Endurskoðað FADP Sviss árið 2026: Handbók útgefenda og auglýsenda um samþykki fyrir kökum, framkvæmd FDPIC og gagnasendingar á milli Sviss og ESB
Sviss endurskoðuð alríkislög um gagnavernd — revFADP, stundum kölluð nFADP í frönsku og þýsku efni — tóku gildi 1. september 2023 án margra ára aðlögunartímabils sem aðrar lögsögur veittu, og eyddi fyrstu átján mánuðunum í þeirri fasa sem Alríkisumboðsmaður gagnaverndar og upplýsinga (FDPIC) lýsti opinberlega sem eftirlitsskeiði. Því skeiði er lokið. Í gegnum 2025 opnaði FDPIC sýnilegt sett formlegra rannsókna gegn svissneskum og erlendum eftirlitsaðilum, gaf út fyrstu birtar ákvarðanir sínar samkvæmt endurskoðuðum lögum og samræmdi rekstrarviðmiðunarreglur sínar við GDPR að mestu leyti á meðan það varðveitti sérstakar svissnenskar stöður í tilteknum málum — einkum þvert á landamæri til Bandaríkjanna, hlutverk samþykkis fyrir ó-nauðsynlegar kökur og refsivarnarbakstoppinn sem situr hlið við hlið við stjórnsýslufyrirkomulagið. Við upphaf 2026 er revFADP ekki lengur hljóður systkini GDPR sem útgefendur gátu meðhöndlað sem sléttunarmistök á ESB-forriti sínu. Fyrir hvern útgefanda, auglýsanda eða vettvang sem vinnur úr persónuupplýsingum einstaklinga í Sviss — hvort sem er staðsettur í Sviss eða þjónar svissneskum umferð frá útlöndum — er 2026 árið sem revFADP verður sjálfstæð eftirlitsskyldugáð sem þarfnast eigin úttektar. Þessi handbók fer í gegnum revFADP eins og það er árið 2026, hvað samþykki fyrir kökum krefst í raun samkvæmt svissneskum lögum, hvernig þvert yfir landamæri sendingar virka eftir hæfnisjöfnunina 2024 og hvað snemma framkvæmdaþemu FDPIC gefa til kynna um 2026 forgangsröð.
Uppbygging revFADP árið 2026
RevFADP kom í stað gagnaverndarfyrirkomulags Sviss frá 1992 með ramma sem fylgir GDPR náið í flestum rekstrarlegum hliðum á meðan það varðveitir handfylli af sérstaklega svissneskum stöðum. Endurskoðaðar reglugerðir um gagnavernd (rev-OPDP) og reglugerðin um vottanir gagnaverndar, báðar í gildi samhliða revFADP, fylla rekstrarlegar smáatriðis.
Hvað breytingin breytti
Breytingin kynnti til sögunnar: skyldubundna brotskýrslu til FDPIC, skráningarkröfu um vinnslu fyrir flesta eftirlitsaðila, mat á áhrifum á gagnavernd fyrir áhættusamar vinnslur, sannlega ytri gildissvið svipað og 3. grein (2) GDPR, styrkt réttindi einstaklinga og refsivarnarbakstoppinn sem gildir um einstaklinga en ekki aðeins eftirlitssamtakið. Skilgreining persónuupplýsinga, grundvöllur löglegrar vinnslu og uppbygging réttinda einstaklinga eru öll náið samræmd GDPR, sem einfaldlegar verulega svissnenska samræmi fyrir útgefendur sem þegar reka GDPR-forrit — en eyðir því ekki.
Hverjir eru regluaðilar
RevFADP gildir um gagnavinnslu í Sviss og um vinnslu utan Sviss sem hefur áhrif á einstaklinga í Sviss. Erlendir útgefendur sem þjóna svissneskri umferð í gegnum staðbundnar síður, .ch lén, þýsk-frönsk-ítölsk-rómansk efni stillt á svissnenskt áhorfendur eða forritlægan birgðabúnað keyptan gegn svissneskum IP-tölum falla venjulega undir gildissvið, og FDPIC hefur staðfest ytri gildissviðstúlkunina í leiðbeiningauppfærslum 2025.
