2026 жылғы revFADP-тің құрылымы

RevFADP Швейцарияның 1992 жылғы деректерді қорғау режимін жедел аспектілерінің көпшілігінде GDPR-ді мұқият ұстана отырып, бірақ бірнеше ерекше швейцариялық ұстанымды сақтай отырып жаңа шеңберге алмастырды. Деректерді қорғау туралы қайта қаралған жарлық (rev-OPDP) және Деректерді қорғауды сертификаттау туралы жарлық, екеуі де revFADP-пен бірге күшіне ене отырып, жедел мәліметтерді толтырады.

Қайта қарау нені өзгертті

Қайта қарау мыналарды енгізді: FDPIC-ке міндетті бұзушылық туралы хабарлау, контроллерлердің көпшілігі үшін өңдеу жазбаларына қойылатын талап, жоғары тәуекелді өңдеу үшін деректерді қорғауға әсерін бағалау, GDPR-дің 3(2)-бабына ұқсас шын мәніндегі аумақтан тыс қолданылу аясы, деректер субъектісінің нығайтылған құқықтары, және тек бақылаушы ұйымға ғана емес, тұлғаларға да қолданылатын қылмыстық жауаптылық резервтік механизмі. Дербес деректердің анықтамасы, заңды өңдеудің негіздері және деректер субъектісінің құқықтары құрылымы барлығы GDPR-мен тығыз үйлестірілген, бұл GDPR бағдарламасын жүргізіп жатқан баспагерлер үшін швейцариялық сәйкестікті айтарлықтай жеңілдетеді — бірақ оны жоймайды.

Кімдер реттеледі

RevFADP Швейцариядағы деректерді өңдеуге және Швейцариядан тыс жерде Швейцариядағы тұлғаларға әсер ететін өңдеуге қолданылады. Жергілікті сайттар, .ch домені, швейцариялық аудиторияға бейімделген неміс-француз-итальян-романш мазмұны немесе швейцариялық IP-терге қарсы сатып алынған бағдарламалық инвентарь арқылы швейцариялық трафикке қызмет көрсететін шетелдік баспагерлер, әдетте, қолданылу аясына кіреді, және FDPIC аумақтан тыс түсіндіруді 2025 жылғы нұсқаулық жаңартуларында растады.

Әкімшілік айыппұлдар және қылмыстық резервтік механизм

RevFADP-тің GDPR-ден ең жиі талқыланатын айырмашылығы — оның санкция архитектурасы негізінен әкімшілік емес, қылмыстық сипатта. Жеке айыппұлдар — әдетте, директорлар, деректерді қорғау жөніндегі офицерлер немесе сәйкестік жетекшілері сияқты жауапты жеке тұлғаларға — қасақана бұзушылықтар үшін бір бұзушылыққа CHF 250 000-ға дейін жетуі мүмкін, ең ауыр әрекеттер үшін параллель қылмыстық жауаптылықпен бірге. Жоғарғы шек абсолютті мәнде GDPR-дің айналым жиырма пайызының шегінен төмен, бірақ жауаптылықтың бағыты — тек ұйымға ғана емес, аталған тұлғаға қарай — іс жүзінде тәуекелді есептеуді өзгертеді. Бірнеше баспагерлер 2025 жылы тәуекелді бөлу мақсатында ішкі мақұлдау жұмыс процестерін арнайы қайта құрды.

RevFADP бойынша дербес деректер нені қамтиды

RevFADP-тің дербес деректер анықтамасы GDPR-ді мұқият ұстанады. Дербес деректер — анықталған немесе анықталуы мүмкін тұлғаға қатысты ақпарат, ал FDPIC cookie-лерді, жарнамалық идентификаторларды, IP-мекенжайларды, құрылғы саусақ іздерін және мінез-құлық профильдерін жеке тұлғамен тікелей немесе басқа ақпаратпен бірлестіру арқылы байланыстыруға болатын кезде оларды дербес деректер ретінде тұрақты қарастырды.

