FADP Swiss yang Direvisi pada 2026: Panduan Penerbit dan Pengiklan untuk Persetujuan Cookie, Penegakan FDPIC, dan Aliran Data Swiss–EU
Swiss Undang-Undang Perlindungan Data Federal yang direvisi — revFADP, kadang disebut nFADP dalam materi Prancis dan Jerman — mulai berlaku pada 1 September 2023 tanpa masa tenggang beberapa tahun yang diberikan yurisdiksi lain, dan menghabiskan delapan belas bulan pertama dalam fase yang secara terbuka dijelaskan oleh Komisioner Informasi dan Perlindungan Data Federal (FDPIC) sebagai periode observasi. Periode itu telah berakhir. Sepanjang 2025, FDPIC membuka serangkaian investigasi formal yang terlihat terhadap pengontrol Swiss dan asing, mengeluarkan keputusan pertama yang dipublikasikan berdasarkan Undang-Undang yang direvisi, dan menyelaraskan panduan operasionalnya dengan GDPR dalam sebagian besar aspek sambil mempertahankan posisi khas Swiss pada isu-isu tertentu — terutama transfer lintas batas ke Amerika Serikat, peran persetujuan untuk cookie non-esensial, dan jaminan tanggung jawab pidana yang berdampingan dengan rezim administratif. Pada awal 2026, revFADP bukan lagi saudara kandung GDPR yang tenang yang dapat diperlakukan penerbit sebagai kesalahan pembulatan pada program EU mereka. Bagi setiap penerbit, pengiklan, atau platform yang memproses data pribadi individu di Swiss — baik yang berbasis di Swiss maupun yang melayani lalu lintas Swiss dari luar negeri — 2026 adalah tahun revFADP menjadi kewajiban kepatuhan independen yang membutuhkan auditnya sendiri. Panduan ini memandu melalui revFADP sebagaimana adanya pada 2026, apa yang sebenarnya diperlukan persetujuan cookie berdasarkan hukum Swiss, bagaimana transfer lintas batas bekerja setelah penyelarasan kelayakan 2024, dan apa yang diungkapkan tema penegakan awal FDPIC tentang prioritas 2026.
Struktur revFADP pada 2026
RevFADP menggantikan rezim perlindungan data Swiss tahun 1992 dengan kerangka kerja yang secara erat mengikuti GDPR dalam sebagian besar aspek operasional sambil mempertahankan sejumlah posisi khas Swiss. Peraturan Perlindungan Data yang direvisi (rev-OPDP) dan Peraturan tentang Sertifikasi Perlindungan Data, keduanya berlaku bersama revFADP, mengisi detail operasional.
Apa yang Diubah Revisi
Revisi memperkenalkan: pemberitahuan pelanggaran wajib ke FDPIC, persyaratan catatan pemrosesan untuk sebagian besar pengontrol, penilaian dampak perlindungan data untuk pemrosesan berisiko tinggi, lingkup ekstrateritorial sejati yang mirip dengan Pasal 3(2) GDPR, penguatan hak subjek data, dan jaminan tanggung jawab pidana yang berlaku bagi individu bukan hanya organisasi pengontrol. Definisi data pribadi, dasar pemrosesan yang sah, dan struktur hak subjek data semuanya selaras erat dengan GDPR, yang secara material menyederhanakan kepatuhan Swiss bagi penerbit yang sudah menjalankan program GDPR — tetapi tidak menghilangkannya.
Siapa yang Diatur
RevFADP berlaku untuk pemrosesan data di Swiss dan pemrosesan di luar Swiss yang mempengaruhi individu di Swiss. Penerbit asing yang melayani lalu lintas Swiss melalui situs yang dilokalisasi, domain .ch, konten Jerman-Prancis-Italia-Romansh yang disesuaikan untuk audiens Swiss, atau inventaris programatik yang dibeli berdasarkan IP Swiss umumnya berada dalam lingkup, dan FDPIC telah mengonfirmasi pembacaan ekstrateritorial dalam pembaruan panduan 2025-nya.
