revFADP struktūra 2026 m.

RevFADP pakeitė Šveicarijos 1992 m. duomenų apsaugos režimą sistema, kuri veikimo aspektų daugumoje labai atitinka BDAR, kartu išlaikant keletą aiškiai šveicarinių pozicijų. Pataisytas duomenų apsaugos įsakymas (rev-OPDP) ir Duomenų apsaugos sertifikavimo įsakymas, abu galiojantys kartu su revFADP, suteikia veiklos detales.

Ką pakeitė pataisa

Pataisa įvedė: privalomą pranešimą apie pažeidimą FDPIC, daugumai valdytojų skirtą tvarkymo veiklos registravimo reikalavimą, didelės rizikos tvarkymui skirtus duomenų apsaugos poveikio vertinimus, tikrąjį eksteritorialinį taikymo sritį, panašią į BDAR 3 straipsnio 2 dalį, sustiprintas duomenų subjektų teises ir baudžiamosios atsakomybės atsarginį mechanizmą, taikomą asmenims, o ne tik kontroliuojančiai organizacijai. Asmens duomenų apibrėžimas, teisėto tvarkymo pagrindai ir duomenų subjektų teisių struktūra yra glaudžiai suderinti su BDAR, o tai iš esmės supaprastina Šveicarijos atitiktį leidėjams, jau vykdantiems BDAR programą — tačiau jos nepanaikina.

Kas reguliuojamas

RevFADP taikomas duomenų tvarkymui Šveicarijoje ir tvarkymui už Šveicarijos ribų, kuris turi įtakos Šveicarijoje esantiems asmenims. Užsienio leidėjai, teikiantys Šveicarijos srautą per lokalizuotas svetaines, .ch domeną, šveicariškai auditorijai skirtą vokišką-prancūzišką-itališką-romanišką turinį arba programatinį atsargų kiekį, įsigytą prieš Šveicarijos IP adresus, paprastai patenka į taikymo sritį, o FDPIC patvirtino eksteritorialinį aiškinimą 2025 m. gairių atnaujinimuose.

Administracinės baudos ir baudžiamosios atsakomybės atsarginis mechanizmas

Labiausiai aptariamas revFADP nukrypimas nuo BDAR yra tas, kad jo sankcijų architektūra yra pirmiausia baudžiamojo, o ne administracinio pobūdžio. Individualios baudos — paprastai atsakingiems fiziniams asmenims, pavyzdžiui, direktoriams, duomenų apsaugos pareigūnams ar atitikties vadovams — už tyčinius pažeidimus gali siekti iki CHF 250 000 už pažeidimą, o už rimčiausią elgesį numatyta lygiagretė baudžiamoji atsakomybė. Viršutinė riba absoliučia verte yra mažesnė nei BDAR keturių procentų apyvartos riba, tačiau atsakomybės kryptis — į įvardytą asmenį, o ne tik į organizaciją — praktikoje keičia rizikos skaičiavimą. Keli leidėjai 2025 m. specialiai restruktūrizavo vidinius patvirtinimo darbo procesus, siekdami paskirstyti riziką.

Kas laikoma asmens duomenimis pagal revFADP

RevFADP asmens duomenų apibrėžimas glaudžiai atitinka BDAR. Asmens duomenys yra informacija, susijusi su identifikuotu ar identifikuojamu asmeniu, o FDPIC nuosekliai laikė slapukus, reklaminius identifikatorius, IP adresus, įrenginio pirštų atspaudus ir elgsenos profilius asmens duomenimis, kai juos galima susieti su asmeniu tiesiogiai arba derinant su kita informacija.

Ypač jautrūs asmens duomenys

RevFADP nustato kategoriją, vadinamą ypač jautriais asmens duomenimis, kuri yra šiek tiek platesnė nei BDAR specialios kategorijos. Tai apima: duomenis apie religinius, filosofinius, politinius ar profesinių sąjungų pažiūras ir veiklą, sveikatos duomenis, duomenis apie intymią sferą ar rasinę ar etninę kilmę, genetinius ir biometrinius duomenis, unikaliai identifikuojančius asmenį, duomenis apie administracines ir baudžiamąsias bylas ar sankcijas, ir duomenis apie socialinės paramos priemones. Ypač jautrių asmens duomenų tvarkymas lemia padidintus sutikimo ir skaidrumo reikalavimus.

Kodėl tai svarbu slapukams

Slapukas, saugantis įprastinį reklaminį identifikatorių, yra įprastiniai asmens duomenys. Slapukas, teikiantis duomenis auditorijos segmentui, liečiančiam ypač jautrų sąrašą — sveikatos interesus, politines pažiūras, religinę priklausomybę — yra ypač jautrių asmens duomenų tvarkymas ir reikalauja aiškaus sutikimo, atskiro nuo bendrojo reklaminio sutikimo eigos. Šveicarijos kalba vykdomą auditorijos taikymą, kuris persidengia su šiuo sąrašu, reikia audituoti konkrečiai pagal ribą, kuri yra šiek tiek kitaip nubrėžta nei BDAR specialiųjų kategorijų linija.

Slapukų sutikimas pagal revFADP 2026 m.

RevFADP leidžia keletą teisėtų tvarkymo pagrindų, o skirtingai nei ePrivacy direktyva, taikoma ES valstybėse narėse, Šveicarijos teisė nenustato teisinio vien tik sutikimo bazės nebūtiniems slapukams. Tačiau praktikoje FDPIC 2024 ir 2025 m. gairės ir naujausiai vykdymo sprendimai konvergavo į poziciją, kuri labai artima ES bazei su reklama, analize ir kryžminio konteksto profiliavimu susijusiems slapukams.

