A revFADP szerkezete 2026-ban

A revFADP felváltotta Svájc 1992-es adatvédelmi rendszerét egy olyan keretrendszerrel, amely legtöbb működési szempontból szorosan követi a GDPR-t, miközben megőrzi néhány sajátosan svájci álláspontot. A felülvizsgált Adatvédelmi Rendelet (rev-OPDP) és az Adatvédelmi Tanúsítványokról szóló rendelet, amelyek mindkettő a revFADP mellett hatályosak, biztosítják a működési részleteket.

Mit változtatott meg a felülvizsgálat

A felülvizsgálat bevezette: a kötelező adatvédelmi incidensbejelentést az FDPIC-nek, az adatkezelési nyilvántartás követelményét a legtöbb adatkezelő számára, adatvédelmi hatásvizsgálatokat a nagy kockázatú adatkezelések esetén, a GDPR 3. cikk (2) bekezdéséhez hasonló valóban területenkívüli hatályt, megerősített érintetti jogokat, és a büntetőjogi felelősség intézményét, amely nem csupán az irányító szervezetre, hanem az egyénekre is alkalmazható. A személyes adat fogalma, a jogszerű adatkezelés alapjai és az érintetti jogok szerkezete mind szorosan igazodik a GDPR-hoz, ami lényegesen egyszerűsíti a svájci megfelelést azoknak a kiadóknak, amelyek már futtatnak GDPR-programot — de nem szünteti meg azt.

Kire vonatkozik

A revFADP alkalmazandó a Svájcban történő adatkezelésre, valamint a Svájcon kívül, de Svájcban tartózkodó személyeket érintő adatkezelésre. A svájci forgalmat lokalizált webhelyeken, .ch doménen, svájci közönséghez igazított német-francia-olasz-romansh tartalommal vagy svájci IP-k ellen vásárolt programmatikus készlettel kiszolgáló külföldi kiadók jellemzően a hatálya alá tartoznak, és az FDPIC megerősítette a területenkívüli értelmezést 2025-ös iránymutatás-frissítéseiben.

Közigazgatási bírságok és a büntetőjogi háttér

A revFADP GDPR-tól legtöbbet tárgyalt eltérése, hogy szankciós rendszere elsősorban büntetőjogi jellegű, nem közigazgatási. Az egyéni bírságok — jellemzően a felelős természetes személyekre, például igazgatókra, adatvédelmi tisztviselőkre vagy megfelelési felelősökre — szándékos jogsértések esetén 250 000 CHF-ig terjedhetnek sérelmenként, párhuzamos büntetőjogi felelősséggel a legsúlyosabb cselekményekért. A felső határ abszolút számokban alacsonyabb a GDPR árbevétel négy százalékos felső határánál, de a felelősség iránya — a névvel jelölt egyénre, nem csupán a szervezetre — a kockázatszámítást a gyakorlatban megváltoztatja. Több kiadó 2025-ben kifejezetten azért strukturálta át belső jóváhagyási munkafolyamatait, hogy megossza a kitettséget.

Mi minősül személyes adatnak a revFADP szerint

A revFADP személyes adat fogalma szorosan követi a GDPR-t. A személyes adat az azonosított vagy azonosítható személyre vonatkozó információ, és az FDPIC következetesen személyes adatként kezeli a sütiket, a hirdetési azonosítókat, az IP-címeket, az eszközujjlenyomatokat és a viselkedési profilokat, ha azok közvetlenül vagy más adatokkal kombinálva köthetők egyénhez.

Különlegesen érzékeny személyes adatok

A revFADP meghatároz egy különlegesen érzékeny személyes adatok nevű kategóriát, amely valamivel szélesebb a GDPR különleges kategóriáinál. Ide tartoznak: a vallási, filozófiai, politikai vagy szakszervezeti nézetekre és tevékenységekre vonatkozó adatok, egészségügyi adatok, az intim szférára, faji vagy etnikai származásra vonatkozó adatok, az egyén egyedi azonosítására alkalmas genetikai és biometrikus adatok, a közigazgatási és büntetőeljárásokra vagy szankciókra vonatkozó adatok, és a szociális segélyre vonatkozó adatok. A különlegesen érzékeny személyes adatok kezelése emelt szintű hozzájárulási és átláthatósági követelményeket von maga után.