Stjórnsýslubætur og refsilagaleg öryggistara
Frávik revFADP frá GDPR sem mest er fjallað um er að refsingafyrirkomulag þess er fyrst og fremst refsilegt en ekki stjórnsýslulegt. Einstaklingsbætur — venjulega á ábyrgum einstaklingum eins og stjórnendum, gagnaverndarfulltrúum eða samræmdar leiðtogum — geta náð allt að CHF 250.000 á brot fyrir viljandi brot, með samhliða refsivarnarbakstoppi fyrir alvarlegustu hegðunina. Hámarksþakið er lægra en fjórum-prósent-af-veltu þakið GDPR í hlutlægu tilviki, en stefna ábyrgðarinnar — á nafngreindum einstaklingi frekar en aðeins samtakinu — breytir áhættuútreikningnum í reynd. Nokkrir útgefendur hafa endurskipulagt innri samþykktarverkferli árið 2025 sérstaklega til að dreifa útfærslu.
Hvað telst persónuupplýsingar samkvæmt revFADP
Skilgreining revFADP á persónuupplýsingum fylgir GDPR náið. Persónuupplýsingar eru upplýsingar sem tengjast auðþekktu eða auðþekkjanlegum einstaklingi og FDPIC hefur stöðugt meðhöndlað kökur, auglýsingaauðkenni, IP-tölur, fingrafar tækja og hegðunarsnið sem persónuupplýsingar þegar þær má tengja við einstakling beint eða með samsetningu við aðrar upplýsingar.
Sérstaklega viðkvæmar persónuupplýsingar
RevFADP tilgreinir flokk sem kallast sérstaklega viðkvæmar persónuupplýsingar sem er nokkuð víðara en sérflokkar GDPR. Það felur í sér: gögn um trúarlegar, heimspekilegar, pólitískar eða stéttarfélagsleg skoðanir og starfsemi, heilsugögn, gögn um nánar innanhússvið eða kynþátt eða þjóðernisuppruna, erfðafræðileg og líffræðileg gögn sem auðþekkja einstakling, gögn um stjórnsýslu- og sakamálaferli eða refsingar og gögn um félagslegar aðgerðir. Vinnsla sérstaklega viðkvæmra persónuupplýsinga kallar fram auknar kröfur um samþykki og gagnsæi.
Hvers vegna þetta skiptir máli fyrir kökur
Kaka sem geymir venjulegt auglýsingaauðkenni er venjulegar persónuupplýsingar. Kaka sem gefur áhorfendahluta sem snertir sérstaklega viðkvæma listann — heilsuáhugi, pólitískar tilhneigingar, trúarleg tengsl — er vinnsla sérstaklega viðkvæmra persónuupplýsinga og krefst skýrs samþykkis, aðskilið frá almennri auglýsingasamþykkisflæði. Svissnenskt tungumál markhópsmiðun sem skarast þennan lista ætti að vera skoðuð sérstaklega gagnvart mörkum, sem eru dregnar örlítið öðruvísi en sérflokkslínan GDPR.
Samþykki fyrir kökum samkvæmt revFADP árið 2026
RevFADP leyfir nokkrar lögmætar grundvöll fyrir vinnslu og ólíkt ePrivacy-tilskipunin eins og beitt í ESB-aðildarríkjum setja svissnensk lög ekki lagasamþykki-eingöngu grunnlínu fyrir ó-nauðsynlegar kökur. Í reynd hefur þó FDPIC leiðbeiningar 2024 og 2025 og nýlegar framkvæmdarákvarðanir sameinast í stöðu sem er mjög nálægt ESB-grunnlínunni fyrir kökur bundnar við auglýsingar, greiningu og þvert á samhengis-snið.
Rekstrarlegt staðsetning FDPIC
Birt staðsetning FDPIC er að ó-nauðsynlegar kökur — þar á meðal auglýsingar, endurmiðun, þvert á síður greiningu og sérsniðning — krefjast fyrirfram, upplýsts, frjálst gefins og sérstaks samþykkis sem er tekið áður en kakan kviknar. Nauðsynlegar kökur og kökur sem styðja þjónustu sem notandinn hefur skýrt óskað eftir má setja á grundvelli lögmætra hagsmuna eða grundvelli samningsstöðu án fyrirfram samþykkisbeiðni, en byrðin við að flokka köku sem einlægt nauðsynlega liggur hjá eftirlitsaðilanum og hefur verið mótmælt í nokkrum kvörtunum 2025.
