljnom sadržaju prihvaćanjem nebitnog kolačića
• Informiran — ispitanik razumije koji se podaci obrađuju, od koga, u koju svrhu i kojim primateljima
• Specifičan — vezan za jasno identificirane svrhe obrade, a ne za sveobuhvatni pristanak
• Nedvosmislen — izražen jasnom potvrdnom radnjom, a ne zaključen iz pomicanja, nastavka pregledavanja ili neaktivnosti
• Izričit u slučajevima koji uključuju posebno osjetljive osobne podatke, s odvojenim pristankom za osjetljivu obradu

Kako izgleda usklađeni CMP za švicarski promet

CMP konfiguriran za Švicarsku u 2026. trebao bi prikazivati:

• Banner prikazan na jeziku korisnika — njemačkom, francuskom, talijanskom ili romanškom — prije aktiviranja bilo kojeg nebitnog kolačića, s odabirom jezika koji odgovara lokalizaciji stranice .ch, a ne engleskom kao zadanom
• Jednaku vizualnu istaknutost za radnje Prihvati, Odbij i Postavke — smjernice FDPIC-a iz 2025. izričito kritiziraju dizajne bannera u kojima je Odbij vizualno manje istaknut u odnosu na Prihvati
• Precizne prekidače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prijenos i svaka posebno osjetljiva kategorija
• Odvojeni tok pristanka za svaku obradu posebno osjetljivih osobnih podataka, zaštićen iza vlastite radnje, a ne skupljen u opći pristanak
• Trajni, lako pronađeni mehanizam za povlačenje pristanka nakon početnog odabira, uz jednaku trvenje kao i davanje pristanka
• Potpunu obavijest o privatnosti na švicarskom jeziku koja otkriva identitet voditelja, izvršitelje, svrhe, primatelje, razdoblja pohrane, mehanizme prijenosa i put prava ispitanika

Evidencija pristanka

Voditelji obrade moraju čuvati dokaze o pristanku — tko je pristao, kada, za koje specifične svrhe i putem kojeg sučelja. Neadekvatna evidencija pristanka pojavila se u nekoliko istražnih pisama FDPIC-a u 2025., a vremenski označeni izvozivi zapisnici koji se čuvaju za primjenjivo razdoblje zastare osnovna su očekivanja.

Prekogranični prijenosi nakon ponovnog usklađivanja primjerenosti iz 2024. godine

Prekogranični prijenosi podataka područje su revFADP-a u kojemu se švicarski stav najjasnije odvaja od, i blago zaostaje za, stavom EU. Ponovno usklađivanje iz 2024. nakon usvajanja EU-US Data Privacy Framework od strane EU-a rezultiralo je paralelnim Swiss-US Data Privacy Framework, no njegov opseg i uvjeti nisu identični.

Prepoznati mehanizmi prijenosa

RevFADP i rev-OPDP prepoznaju nekoliko putova:

• Odluke o primjerenosti švicarskog Saveznog vijeća za zemlje ocijenjene kao one koje pružaju odgovarajuću zaštitu — trenutačni popis uključuje EEA, Ujedinjeno Kraljevstvo i nekoliko drugih jurisdikcija
• Swiss-US Data Privacy Framework za prijenose organizacijama u SAD-u koje su se samocertificirale u sklopu okvira, koji je zamijenio Swiss-US Privacy Shield nakon 2024.
• Standardne ugovorne klauzule koje je priznao FDPIC, uključujući EU SCC-ove s švicarskim dodatkom koji je objavio FDPIC
• Obvezujuća korporativna pravila odobrena od strane FDPIC-a
• Specifične iznimke uključujući izričiti pristanak s odgovarajućim otkrivanjem, nužnost ugovora, vitalni interes i značajan javni interes

Swiss-US DPF u praksi

Swiss-US DPF pokriva prijenose organizacijama u SAD-u koje su se samocertificirale i održavaju svoju certifikaciju. Nakladnici bi trebali verificirati aktivni status certifikacije svakog dobavljača ad-tech ili analitičkih usluga iz SAD-a na listi DPF, a ne oslanjati se na jednokratnu provjeru, jer istekle certifikacije retroaktivno ne poništavaju prethodne prijenose, ali zahtijevaju hitnu sanaciju za tekuće tokove. Ako dobavljač nije DPF-certificiran, EU SCC-ovi sa švicarskim dodatkom FDPIC-a ostaju operativna alternativa.