Denda Administratif dan Jaminan Pidana
Keberangkatan revFADP yang paling banyak dibahas dari GDPR adalah bahwa arsitektur sanksinya terutama bersifat pidana bukan administratif. Denda individu — biasanya pada orang alami yang bertanggung jawab seperti direktur, petugas perlindungan data, atau pemimpin kepatuhan — dapat mencapai hingga CHF 250.000 per pelanggaran untuk pelanggaran yang disengaja, dengan tanggung jawab pidana paralel untuk perilaku paling serius. Batas maksimum lebih rendah dari batas empat persen omzet GDPR dalam nilai absolut, tetapi arah tanggung jawab — pada individu yang disebutkan namanya bukan hanya organisasi — mengubah kalkulasi risiko dalam praktik. Beberapa penerbit telah merestrukturisasi alur kerja persetujuan internal pada 2025 khusus untuk mendistribusikan eksposur.
Apa yang Dihitung sebagai Data Pribadi di Bawah revFADP
Definisi data pribadi revFADP secara erat mengikuti GDPR. Data pribadi adalah informasi yang berkaitan dengan orang yang teridentifikasi atau dapat diidentifikasi, dan FDPIC secara konsisten memperlakukan cookie, pengidentifikasi iklan, alamat IP, sidik jari perangkat, dan profil perilaku sebagai data pribadi ketika dapat dikaitkan dengan individu secara langsung atau dengan kombinasi dengan informasi lain.
Data Pribadi yang Sangat Sensitif
RevFADP menetapkan kategori yang disebut data pribadi yang sangat sensitif yang agak lebih luas dari kategori khusus GDPR. Ini mencakup: data tentang pandangan dan aktivitas keagamaan, filosofis, politik, atau serikat pekerja, data kesehatan, data tentang lingkup intim atau asal ras atau etnis, data genetik dan biometrik yang secara unik mengidentifikasi seseorang, data tentang proses dan sanksi administratif dan pidana, dan data tentang tindakan bantuan sosial. Memproses data pribadi yang sangat sensitif memicu persyaratan persetujuan dan transparansi yang ditingkatkan.
Mengapa Ini Penting untuk Cookie
Cookie yang menyimpan pengidentifikasi iklan rutin adalah data pribadi biasa. Cookie yang memberi makan segmen audiens yang menyentuh daftar yang sangat sensitif — minat kesehatan, kecenderungan politik, afiliasi agama — adalah pemrosesan data pribadi yang sangat sensitif dan memerlukan persetujuan eksplisit, terpisah dari alur persetujuan iklan umum. Penargetan audiens berbahasa Swiss yang tumpang tindih dengan daftar ini harus diaudit secara khusus terhadap batasnya, yang digambar sedikit berbeda dari garis kategori khusus GDPR.
Persetujuan Cookie di Bawah revFADP pada 2026
RevFADP mengizinkan beberapa dasar hukum untuk pemrosesan, dan tidak seperti Direktif ePrivacy yang diterapkan di negara anggota EU, hukum Swiss tidak memaksakan garis dasar hanya persetujuan menurut undang-undang untuk cookie non-esensial. Namun dalam praktiknya, panduan FDPIC 2024 dan 2025 serta keputusan penegakan terbaru telah berkonvergensi pada posisi yang sangat mendekati garis dasar EU untuk cookie yang terkait dengan iklan, analitik, dan pembuatan profil lintas konteks.
Posisi Operasional FDPIC
Posisi yang dipublikasikan FDPIC adalah bahwa cookie non-esensial — termasuk iklan, penargetan ulang, analitik lintas situs, dan personalisasi — memerlukan persetujuan sebelumnya, terinformasi, diberikan secara bebas, dan spesifik yang ditangkap sebelum cookie aktif. Cookie yang benar-benar diperlukan dan cookie yang mendukung layanan yang secara eksplisit diminta pengguna dapat diatur atas dasar kepentingan yang sah atau atas dasar pelaksanaan kontrak tanpa permintaan persetujuan sebelumnya, tetapi beban mengklasifikasikan cookie sebagai benar-benar diperlukan terletak pada pengontrol dan telah dipermasalahkan dalam beberapa keluhan 2025.