Ерекше сезімтал дербес деректер

RevFADP GDPR-дің арнайы санаттарынан біршама кең болатын ерекше сезімтал дербес деректер деп аталатын санатты белгілейді. Оған мыналар кіреді: діни, философиялық, саяси немесе кәсіподақтық пікірлер мен іс-шаралар туралы деректер, денсаулық деректері, жеке аяға немесе нәсілдік немесе этникалық текке қатысты деректер, адамды бірегей анықтайтын генетикалық және биометриялық деректер, әкімшілік және қылмыстық іс жүргізу немесе санкциялар туралы деректер, және әлеуметтік көмек шаралары туралы деректер. Ерекше сезімтал дербес деректерді өңдеу келісімге және ашықтыққа қойылатын жоғары талаптарды тудырады.

Бұл cookie үшін неге маңызды

Кәдімгі жарнамалық идентификаторды сақтайтын cookie — кәдімгі дербес деректер. Ерекше сезімтал тізімге жататын аудитория сегментін — денсаулықка деген қызығушылық, саяси бейімділік, діни тиесілілік — тамақтандыратын cookie ерекше сезімтал дербес деректерді өңдеу болып саналады және жалпы жарнамалық келісім ағынынан бөлек, нақты келісімді қажет етеді. Бұл тізіммен қабаттасатын швейцариялық тілдегі аудитория таргетингі GDPR-дің арнайы санатының шегінен аздап өзгеше сызылған шекараға қатысты арнайы тексерілуге тиіс.

2026 жылы revFADP бойынша cookie-ге келісім

RevFADP өңдеудің бірнеше заңды негізін рұқсат етеді, және ЕО мүше мемлекеттерінде қолданылатын ePrivacy директивасынан айырмашылығы, швейцариялық заң маңызды емес cookie-лер үшін тек заңи келісімнің базалық желісін белгілемейді. Алайда іс жүзінде FDPIC-тің 2024 және 2025 жылдарғы нұсқаулығы мен соңғы орындау шешімдері жарнама, аналитика және кросс-контекстік профильдеумен байланысты cookie-лер үшін ЕО базалық желісіне өте жақын ұстанымға жинақталды.

FDPIC-тің жедел ұстанымы

FDPIC-тің жарияланған ұстанымы: маңызды емес cookie-лер — жарнамалық, қайта таргетинг, сайттар аралық аналитика және жекелендіруді қоса — cookie іске қосылмас бұрын алынған алдын ала, хабарланған, еркін берілген және нақты келісімді қажет етеді. Қатаң қажетті cookie-лер мен пайдаланушы нақты сұраған қызметті қолдайтын cookie-лер алдын ала келісім сұрауысыз заңды мүдде немесе шарт орындалуы негізінде орнатылуы мүмкін, бірақ cookie-ні қатаң қажет деп жіктеу ауыртпалығы контроллерге жатады және 2025 жылғы бірнеше шағымда дауланды.

Жарамды келісімнің элементтері

RevFADP бойынша келісім мынадай болуы керек:

• Еркін берілген — мәжбүрлеусіз, маңызды қызметті ұсынумен байланыстырусыз немесе маңызды емес cookie-ні қабылдауды негізгі контентке қол жеткізудің шарты ретінде белгілейтін cookie қабырғасынсыз
• Хабарланған — деректер субъектісі қандай деректер өңделетінін, кімнің, қандай мақсатпен және қандай алушылармен өңдейтінін түсінеді
• Нақты — жан-жақты келісімнің орнына нақты анықталған өңдеу мақсаттарымен байланысты
• Екіұштылықсыз — айқын растайтын әрекет арқылы білдірілген, айналдырудан, шолуды жалғастырудан немесе белсенді еместіктен қорытынды жасалмаған
• Ерекше сезімтал дербес деректерді қамтитын жағдайларда Нақты — сезімтал өңдеуге жеке келісіммен

Швейцариялық трафик үшін сәйкес CMP қандай болады

2026 жылы Швейцарияға конфигурацияланған CMP мынаны ұсынуы керек:

• Маңызды емес кез келген cookie іске қосылмас бұрын пайдаланушының тілінде — неміс, француз, итальян немесе романш тілінде — берілген баннер, тіл таңдауы ағылшын тілін әдепкі ету орнына .ch сайтының жергілікті тіліне сәйкес
• Қабылдау, Бас тарту және Параметрлер әрекеттеріне тең визуалды айқындылық — FDPIC-тің 2025 жылғы нұсқаулығы Қабылдауға қатысты Бас тарту визуалды тұрғыдан азайтылған баннер дизайндарын нақты сынайды
• Мақсат бойынша егжей-тегжейлі ауыстырып-қосқыштар: аналитика, жарнама, жекелендіру, шекаралық аударым және ерекше сезімтал санаттар
• Ерекше сезімтал дербес деректерді кез келген өңдеуге жеке келісім ағыны, жалпы келісімге байланысты орнына өз әрекетінің артында қорғалған
• Бастапқы таңдаудан кейін келісімді қайтаруға арналған тұрақты, оңай табылатын механизм, келісім беруімен тең үйкеліспен
• Бақылаушының жеке басын, процессорларды, мақсаттарды, алушыларды, сақтау мерзімдерін, аударым механизмдерін және деректер субъектісінің құқықтары жолын жария ететін толық швейцариялық тілдегі құпиялылық туралы ескерту

Келісім жазбалары

Контроллерлер келісімнің дәлелін — кім, қашан, қандай нақты мақсаттарға және қандай интерфейс арқылы келісім бергенін — сақтауы керек. Жеткіліксіз келісім жазбалары 2025 жылы бірнеше FDPIC тергеу хаттарында орын алды, және қолданылатын ескіру мерзіміне сақталатын уақыт белгісімен экспорттауға болатын журналдар базалық күтілім болып табылады.

2024 жылғы сәйкестікті қайта үйлестіруден кейінгі шекаралық аударымдар

Шекаралық деректер аударымдары — FDPIC ұстанымы ЕО ұстанымынан ең айқын алшақтайтын және оған біршама артта қалатын revFADP саласы. ЕО-АҚШ деректердің конфиденциалдығы шеңберін ЕО қабылдауынан кейінгі 2024 жылғы қайта үйлестіру параллельді Швейцария-АҚШ деректердің конфиденциалдығы шеңберін тудырды, бірақ оның ауқымы мен шарттары бірдей емес.

Танылған аударым механизмдері

RevFADP және rev-OPDP бірнеше жолды таниды:

• Жеткілікті қорғауды қамтамасыз ету деп бағаланған елдерге арналған Швейцария Федералдық кеңесінің сәйкестік туралы шешімдері — қазіргі тізімге EEA, Ұлыбритания және бірнеше басқа юрисдикция кіреді
• 2024 жылдан кейін Швейцария-АҚШ конфиденциалдық қалқанын алмастырған шеңбер бойынша өзін-өзі сертификаттаған АҚШ ұйымдарына аударымдар үшін Швейцария-АҚШ деректердің конфиденциалдығы шеңбері
• FDPIC жариялаған швейцариялық қосымшасы бар ЕО SCС-терін қоса, FDPIC мойындайтын стандартты келісімшарт тармақтары
• FDPIC мақұлдаған міндетті корпоративтік ережелер
• Жеткілікті жариялаумен нақты келісімді, шарттың қажеттілігін, өмірлік маңызды мүддені және елеулі қоғамдық мүддені қамтитын арнайы ерекшеліктер

Іс жүзінде Швейцария-АҚШ DPF

Швейцария-АҚШ DPF өзін-өзі сертификаттаған және сертификатын сақтаған АҚШ ұйымдарына аударымдарды қамтиды. Баспагерлер жарияланған тізімде DPF тізіміне бір рет тексерудің орнына, АҚШ-тың әрбір жарнамалық технологиялар немесе аналитикалық сатушысының белсенді сертификат мәртебесін тексеруі керек, өйткені мерзімі өткен сертификаттар бұрынғы аударымдарды кері тәртіпте жарамсыз деп таппайды, бірақ жалғасып жатқан ағындар үшін дереу жөндеуді қажет етеді. Сатушы DPF-сертификатталмаған жерде, FDPIC-тің швейцариялық қосымшасы бар ЕО SCC-тері жұмыс істейтін балама болып қала береді.