Praktični pristup za 2026.

Za većinu nakladnika, operativni pristup jest mapirati svaki prekogranični tok podataka iz švicarskog prometa na njegovu odredišnu državu i mehanizam, primijeniti odgovarajuće SCC-ove-sa-švicarskim-dodatkom gdje DPF certifikacija ne pokriva dobavljača, dokumentirati mehanizam u obavijesti o privatnosti na švicarskom jeziku te dopuniti pristankom tek tamo gdje strukturirani mehanizmi ne pokrivaju obradu čisto.

Prava ispitanika prema revFADP-u

RevFADP dodjeljuje niz prava koja blisko prate GDPR, uz nekoliko švicarskih posebnosti:

• Pravo pristupa osobnim podacima koje čuva voditelj obrade, s prvim besplatnim pristupom godišnje i gornjom granicom povrata troškova za naknadne ili opsežne zahtjeve
• Pravo na ispravak netočnih ili nepotpunih podataka
• Pravo na brisanje
• Pravo na ograničenje obrade
• Pravo na prenosivost podataka obrađivanih automatiziranim sredstvima na temelju pristanka ili ugovora
• Pravo na prigovor na obradu
• Pravo na povlačenje pristanka
• Pravo da ne bude predmetom automatiziranog individualnog odlučivanja koje proizvodi pravne ili slično značajne učinke, sa zaštitnim jamstvima za ručni pregled
• Pravo na podnošenje pritužbe FDPIC-u ili pokretanje građanskog postupka

Rokovi za odgovor

Voditelji obrade moraju odgovoriti na zahtjeve ispitanika u roku od 30 dana prema općem okviru, uz mogućnost produljenja obrazloženom obavijesti u složenim slučajevima. Operativna pripremljenost za ovaj rok — s alatima i priručnicima na švicarskim jezicima (njemački, francuski, talijanski) — čest je nedostatak stranih nakladnika koji su prilagodili program jednom europskom jeziku.

Sankcije i provedba u 2026. godini

Aktivnost provedbe FDPIC-a znatno se intenzivirala tijekom 2024. i 2025. te 2026. nastavlja taj smjer umjesto da se stabilizira.

Struktura kazni

Kazne su pretežito kaznenopravne prirode i usmjerene na imenove pojedince — direktore, DPO-ove, voditelje usklađenosti — s gornjom granicom od 250.000 CHF po namjernoj povredi. Najčešće navedene kategorije u provedbi iz 2025. bile su: nedovoljno informiranje ispitanika, kršenje dužne pažnje u prekograničnim prijenosima, neispunjavanje obveze prijave povreda podataka FDPIC-u u traženom roku te nepoštivanje odluka ili naloga FDPIC-a.

Kaznena odgovornost

Za razliku od GDPR-a, kazneni put revFADP-a usmjeren je prema odgovornoj fizičkoj osobi, a ne samo pravnoj osobi, što je 2025. potaknulo znatno interno restrukturiranje tijekova rada za odobrenje. Praktičan učinak jest da izjave o usklađenosti i revizijski tragovi imaju važnost ne samo za izloženost organizacije nego i za izloženost pojedinca — a DPO-ovi su posebno prilagodili praksu dokumentiranja kako bi to odrazili.