Elemen Persetujuan yang Valid
Persetujuan di bawah revFADP harus:
- Diberikan secara bebas — tanpa paksaan, penggabungan dengan penyediaan layanan esensial, atau tembok cookie yang mengkondisikan akses konten inti pada penerimaan cookie non-esensial
- Terinformasi — subjek data memahami data apa yang diproses, oleh siapa, untuk tujuan apa, dan dengan penerima mana
- Spesifik — terikat pada tujuan pemrosesan yang teridentifikasi dengan jelas bukan persetujuan payung
- Tidak ambigu — dinyatakan melalui tindakan afirmatif yang jelas, tidak disimpulkan dari pengguliran, penelusuran yang berlanjut, atau ketidakaktifan
- Eksplisit dalam kasus yang melibatkan data pribadi yang sangat sensitif, dengan persetujuan terpisah untuk pemrosesan sensitif
Seperti Apa CMP yang Patuh untuk Lalu Lintas Swiss
CMP yang dikonfigurasi untuk Swiss pada 2026 harus menampilkan:
- Spanduk yang disajikan dalam bahasa pengguna — Jerman, Prancis, Italia, atau Romansh — sebelum cookie non-esensial apa pun aktif, dengan pemilihan bahasa yang cocok dengan lokalisasi situs .ch bukan default ke bahasa Inggris
- Keunggulan visual yang sama untuk tindakan Terima, Tolak, dan Pengaturan — panduan FDPIC 2025 secara eksplisit mengkritik desain spanduk di mana Tolak secara visual dikurangi penekanannya relatif terhadap Terima
- Toggle granular per tujuan: analitik, iklan, personalisasi, transfer lintas batas, dan kategori yang sangat sensitif apa pun
- Alur persetujuan terpisah untuk pemrosesan data pribadi yang sangat sensitif, yang dijaga di balik tindakannya sendiri bukan digabungkan ke dalam persetujuan umum
- Mekanisme yang persisten dan mudah ditemukan untuk menarik persetujuan setelah pilihan awal, setara tingkat kesulitan dengan memberikan persetujuan
- Pemberitahuan privasi lengkap berbahasa Swiss yang mengungkapkan identitas pengontrol, pemroses, tujuan, penerima, periode penyimpanan, mekanisme transfer, dan jalur hak subjek data
Catatan Persetujuan
Pengontrol harus mempertahankan bukti persetujuan — siapa yang menyetujui, kapan, untuk tujuan spesifik apa, dan melalui antarmuka mana. Catatan persetujuan yang tidak memadai muncul dalam beberapa surat investigasi FDPIC pada 2025, dan log yang dapat diekspor dengan stempel waktu yang disimpan selama periode pembatasan berlaku adalah ekspektasi dasar.
Transfer Lintas Batas Setelah Penyelarasan Kelayakan 2024
Transfer data lintas batas adalah area revFADP di mana posisi Swiss paling jelas menyimpang dari, dan sedikit tertinggal dari, posisi EU. Penyelarasan 2024 mengikuti adopsi EU atas Kerangka Privasi Data EU-US menghasilkan Kerangka Privasi Data Swiss-US yang paralel, tetapi ruang lingkup dan kondisinya tidak identik.
Mekanisme Transfer yang Diakui
RevFADP dan rev-OPDP mengakui beberapa jalur:
- Keputusan kelayakan oleh Dewan Federal Swiss untuk negara-negara yang dinilai memberikan perlindungan yang memadai — daftar saat ini mencakup EEA, Inggris Raya, dan sejumlah yurisdiksi lainnya
- Kerangka Privasi Data Swiss-US untuk transfer ke organisasi AS yang tersertifikasi sendiri berdasarkan kerangka tersebut, yang menggantikan Swiss-US Privacy Shield setelah 2024
- Klausul kontrak standar yang diakui oleh FDPIC, termasuk EU SCC dengan addendum Swiss yang diterbitkan FDPIC
- Aturan perusahaan mengikat yang disetujui oleh FDPIC
- Pengecualian spesifik termasuk persetujuan eksplisit dengan pengungkapan yang memadai, kebutuhan kontrak, kepentingan vital, dan kepentingan publik substansial
Swiss-US DPF dalam Praktik
Swiss-US DPF mencakup transfer ke organisasi AS yang telah tersertifikasi sendiri dan mempertahankan sertifikasi mereka. Penerbit harus memverifikasi status sertifikasi aktif setiap vendor ad-tech atau analitik AS pada daftar DPF daripada mengandalkan pemeriksaan satu kali, karena sertifikasi yang kedaluwarsa tidak membatalkan transfer sebelumnya secara retroaktif tetapi memerlukan remediasi segera untuk aliran yang sedang berjalan. Di mana vendor tidak bersertifikat DPF, EU SCC dengan addendum Swiss FDPIC tetap menjadi alternatif yang berfungsi.