Þáttur gilts samþykkis
Samþykki samkvæmt revFADP verður að vera:
- Gefið frjálslega — án þvingunar, böndunar við nauðsynlega þjónustuveitu eða köku-vegg sem skilyrðir aðgang að kjarnaefni á ó-nauðsynlega-köku samþykkt
- Upplýst — einstaklingurin skilur hvaða gögn eru unnin, af hverjum, í hvaða tilgangi og við hvaða viðtakendur
- Sérstakt — bundið við skýrar auðþekktar vinnslutilgangi frekar en regnhlífarsamþykki
- Ótvírætt — lýst yfir í gegnum skýrar staðfestingaraðgerð, ekki ályktað af flettingu, áframhaldandi vafstri eða óvirkni
- Skýrt í tilvikum sem fela í sér sérstaklega viðkvæmar persónuupplýsingar, með sérstakt samþykki fyrir viðkvæma vinnslu
Hvernig lítir út lögmætt CMP fyrir svissnenska umferð
CMP stillt fyrir Sviss árið 2026 ætti að kynna:
- Borði sem er þjónað á tungumáli notandans — þýsku, frönsku, ítölsku eða rómönsku — áður en einhver ó-nauðsynleg kaka kviknar, með tungumálaval sem passar við .ch staðsetningu síðunnar frekar en sjálfgefið til ensku
- Jafnt sjónrænt áherslu fyrir Samþykkja, Hafna og Stillingar aðgerðir — FDPIC leiðbeiningar 2025 gagnrýna sérstaklega borðahönnun þar sem Hafna er sjónrænt minnkað miðað við Samþykkja
- Nákvæmar rofar á tilgang: greiningar, auglýsingar, sérsniðning, þvert á landamæri flutningur og öllum sérstaklega viðkvæmum flokkum
- Sérstakt samþykkisflæði fyrir vinnslu sérstaklega viðkvæmra persónuupplýsinga, girt á bak við eigin aðgerðina frekar en bundið inn í almennt samþykki
- Þrálát, auðfundið leið til að draga til baka samþykki eftir upphaflega valið, með jafnri þyngd og að gefa samþykki
- Fullt svissnenskt tungumál friðhelgistilkynning sem uppgetur auðkenni eftirlitsaðila, vinnsluaðila, tilgang, viðtakendur, geymslutímabil, flutningskerfi og göng réttinda einstaklingsins
Samþykki skrár
Eftirlitsaðilar verða að viðhalda sönnunum um samþykki — hverjir samþykktu, hvenær, hvaða sérstakar tilgangar og í gegnum hvaða viðmót. Ófullnægjandi samþyknisskrár komu fram í nokkrum rannsóknarbréfum FDPIC árið 2025 og tímasettir flutanlegir annálar sem geymd eru fyrir gildandi fyrningarfrest eru grunnkrafa.
Þvert yfir landamæri sendingar eftir hæfnisjöfnunina 2024
Þvert yfir landamæri gagnaflutningur er revFADP svæðið þar sem svissnenska staðan víkur skýrast frá og dregur örlítið á eftir ESB-stöðunni. Jöfnunin 2024 í kjölfar samþykkis ESB á ESB-US gagnaverndarramma framleiddi samsvarandi svissneskt-bandarískt gagnaverndarramma en gildissvið hans og skilyrði eru ekki eins.
Viðurkenndir flutningsmeikar
RevFADP og rev-OPDP viðurkenna nokkrar leiðir:
- Hæfniákvarðanir frá svissneska alríkisráðinu fyrir lönd sem þykja veita fullnægjandi vernd — núverandi listi felur í sér EEA, Bretland og nokkrar aðrar lögsögur
- Svissnenskt-bandarísk gagnaverndarrammann fyrir flutning til bandarískra samtaka sem sjálfskildu sig undir rammanum, sem kom í stað svissneska-bandaríska friðhelgisskildsins eftir 2024
- Staðlaðar samningsskilmálar sem FDPIC viðurkennir, þar á meðal ESB SCC með svissneskum viðbót sem FDPIC birti
- Bindandi samstæðureglur sem FDPIC samþykkti
- Sérstakar undanþágur þar á meðal skýrt samþykki með fullnægjandi uppljóstrun, samningsnauðsyn, lífræn hagsmuni og verulegir almannahagsmunir
Svissneska-bandaríska DPF í reynd
Svissneska-bandaríska DPF nær yfir flutning til bandarískra samtaka sem hafa sjálfskráð sig og haldið við vottun sína. Útgefendur ættu að staðfesta virkni vottunarstöðu hvers bandarísks auglýsingatækni- eða greiningarsala á DPF-listanum frekar en að reiða sig á einstaka athugun vegna þess að útrunnin vottun gerir ekki eldri flutning ógilda afturvirkt en krefst tafarlausrar úrbótar vegna áframhaldandi flæðis. Þar sem söluaðili er ekki DPF-vottaður eru ESB SCC-ar með svissnenska viðbót FDPIC enn virk valkosturinn.