Miért fontos ez a sütik esetén

A rutinszerű hirdetési azonosítót tároló sütik közönséges személyes adatok. A különlegesen érzékeny listát érintő közönségszegmenst tápláló sütik — egészségügyi érdeklődés, politikai beállítottság, vallási hovatartozás — különlegesen érzékeny személyes adat kezelésének minősülnek, és explicit hozzájárulást igényelnek, elkülönítve az általános hirdetési hozzájárulási folyamattól. A svájci nyelvű közönségcélzást, amely átfedésben van ezzel a listával, kifejezetten a határvonal alapján kell auditálni, amely kissé eltér a GDPR különleges kategória határától.

Cookie-hozzájárulás a revFADP szerint 2026-ban

A revFADP az adatkezelés több jogalapját is megengedi, és az ePrivacy-irányelvvel ellentétben, ahogyan azt az EU tagállamaiban alkalmazzák, a svájci jog nem ír elő törvényes hozzájárulás-alapú alapkövetelményt a nem alapvető sütikre. A gyakorlatban azonban az FDPIC 2024-es és 2025-ös iránymutatása és a legújabb végrehajtási döntések olyan álláspontra konvergáltak, amely nagyon közel áll az EU alapkövetelményéhez a hirdetésekhez, analitikához és keresztkontextusú profilalkotáshoz kötött sütiknél.

Az FDPIC működési álláspontja

Az FDPIC közzétett álláspontja szerint a nem alapvető sütik — beleértve a hirdetési, retargeting, keresztoldali analitikai és személyre szabási sütiket — előzetes, tájékozott, szabadon adott és konkrét hozzájárulást igényelnek, amelyet a süti aktiválása előtt kell rögzíteni. A szigorúan szükséges sütik és a felhasználó által kifejezetten igényelt szolgáltatást támogató sütik jogos érdek vagy szerződéses teljesítés alapján állíthatók be előzetes hozzájárulási felhívás nélkül, de a süti szigorúan szükségesnek minősítésének terhe az adatkezelőre hárul, és 2025-ben számos panaszban vitatták ezt.

Az érvényes hozzájárulás elemei

A revFADP szerinti hozzájárulásnak a következőknek kell megfelelnie:

• Szabadon adott — kényszer, az alapszolgáltatás nyújtásával való összekapcsolás vagy a nem alapvető sütiket elfogadó falra épített alapvető tartalomhozzáférés nélkül
• Tájékozott — az érintett megérti, hogy milyen adatokat kezelnek, ki, milyen célból és kik a címzettek
• Konkrét — egyértelműen azonosított adatkezelési célokhoz kötött, nem általános hozzájárulás
• Félreérthetetlen — egyértelmű megerősítő cselekedettel kifejezett, nem görgetésből, böngészés folytatásából vagy tétlenségből következtetett
• Explicit különlegesen érzékeny személyes adatokat érintő esetekben, az érzékeny adatkezelésre vonatkozó külön hozzájárulással

Hogyan néz ki egy megfelelő CMP a svájci forgalom esetén

A Svájcra konfigurált CMP-nek 2026-ban a következőket kell bemutatnia:

• A felhasználó nyelvén — németül, franciául, olaszul vagy romanshul — megjelenített szalaghirdetés, mielőtt bármely nem alapvető süti aktiválódik, a nyelvválasztás a .ch oldal lokalizációjával egyezik meg, nem angolra vált alapértelmezettként
• Az Elfogadás, az Elutasítás és a Beállítások műveletek egyenlő vizuális hangsúlya — az FDPIC 2025-ös iránymutatása kifejezetten kritizálja azokat a szalaghirdetés-terveket, amelyekben az Elutasítás vizuálisan az Elfogadáshoz képest háttérbe szorul
• Részletes kapcsolók célonként: analitika, hirdetés, személyre szabás, határon átnyúló adattovábbítás és minden különlegesen érzékeny kategória
• Különálló hozzájárulási folyamat a különlegesen érzékeny személyes adatok kezelésére, saját műveleti kapu mögé zárva, nem pedig az általános hozzájárulásba csomagolva
• Tartós, könnyen megtalálható mechanizmus a hozzájárulás visszavonására a kezdeti választás után, a hozzájárulás megadásával azonos fokú nehézséggel
• Teljes svájci nyelvű adatvédelmi tájékoztató, amely felfedi az adatkezelő kilétét, az adatfeldolgozókat, a célokat, a címzetteket, a megőrzési időszakokat, az adattovábbítási mechanizmusokat és az érintetti jogok érvényesítési útját

Hozzájárulási nyilvántartások

Az adatkezelőknek bizonyítékot kell fenntartaniuk a hozzájárulásról — ki, mikor, milyen konkrét célokra és milyen felületen adott hozzájárulást. A nem megfelelő hozzájárulási nyilvántartások több FDPIC vizsgálati levélben is szerepeltek 2025-ben, és az alkalmazható elévülési időre megőrzött, időbélyegzett és exportálható naplók az alapvető elvárás.

Határon átnyúló adattovábbítások a 2024-es megfelelőségi igazítás után

A határon átnyúló adattovábbítások a revFADP azon területe, ahol a svájci álláspont a legláthatóbban tér el az EU állásponttól, és kissé le is marad attól. Az EU által az EU–US Adatvédelmi Keretrendszer elfogadásával előidézett 2024-es igazítás párhuzamos Svájc–USA Adatvédelmi Keretrendszert eredményezett, amelynek hatálya és feltételei azonban nem azonosak.

Az elismert adattovábbítási mechanizmusok

A revFADP és a rev-OPDP számos útvonalat ismer el:

• Megfelelőségi határozatok a Svájci Szövetségi Tanácstól azokra az országokra, amelyeket megfelelő védelmet nyújtónak értékeltek — a jelenlegi lista tartalmazza az EGT-t, az Egyesült Királyságot és néhány más joghatóságot
• A Svájc–USA Adatvédelmi Keretrendszer a keretrendszer alapján öntanúsított amerikai szervezeteknek szóló adattovábbításhoz, amely 2024 után felváltotta a Svájc–USA Adatvédelmi Pajzsot
• Standard szerződési záradékok, amelyeket az FDPIC elismer, beleértve az EU SCC-ket az FDPIC által közzétett svájci kiegészítővel
• Kötelező erejű vállalati szabályok, amelyeket az FDPIC hagyott jóvá
• Konkrét mentességek, beleértve a megfelelő közzététellel adott explicit hozzájárulást, a szerződéses szükségességet, a létfontosságú érdeket és a lényeges közérdeket

A Svájc–USA DPF a gyakorlatban

A Svájc–USA DPF az öntanúsított és tanúsítványukat fenntartó amerikai szervezeteknek szóló adattovábbításra vonatkozik. A kiadóknak ellenőrizniük kell minden egyes amerikai hirdetéstechnológiai vagy analitikai szállító aktív tanúsítványi státuszát a DPF listán, nem pedig egyszeri ellenőrzésre hagyatkozniuk, mivel a lejárt tanúsítványok nem érvénytelenítik visszamenőlegesen a korábbi adattovábbításokat, de azonnali helyreállítást igényelnek a folyamatban lévő adatfolyamokhoz. Ha egy szállító nem DPF-tanúsítvánnyal rendelkezik, az EU SCC-k az FDPIC svájci kiegészítőjével maradnak a működő alternatívának.