Pendekatan Praktis 2026
Bagi sebagian besar penerbit, pendekatan yang berfungsi adalah memetakan setiap aliran data lintas batas dari lalu lintas Swiss ke negara tujuan dan mekanismenya, melaksanakan SCC-dengan-addendum-Swiss yang sesuai di mana sertifikasi DPF tidak mencakup vendor, mendokumentasikan mekanisme dalam pemberitahuan privasi berbahasa Swiss, dan melengkapi dengan otorisasi berbasis persetujuan hanya di mana mekanisme terstruktur tidak sesuai secara bersih dengan pemrosesan.
Hak Subjek Data di Bawah revFADP
RevFADP memberikan serangkaian hak yang secara erat mengikuti GDPR, dengan beberapa kontur khas Swiss:
- Hak akses ke data pribadi yang dipegang oleh pengontrol, dengan akses pertama gratis per tahun dan batas pemulihan biaya untuk permintaan berikutnya atau berskala besar
- Hak rektifikasi data yang tidak akurat atau tidak lengkap
- Hak penghapusan
- Hak untuk membatasi pemrosesan
- Hak portabilitas data untuk data yang diproses dengan cara otomatis atas persetujuan atau kontrak
- Hak untuk menolak pemrosesan
- Hak untuk menarik persetujuan
- Hak untuk tidak menjadi subjek pengambilan keputusan individu otomatis yang menghasilkan efek hukum atau serupa yang signifikan, dengan perlindungan untuk peninjauan manual
- Hak untuk mengajukan keluhan ke FDPIC atau membawa proses perdata
Jadwal Respons
Pengontrol harus merespons permintaan subjek data dalam 30 hari berdasarkan kerangka umum, dapat diperpanjang dengan pemberitahuan beralasan dalam kasus yang kompleks. Kesiapan operasional untuk jendela ini — dengan alat berbahasa Swiss dan panduan operasional dalam bahasa Jerman, Prancis, dan Italia — adalah kesenjangan umum bagi penerbit asing yang telah menyetel program mereka ke satu bahasa Eropa.
Penalti dan Postur Penegakan pada 2026
Aktivitas penegakan FDPIC meningkat secara bermakna sepanjang 2024 dan 2025, dan 2026 melanjutkan trajektori daripada mencapai puncak.
Struktur Denda
Denda terutama bersifat pidana dan diarahkan pada individu yang disebutkan namanya — direktur, DPO, pemimpin kepatuhan — dengan batas CHF 250.000 per pelanggaran yang disengaja. Kategori yang paling sering dikutip dalam penegakan 2025 adalah: informasi tidak memadai kepada subjek data, pelanggaran kewajiban kehati-hatian dalam transfer lintas batas, kegagalan memenuhi kewajiban untuk memberitahukan pelanggaran data ke FDPIC dalam jangka waktu yang diperlukan, dan ketidakpatuhan dengan keputusan atau perintah FDPIC.
Jaminan Tanggung Jawab Pidana
Tidak seperti GDPR, jalur tanggung jawab pidana revFADP berlaku terhadap orang alami yang bertanggung jawab bukan hanya entitas hukum, yang telah mendorong restrukturisasi internal yang substansial dari alur kerja persetujuan pada 2025. Efek praktisnya adalah bahwa pengesahan kepatuhan dan jejak audit penting tidak hanya untuk eksposur organisasi tetapi juga untuk eksposur individu — dan DPO khususnya telah menyesuaikan praktik dokumentasi untuk mencerminkan hal ini.