2026 жылғы практикалық тәсіл

Баспагерлердің көпшілігі үшін жұмыс тәсілі — швейцариялық трафиктен келетін шекаралық деректердің әрбір ағынын оның тағайындалу елі мен механизміне дейін бейнелеу, DPF сертификаты сатушыны қамтымайтын жерде тиісті SCC-тер-швейцариялық-қосымшамен орындау, механизмді швейцариялық тілдегі құпиялылық туралы ескертуде құжаттау, және тек структурасы бойынша механизмдер өңдеуге сай келмейтін жерде ғана келісімге негізделген авторизациямен толықтыру.

RevFADP бойынша деректер субъектісінің құқықтары

RevFADP GDPR-ді мұқият ұстана отырып, бірнеше швейцариялық ерекшеліктермен құқықтар жиынтығын береді:

• Контроллер ұстайтын дербес деректерге қол жеткізу құқығы, жылына бір рет тегін қол жеткізумен және кейінгі немесе ауқымды сұраулар үшін шығын өтеу шегімен
• Дұрыс емес немесе толық емес деректерді түзету құқығы
• Жою құқығы
• Өңдеуді шектеу құқығы
• Келісім немесе шарт бойынша автоматтандырылған тәсілдермен өңделген деректер үшін деректерді тасымалдау құқығы
• Өңдеуге қарсы болу құқығы
• Келісімнен бас тарту құқығы
• Заңдық немесе осыған ұқсас маңызды салдарлар туғызатын автоматтандырылған жеке шешім қабылдаудың субъектісі болмау құқығы, қолмен қарауға кепілдікпен
• FDPIC-ке шағым беру немесе азаматтық іс жүргізу қоздыру құқығы

Жауап беру мерзімдері

Контроллерлер жалпы шеңбер бойынша деректер субъектісінің сұрауларына 30 күн ішінде жауап беруі керек, күрделі жағдайларда негізделген хабарламамен ұзартылуы мүмкін. Бұл терезеге арналған жедел дайындық — неміс, француз және итальян тілдерінде швейцариялық тілдегі құралдар мен нұсқаулықтармен — өз бағдарламасын бір еуропалық тілге реттеген шетелдік баспагерлер үшін жалпы алшақтық болып табылады.

2026 жылғы айыппұлдар және орындау позициясы

FDPIC-тің орындау қызметі 2024 және 2025 жылдар бойы айтарлықтай өрлеп, 2026 жылы стагнациялаудың орнына траекторияны жалғастырды.

Айыппұл құрылымы

Айыппұлдар негізінен қылмыстық сипатта және аталған тұлғаларға — директорларға, DPO-ларға, сәйкестік жетекшілеріне — қасақана бұзушылық үшін CHF 250 000 шегімен бағытталған. 2025 жылғы орындауда жиі аталған санаттар: деректер субъектілеріне жеткіліксіз ақпарат беру, шекаралық аударымдарда тиісті мұқияттылық міндетін бұзу, қажетті терезе ішінде деректер бұзушылығы туралы FDPIC-ке хабарлау міндетін орындамау, және FDPIC шешімдері немесе бұйрықтарына сай келмеу.

Қылмыстық жауаптылық резервтік механизмі

GDPR-ден айырмашылығы, revFADP-тің қылмыстық жауаптылық жолы тек заңды тұлғаға ғана емес, жауапты жеке тұлғаға қарсы бағытталған, бұл 2025 жылы мақұлдау жұмыс процестерін ішкі елеулі қайта құруға итермеледі. Практикалық нәтиже — сәйкестікті растаулар мен аудит iздері тек ұйымның ғана емес, тұлғаның да ашықтығы үшін маңызды, ал DPO-лар атап айтқанда осыны ескеру үшін құжаттама тәжірибесін реттеді.

Орындау тақырыптары

FDPIC-тің 2025 жылғы және 2026 жылдың басындағы әрекеттері мынадай тақырыптар айналасында топтасқан: Бас тарту әрекетін визуалды тұрғыдан азайтатын немесе алдын ала белгіленген жолдарды пайдаланатын cookie баннерлері, пайдаланушының швейцариялық ұлттық тілінде қолжетімді емес құпиялылық ескертулері, DPF-сертификатталмаған және балама механизмі жоқ АҚШ сатушыларына шекаралық аударымдар, деректер субъектісінің сұрауларына 30 күндік терезе ішінде жауап берместігі, және кешіктірілген немесе жоқ бұзушылық туралы хабарламалар. Шетелдік баспагерлер барлық бес санатта аталды, баннер дизайны және шекаралық аударым санаттары тізімдің алдыңғы қатарында.