Teme provedbe

Aktivnosti FDPIC-a iz 2025. i početka 2026. grupiraju se oko: bannera kolačića koji umanjuju radnju Odbij ili koriste unaprijed odabrane okvire, obavijesti o privatnosti koje nisu dostupne na švicarskom državnom jeziku korisnika, prekograničnih prijenosa dobavljačima iz SAD-a koji nisu DPF-certificirani i nemaju alternativni mehanizam, propusta u odgovaranju na zahtjeve ispitanika u roku od 30 dana te odgođenih ili propuštenih prijava povreda. Strani nakladnici navedeni su u svim pet kategorija, s kategorijama dizajna bannera i prekograničnih prijenosa koje prednjače.

Kontrolni popis revizije za švicarski promet u 2026. godini

• Banner CMP-a prikazuje se na švicarskom državnom jeziku korisnika (DE, FR, IT ili RM) uz jednaku vizualnu istaknutost za Prihvati, Odbij i Postavke
• Svrhe pristanka su precizne, a posebno osjetljiva obrada odvojena je iza vlastitog toka pristanka
• Obavijest o privatnosti dostupna je na svakom relevantnom švicarskom jeziku s potpunim otkrivanjem voditelja, izvršitelja, svrha, pohrane, prava i puta pritužbe FDPIC-u
• Svaki prekogranični tok iz švicarskog prometa mapiran je na svoju odredišnu državu i mehanizam — primjerenost, Swiss-US DPF certifikacija, FDPIC-švicarski-dodatak SCC-ovi, BCR-ovi ili dokumentirana iznimka
• Status DPF certifikacije dobavljača iz SAD-a ponovo se verificira na objavljenoj listi, a ne uzima jednom i zaboravlja
• Evidencija pristanka vremenski je označena, izvoziva i čuva se za primjenjivo razdoblje zastare
• Tijek rada zahtjeva ispitanika može odgovoriti u roku od 30 dana od početka do kraja, na njemačkom, francuskom i talijanskom
• Priručnik za prijavu povrede usklađen je s rokovima revFADP-a i integriran s internim procesom odgovora na incidente
• Tijekovi rada za odobrenje odražavaju arhitekturu kaznene-odgovornosti-na-razini-pojedinca, s imenovanim odobravatelje i dokumentacijskim tragom
• Segmenti korisnika posebno osjetljive kategorije zaštićeni su iza izričitog pristanka posebno prikupljenog
• Klasifikacija kolačića pregled je proveden kritičkim okom prema tome koji kolačići zapravo udovoljavaju nužno potrebnima prema smjernicama FDPIC-a

Perspektiva za 2026. godinu

Švicarski režim zaštite podataka sazrio je od uglednog, ali tihog starijeg zakona do operativnog instrumenta s operativnom specifičnošću, kapacitetom provedbe i arhitekturom kaznene odgovornosti za samostalno oblikovanje prioriteta usklađenosti umjesto da samo jaše na programu EU. Ponovno usklađivanje primjerenosti iz 2024. zatvorilo je najznačajniji strukturalni jaz oko prijenosa u SAD, a rastuće provedba FDPIC-a iz 2025. konzistentna je s regulatorom koji skalira na održiv način umjesto da provodi jednokratnu kampanju. Za nakladnike koji već imaju uspostavljene GDPR-razredne hrpe pristanka, jaz do usklađenosti s revFADP-om uži je nego jaz za bilo koju drugu jurisdikciju izvan EU-a — no on je realan i živi u pojedinostima: banneri i obavijesti na švicarskom jeziku, mapiranje DPF naspram SCC za svakog dobavljača iz SAD-a, nešto drugačija linija posebno osjetljive kategorije, ritam odgovaranja od 30 dana na tri ili četiri jezika i arhitektura kaznene odgovornosti koja individualno dokumentiranje odobrenja pretvara u usklađeni artefakt prve klase umjesto u nešto zgodno za imati. Jaz se može zatvoriti za tjednima ako se prioritizira, a CPM-ovi švicarskih nakladnika čine prioritizaciju ekonomski jasnom. Nakladnici koji su Švicarsku tiho tretirali kao GDPR prolaz do 2024. otkrivaju da je 2026. značajno zahtjevnija, a trend je jasan.