Hagnýt 2026 nálgunin
Fyrir flesta útgefendur er virka nálgunin að kortleggja hvern þvert yfir landamæri gagnaflæði frá svissneskri umferð á ákvörðunarlandi og mekanisma, framkvæma viðeigandi SCC-ar-með-svissneskum-viðbót þar sem DPF-vottun nær ekki yfir söluaðilann, skjalfesta mekanismann í svissnenskri tungumáll friðhelgistilkynningu og bæta við samþykki-byggðri heimild aðeins þar sem skipulögð mekanismar passa ekki vel við vinnsluna.
Réttindi einstaklinga samkvæmt revFADP
RevFADP veitir sett af réttindum sem fylgja GDPR náið með nokkrum svissneskum sérþáttum:
- Réttur til aðgangs að persónuupplýsingum í höndum eftirlitsaðila, með frjálsum fyrsta aðgangi á ári og kostnaðarbætur þak fyrir síðari eða umfangsmiklar beiðnir
- Réttur til leiðréttingar á nákvæmum eða ófullnægjandi gögnum
- Réttur til eyðingar
- Réttur til að takmarka vinnslu
- Réttur til gagnaflutningsmöguleika fyrir gögn unnin með sjálfvirkum hætti á grundvelli samþykkis eða samnings
- Réttur til að andmæla vinnslu
- Réttur til að draga til baka samþykki
- Réttur til að vera ekki undirlagður sjálfvirku einstaklingsbundnu ákvarðanatöku sem framleiðir lögleg eða svipuð verulega áhrif, með vörn fyrir handvirka endurskoðun
- Réttur til að leggja fram kvörtun hjá FDPIC eða höfða einkamál
Svarstímar
Eftirlitsaðilar verða að svara beiðnum einstaklinga innan 30 daga samkvæmt almenna ramma, framlengjanlegt með rökstuddri tilkynningu í flóknum málum. Rekstrarþreki fyrir þetta glugga — með svissnenskri tungumál tækjum og keyrsluhandbókum á þýsku, frönsku og ítölsku — er algengt bil hjá erlendum útgefendum sem hafa stillt forrit sitt á eitt evrópskt tungumál.
Viðurlög og framkvæmdarlegt framhorf árið 2026
Framkvæmdarstarfsemi FDPIC stigmagnaðist verulega í gegnum 2024 og 2025 og 2026 er að halda áfram ferill frekar en að þoppast.
Sektaruppbygging
Sektir eru fyrst og fremst refsilegar að eðli til og beint á nafngreinda einstaklinga — stjórnendur, DPO-ar, samræmdar leiðtogar — með þak upp að CHF 250.000 á vísvitandi brot. Algengast tilvitnuðu flokkar í framkvæmd 2025 voru: ófullnægjandi upplýsingar til einstaklinga, brot á skyldu þess sem gætir í þvert á landamæri flutningum, bilun í að uppfylla skyldu til að tilkynna gagnabrot til FDPIC innan nauðsynlegs glugga og óhlýðni við FDPIC ákvarðanir eða skipanir.
Refsivarnarbakstoppurinn
Ólíkt GDPR fer refsivarnarleiðin revFADP gegn ábyrgum einstaklingi frekar en aðeins lögaðilanum sem hefur kallað fram verulegar innri endurskipulagsaðgerðir samþykktarverkferla árið 2025. Hagnýtar áhrif eru þau að samræmdarvottorð og endurskoðunarferlar skipta máli ekki aðeins fyrir útfærslu samtaksins heldur einnig útfærslu einstaklings — og DPO-ar sérstaklega hafa lagað skjalaðferð til að endurspegla þetta.