Tema Penegakan
Tindakan FDPIC 2025 dan awal 2026 berkluster di sekitar: spanduk cookie yang mengurangi penekanan tindakan Tolak atau menggunakan kotak yang sudah ditandai, pemberitahuan privasi yang tidak tersedia dalam bahasa nasional Swiss pengguna, transfer lintas batas ke vendor AS yang tidak bersertifikat DPF dan tidak memiliki mekanisme alternatif, kegagalan merespons permintaan subjek data dalam jangka waktu 30 hari, dan pemberitahuan pelanggaran yang tertunda atau hilang. Penerbit asing telah dikutip dalam kelima kategori, dengan kategori desain spanduk dan transfer lintas batas memimpin daftar.
Daftar Periksa Audit untuk Lalu Lintas Swiss pada 2026
- Spanduk CMP disajikan dalam bahasa nasional Swiss pengguna (DE, FR, IT, atau RM) dengan Terima, Tolak, dan Pengaturan pada keunggulan visual yang sama
- Tujuan persetujuan bersifat granular dan memisahkan pemrosesan yang sangat sensitif di balik alur persetujuannya sendiri
- Pemberitahuan privasi tersedia dalam setiap bahasa Swiss yang relevan dengan pengungkapan penuh tentang pengontrol, pemroses, tujuan, penyimpanan, hak, dan jalur pengaduan FDPIC
- Setiap aliran lintas batas dari lalu lintas Swiss dipetakan ke tujuan dan mekanismenya — kelayakan, sertifikasi Swiss-US DPF, FDPIC-Swiss-addendum SCC, BCR, atau pengecualian yang terdokumentasi
- Status sertifikasi DPF vendor AS diverifikasi ulang pada daftar yang diterbitkan daripada diambil sekali dan dilupakan
- Log persetujuan diberi stempel waktu, dapat diekspor, dan disimpan selama periode pembatasan yang berlaku
- Alur kerja permintaan subjek data dapat merespons dalam 30 hari dari ujung ke ujung, dalam bahasa Jerman, Prancis, dan Italia
- Panduan pemberitahuan pelanggaran disetel ke jadwal revFADP dan terintegrasi dengan proses respons insiden internal
- Alur kerja persetujuan mencerminkan arsitektur tanggung jawab pidana pada individu, dengan pemberi persetujuan yang disebutkan namanya dan jejak dokumentasi
- Segmen audiens kategori sangat sensitif dijaga di balik persetujuan yang dikumpulkan secara eksplisit dan terpisah
- Klasifikasi cookie telah ditinjau dengan pandangan kritis terhadap cookie mana yang benar-benar memenuhi syarat sebagai benar-benar diperlukan berdasarkan panduan FDPIC
Pandangan 2026
Rezim perlindungan data Swiss telah matang dari undang-undang lama yang dihormati tetapi tenang menjadi instrumen kerja dengan spesifisitas operasional, kapasitas penegakan, dan arsitektur tanggung jawab pidana untuk membentuk prioritas kepatuhan secara mandiri daripada sekadar menumpang pada program EU. Penyelarasan kelayakan 2024 menutup kesenjangan struktural paling konsekuensial seputar transfer AS, dan postur penegakan FDPIC yang meningkat pada 2025 konsisten dengan regulator yang meningkatkan skala secara berkelanjutan daripada menjalankan kampanye satu kali. Bagi penerbit yang sudah menjalankan tumpukan persetujuan kelas GDPR, kesenjangan menuju kepatuhan revFADP lebih sempit daripada kesenjangan untuk yurisdiksi non-EU lainnya — tetapi nyata, dan terletak pada kekhususan: spanduk dan pemberitahuan berbahasa Swiss, pemetaan DPF-versus-SCC untuk setiap vendor AS, garis berbeda sedikit dari kategori yang sangat sensitif, cadence respons 30 hari dalam tiga atau empat bahasa, dan arsitektur tanggung jawab pidana yang menjadikan dokumentasi persetujuan individu artefak kepatuhan kelas satu bukan sekadar yang baik dimiliki. Kesenjangan dapat ditutup dalam beberapa minggu jika diprioritaskan, dan CPM penerbit Swiss membuat prioritasi secara ekonomis mudah. Penerbit yang diam-diam memperlakukan Swiss sebagai passthrough GDPR sepanjang 2024 menemukan 2026 jauh lebih menuntut, dan tren itu jelas.