A praktikus 2026-os megközelítés

A legtöbb kiadó számára a működő megközelítés az, hogy feltérképezzük minden egyes svájci forgalomból eredő határon átnyúló adatfolyamot a rendeltetési ország és mechanizmus szerint, elvégezzük a megfelelő SCC-ket-svájci-kiegészítővel ahol a DPF-tanúsítvány nem fedi le a szállítót, dokumentáljuk a mechanizmust a svájci nyelvű adatvédelmi tájékoztatóban, és csak ott egészítjük ki hozzájárulás alapú engedélyezéssel, ahol a strukturált mechanizmusok nem illeszkednek tisztán az adatkezeléshez.

Érintetti jogok a revFADP szerint

A revFADP jogok összességét biztosítja, amelyek szorosan követik a GDPR-t, néhány svájci sajátossággal:

• Jog az adatkezelő által tárolt személyes adatokhoz való hozzáféréshez, évi egy ingyenes hozzáféréssel és költség-visszatérítési felső határral a további vagy nagy terjedelmű kérelmekre
• Jog a pontatlan vagy hiányos adatok helyesbítéséhez
• Jog a törléshez
• Jog az adatkezelés korlátozásához
• Jog az adathordozhatósághoz a hozzájárulás vagy szerződés alapján automatizált eszközökkel kezelt adatokhoz
• Jog az adatkezelés elleni tiltakozáshoz
• Jog a hozzájárulás visszavonásához
• Jog arra, hogy ne legyen alanya joghatással vagy hasonlóan jelentős hatással járó automatizált egyedi döntéshozatalnak, manuális felülvizsgálati biztosítékkal
• Jog panasz benyújtásához az FDPIC-hez vagy polgári eljárás indításához

Válaszadási határidők

Az adatkezelőknek az általános keretrendszer alapján 30 napon belül kell válaszolniuk az érintetti kérelmekre, amely összetett esetekben indoklással meghosszabbítható. Az e határidőre vonatkozó működési készenlét — svájci nyelvű eszközökkel és útmutatókkal németre, franciára és olaszra — általános hiányossága azon külföldi kiadóknak, amelyek programjukat egyetlen európai nyelvre hangolták.

Szankciók és végrehajtási irány 2026-ban

Az FDPIC végrehajtási tevékenysége 2024-ben és 2025-ben érdemben fokozódott, és 2026 folytatja ezt az irányt, nem pedig tetőzik.

A bírságszerkezet

A bírságok elsősorban büntetőjogi jellegűek, és névvel jelölt személyekre — igazgatókra, DPO-kra, megfelelési felelősökre — irányulnak, szándékos jogsértésenként 250 000 CHF felső határral. A 2025-ös végrehajtásban leggyakrabban hivatkozott kategóriák: nem elegendő tájékoztatás az érintetteknek, gondossági kötelezettség megsértése a határon átnyúló adattovábbítás során, elmulasztott kötelezettség az adatvédelmi incidensek FDPIC-nek való bejelentésére a szükséges határidőn belül, és az FDPIC határozatainak vagy végzéseinek való nem megfelelés.

A büntetőjogi felelősség háttérintézménye

A GDPR-ral ellentétben a revFADP büntetőjogi felelősségi útja a felelős természetes személlyel szemben irányul, nem csupán a jogi egységgel szemben, ami 2025-ben a jóváhagyási munkafolyamatok jelentős belső átstrukturálásához vezetett. A gyakorlati hatás, hogy a megfelelési tanúsítások és az auditnyomvonalak nem csupán a szervezet kitettsége, hanem az egyén kitettsége szempontjából is fontosak — és a DPO-k különösen ennek megfelelően igazították a dokumentációs gyakorlatukat.

Végrehajtási témák

Az FDPIC 2025-ös és 2026 eleji intézkedései a következők köré csoportosulnak: az Elutasítás műveletet minimalizáló vagy előre bepipált dobozokat használó süti-szalaghirdetések, a felhasználó svájci nemzeti nyelvén nem elérhető adatvédelmi tájékoztatók, DPF-tanúsítvánnyal nem rendelkező és alternatív mechanizmus nélküli amerikai szállítóknak szóló határon átnyúló adattovábbítások, az érintetti kérelmekre a 30 napos határidőn belül való válaszadás elmulasztása, és késedelmes vagy hiányos adatvédelmi incidens-bejelentések. Külföldi kiadókat mind az öt kategóriában idéztek, a szalaghirdetés-tervezési és a határon átnyúló adattovábbítási kategóriák vezetve a listát.