2026 жылғы швейцариялық трафик үшін аудит тексеру тізімі

• CMP баннері пайдаланушының швейцариялық ұлттық тілінде (DE, FR, IT немесе RM) ұсынылады, Қабылдау, Бас тарту және Параметрлер тең визуалды айқындылықта
• Келісім мақсаттары егжей-тегжейлі және ерекше сезімтал өңдеу өз келісім ағынының артында бөлек орналасқан
• Құпиялылық туралы ескерту бақылаушы, процессорлар, мақсаттар, сақтау, құқықтар және FDPIC шағым жолы туралы толық жариялаулармен тиісті швейцариялық тілдердің әрқайсысында қол жетімді
• Швейцариялық трафиктен келетін шекаралық ағынның әрқайсысы оның тағайындалуы мен механизміне — сәйкестік, Швейцария-АҚШ DPF сертификаты, FDPIC-швейцариялық-қосымша SCC-тер, BCR-лар немесе құжатталған ерекшелік — бейнеленген
• АҚШ сатушысының DPF сертификаты мәртебесі бір рет тексеріліп ұмытылудың орнына жарияланған тізімде қайта тексерілген
• Келісім журналдары уақыт белгісімен экспорттауға болатын және қолданылатын ескіру мерзіміне сақталған
• Деректер субъектісінің сұрауы жұмыс процесі неміс, француз және итальян тілдерінде бастан-аяқ 30 күн ішінде жауап бере алады
• Бұзушылық туралы хабарлама нұсқаулығы revFADP мерзімдеріне реттелген және ішкі инцидентке ден қою процесімен біріктірілген
• Мақұлдау жұмыс процестері аталған мақұлдаушылар мен құжаттама ізімен тұлғаға қарсы қылмыстық жауаптылық архитектурасын көрсетеді
• Ерекше сезімтал санаттық аудитория сегменттері нақты, жеке жиналған келісімнің артында қорғалған
• Cookie жіктелімі FDPIC нұсқаулығы бойынша қатаң қажет ретінде нақты айқындалатын cookie-лерге қатысты сыни көзбен қаралды

2026 жылғы болжам

Швейцарияның деректерді қорғау режимі сыйлы, бірақ тыныш ескі заңнан жедел ерекшелігі, орындау қуаты және ЕО бағдарламасына мінудің орнына сәйкестік басымдықтарын дербес қалыптастыратын қылмыстық жауаптылық архитектурасы бар жұмыс құралына айналды. 2024 жылғы сәйкестікті қайта үйлестіру АҚШ аударымдары айналасындағы ең маңызды құрылымдық алшақтықты жапты, ал FDPIC-тің ескалациялаушы 2025 жылғы орындау позициясы бір реттік науқан жүргізудің орнына тұрақты жолмен масштабталып жатқан реттеушімен сәйкес. GDPR деңгейіндегі келісім стекін жүргізіп жатқан баспагерлер үшін revFADP сәйкестігіне алшақтық кез келген басқа ЕО-дан тыс юрисдикцияға алшақтықтан тарырақ — бірақ нақты, және ерекшеліктерде өмір сүреді: швейцариялық тілдегі баннерлер мен ескертулер, әрбір АҚШ сатушысы үшін DPF-дан SCC-ге дейінгі бейнелеу, ерекше сезімтал санаттың аздап өзгеше сызығы, үш немесе төрт тілде 30 күндік жауап қарқыны және жеке мақұлдауды құжаттауды жақсы-болу-үшін емес, бірінші сынып сәйкестік артефактісі ретінде жасайтын қылмыстық жауаптылық архитектурасы. Алшақтық басымдылық берілсе аптафарда жабылуы мүмкін, ал Швейцарияның баспагерлік CPM-дері басымдылық беруді экономикалық тұрғыдан қарапайым етеді. 2024 жылы Швейцарияны GDPR транзиті ретінде тыныш қараған баспагерлер 2026 жылы айтарлықтай талапшылдау деп табуда, ал тенденция айқын.