Framkvæmdarþemu
FDPIC 2025 og snemma 2026 aðgerðir klúngrast um: köku borða sem gera Hafna aðgerðina lítilvæga eða nota fyrirfram hakaðar reiti, friðhelgistilkynningar sem eru ekki fáanlegar á svissnesku þjóðtungumáli notandans, þvert yfir landamæri flutningur til bandarískra sala sem eru ekki DPF-vottaðir og skortir annan mekanisma, bilun í að svara beiðnum einstaklinga innan 30 daga gluggans og seinkað eða vantar gagnabrotskýrslur. Erlendir útgefendur hafa verið tilvitnuðir í öllum fimm flokkum, þar sem borðahönnunar- og þvert yfir landamæri flutningsflokkar leiðir skrána.
Úttektarlisti fyrir svissnenska umferð árið 2026
- CMP borði er þjónað á svissneska þjóðtungumáli notandans (DE, FR, IT eða RM) með Samþykkja, Hafna og Stillingar á jöfnu sjónrænu áherslu
- Samþykkis tilgangar eru nákvæmar og aðskilja sérstaklega viðkvæma vinnslu á bak við eigin samþykkisflæði
- Friðhelgistilkynning er fáanleg á hverju viðkomandi svissneskum tungumáli með fullum uppljóstrunum um eftirlitsaðila, vinnsluaðila, tilgang, geymslu, réttindi og kvörtunarleið FDPIC
- Hvert þvert yfir landamæri flæði frá svissneskri umferð er kortlagt á ákvörðunarland sitt og mekanisma — hæfni, svissnenskt-bandarískt DPF vottun, FDPIC-svissnenskt-viðbót SCC-ar, BCR-ar eða skjalfest undanþága
- DPF-vottunarstaða bandarísks söluaðila er staðfest á birti listanum frekar en tekin einu sinni og gleymt
- Samþykkisskrár eru tímasettar, flutningshæfar og geymdar til gildandi fyrningarfrist
- Verkferll beiðni einstaklinga getur svarað innan 30 daga frá enda til enda, á þýsku, frönsku og ítölsku
- Gagnabrotskýrslur leiðbeiningar eru stilltar á tímaáætlanir revFADP og samþættar við innri atviksviðbrögðsferli
- Samþykktarverkferlar endurspegla refsivarnarbakstoppinn-við-einstakling arkitektúr, með nafngreindum samþykktaraðilum og skjalferil
- Sérstaklega viðkvæmur flokks áhorfendahlutir eru gjörðir á bak við skýrar, sér teknar samþykki
- Köku flokkun hefur verið endurskoðuð með gagnrýnum huga gagnvart hvaða kökur raunverulega ganga sem einlægt nauðsynlegar samkvæmt leiðbeiningum FDPIC
Horfur 2026
Gagnaverndarfyrirkomulag Sviss hefur þroskast frá virtu en hljóðum eldra lagi í virkt tæki með rekstrarlegt sérþekkingu, framkvæmdargetu og refsilagalegu arkitektúrinn til að móta samræmi forgangsröð á eigin forsendum frekar en að fara aðeins á hjól ESB-forritsins. Hæfnisjöfnunin 2024 lokaði verulegasta skipulægar bilun um bandaríska flutninginn og stigmagnandi framkvæmdarstöðu FDPIC 2025 er í samræmi við eftirlitsmann sem víkkar sér upp á sjálfbærum hætti frekar en að keyra eins-og-eitt herferð. Fyrir útgefendur sem þegar reka GDPR-gæða samþykki stafla er bilið við revFADP samræmi þrengra en bilið fyrir aðrar lögsögur sem eru ekki ESB — en það er raunverulegt og lifir í sérþáttum: svissnenskar tungumáll borðar og tilkynningar, DPF-á-móti-SCC kortlagning fyrir hvern bandarískan sölumann, ögn mismunandi lína sérstaklega viðkvæms flokksins, 30 daga svarriðmið á þremur eða fjórum tungumálum og refsivarnarlegt arkitektúr sem gerir einstaklingsbundna samþykktarskjölun að fyrsta flokks samræmdargrip frekar en þykkt-að-hafa. Bilið má loka á vikum ef gefið forgang og svissnenskt útgefandi CPM gerir forgangsröðunina hagræna vandræðalausa. Útgefendur sem hljóðlega fóru með Sviss sem GDPR-gegndrátt í gegnum 2024 eru að finna 2026 verulega kröfuharðara og stefnan er skýr.