Audit-ellenőrzőlista svájci forgalomhoz 2026-ban

• A CMP szalaghirdetés a felhasználó svájci nemzeti nyelvén (DE, FR, IT vagy RM) jelenik meg, az Elfogadás, Elutasítás és Beállítások egyenlő vizuális hangsúllyal
• A hozzájárulási célok részletesek, és a különlegesen érzékeny adatkezelés külön hozzájárulási folyamat mögé van zárva
• Az adatvédelmi tájékoztató minden releváns svájci nyelven elérhető, teljes közzététellel az adatkezelőről, adatfeldolgozókról, célokról, megőrzésről, jogokról és az FDPIC panasz-útvonaláról
• Minden egyes, svájci forgalomból eredő határon átnyúló adatfolyam fel van térképezve a rendeltetési helye és mechanizmusa szerint — megfelelőségi határozat, Svájc–USA DPF tanúsítvány, FDPIC-svájci-kiegészítő SCC-k, BCR-ek vagy dokumentált mentesség
• Az USA szállítók DPF-tanúsítványi státuszát a közzétett listán újra ellenőrizték, nem vette egyszer és felejtette
• A hozzájárulási naplók időbélyegzett, exportálható formában vannak tárolva az alkalmazható elévülési időre
• Az érintetti kérelem munkafolyamata végponttól végpontig 30 napon belül tud válaszolni, németül, franciául és olaszul
• Az adatvédelmi incidens-bejelentési útmutató a revFADP határidőire van hangolva és a belső incidenskezelési folyamatba integrálva
• A jóváhagyási munkafolyamatok tükrözik az egyénre vonatkozó büntetőjogi felelősség architektúráját, névvel jelölt jóváhagyókkal és dokumentációs nyomvonallal
• A különlegesen érzékeny kategóriájú közönségszegmensek explicit, külön rögzített hozzájárulás mögé vannak zárva
• A süti-osztályozást kritikus szemmel felülvizsgálták, hogy ténylegesen melyek minősülnek szigorúan szükségesnek az FDPIC iránymutatása alapján

A 2026-os kilátások

Svájc adatvédelmi rendszere egy elismert, de csendes régebbi törvényből olyan működő eszközzé érett, amely a működési specifikusság, a végrehajtási kapacitás és a büntetőjogi felelősség architektúrájával képes önállóan alakítani a megfelelési prioritásokat, nem csupán az EU programra épülve. A 2024-es megfelelőségi igazítás lezárta az USA-ba irányuló adattovábbítások körüli leglényegesebb strukturális hiányosságot, és az FDPIC fokozódó 2025-ös végrehajtási iránya összeegyeztethető egy olyan szabályozóval, amely tartósan skálázódik, nem egyszeri kampányt folytat. A GDPR-szintű hozzájárulási stacket már futtató kiadók számára a revFADP megfelelés hiányossága szűkebb, mint bármely más nem EU joghatóság esetében — de valós, és a részletekben él: svájci nyelvű szalaghirdetések és tájékoztatók, DPF-kontra-SCC feltérképezés minden egyes USA szállítóra, a különlegesen érzékeny kategória kissé eltérő határvonala, a 30 napos válaszidő három vagy négy nyelven, és a büntetőjogi felelősség architektúrája, amely az egyéni jóváhagyás dokumentálását elsőrendű megfelelési tárgyává teszi, nem pedig kellemes kiegészítővé. A hiányosság hetek alatt pótolható, ha prioritásként kezelik, és Svájc kiadói CPM-jei a prioritizálást gazdaságilag egyértelművé teszik. Azok a kiadók, amelyek Svájcot 2024-ig csendesen GDPR-átjárónak tekintették, 2026-ban érdemben nagyobb igénnyel találják szemben magukat, és az irány egyértelmű.