FDPIC veiklos pozicija

Paskelbta FDPIC pozicija yra ta, kad nebūtinieji slapukai — įskaitant reklamą, taikymą iš naujo, kelių svetainių analizę ir personalizavimą — reikalauja išankstinio, informuoto, laisvai duoto ir konkretaus sutikimo, surinkto prieš slapukui suveikiant. Griežtai būtinieji slapukai ir slapukai, palaikantys vartotojo aiškiai prašytą paslaugą, gali būti nustatyti teisėtų interesų arba sutarties vykdymo pagrindu be išankstinio sutikimo raginimo, tačiau slapuko klasifikavimo griežtai būtinu našta tenka valdytojui ir keli 2025 m. skundai tai ginčijo.

Galiojančio sutikimo elementai

Sutikimas pagal revFADP turi būti:

• Laisvai duotas — be prievartos, sujungimo su esminės paslaugos teikimu ar slapukų sienos, kurianti pagrindinės turinio prieigos sąlygą nebūtino slapuko priėmimu
• Informuotas — duomenų subjektas supranta, kokie duomenys tvarkomi, kieno, kokiu tikslu ir su kuriais gavėjais
• Konkretus — susietas su aiškiai identifikuotais tvarkymo tikslais, o ne bendru sutikimu
• Nedviprasmiškas — išreikštas aiškiu teigiamu veiksmu, o ne spėjamas iš slinkimo, tęstinės naršymo ar neveiklumo
• Aiškus bylų, susijusių su ypač jautriais asmens duomenimis, atveju, su atskiru sutikimu jautriam tvarkymui

Kaip atrodo suderinta CMP Šveicarijos srautui

2026 m. Šveicarijai sukonfigūruota CMP turėtų pateikti:

• Reklamjuostę, pateiktą vartotojo kalba — vokiečių, prancūzų, italų ar romanišų — prieš suveikiant bet kokiam nebūtinajam slapukui, kalbos pasirinkimas atitinkantis .ch svetainės lokalizavimą, o ne nustatantis anglų kalbą kaip numatytąją
• Vienodą vaizdinį išryškinimą Priimti, Atmesti ir Parametrų veiksmams — FDPIC 2025 m. gairės aiškiai kritikuoja reklamjuosčių dizainus, kuriuose Atmesti yra vizualiai sumažintas lyginant su Priimti
• Detalizuotus jungiklius pagal tikslą: analitika, reklama, personalizavimas, tarpvalstybinis perdavimas ir bet kokia ypač jautri kategorija
• Atskirą sutikimo eigą bet kokiam ypač jautrių asmens duomenų tvarkymui, esančiam po savo veiksmu, o ne sujungtam į bendrąjį sutikimą
• Nuolatinį, lengvai randamą mechanizmą sutikimui atšaukti po pradinio pasirinkimo, vienodo trinties lygio kaip ir sutikimo davimas
• Visą Šveicarijos kalbos privatumo pranešimą, atskleidžiantį valdytojo tapatybę, duomenų tvarkytojus, tikslus, gavėjus, saugojimo laikotarpius, perdavimo mechanizmus ir duomenų subjektų teisių kelią

Sutikimo įrašai

Valdytojai turi saugoti sutikimo įrodymus — kas sutiko, kada, su kokiais konkrečiais tikslais ir per kurią sąsają. Nepakankami sutikimo įrašai pasirodė keliuose FDPIC tyrimo raštuose 2025 m., o su laiko žymomis pažymėti eksportuojami žurnalai, saugomi taikytiną senaties laikotarpį, yra bazinis lūkestis.

Tarpvalstybiniai perdavimai po 2024 m. tinkamumo perderinimo

Tarpvalstybiniai duomenų perdavimai yra revFADP sritis, kurioje Šveicarijos pozicija ryškiausiai nukrypsta nuo ES pozicijos ir šiek tiek vėluoja jos atžvilgiu. 2024 m. perderinimas, sekantis ES ES-JAV duomenų privatumo sistemos priėmimą, sukūrė lygiagretę Šveicarija-JAV duomenų privatumo sistemą, tačiau jos taikymo sritis ir sąlygos nėra identiškos.

Pripažinti perdavimo mechanizmai

RevFADP ir rev-OPDP pripažįsta keletą būdų:

• Šveicarijos federalinės tarybos tinkamumo sprendimai šalims, įvertintoms kaip teikiančioms tinkamą apsaugą — dabartiniame sąraše yra EEE, Jungtinė Karalystė ir kelios kitos jurisdikcijos
• Šveicarija-JAV duomenų privatumo sistema, skirta perdavimams į JAV organizacijas, pačias save sertifikavusias pagal sistemą, pakeitusią Šveicarija-JAV privatumo skydą po 2024 m.
• FDPIC pripažintos standartinės sutarčių sąlygos, įskaitant ES SCC su FDPIC paskelbtu Šveicarijos priedu
• FDPIC patvirtintos privalomos įmonės taisyklės
• Specifinės išimtys, įskaitant aiškų sutikimą su tinkamu atskleidimu, sutarties būtinybę, gyvybinį interesą ir svarbų viešąjį interesą

Šveicarija-JAV DPF praktikoje

Šveicarija-JAV DPF apima perdavimus į JAV organizacijas, pačias save sertifikavusias ir išlaikančias savo sertifikavimą. Leidėjai turėtų patikrinti kiekvieno JAV reklamos technologijų ar analizės tiekėjo aktyvų sertifikavimo statusą DPF sąraše, o ne remtis vienkartine patikra, nes pasibaigę sertifikavimai neatšaukiamai nepanaikina ankstesnių perdavimų, tačiau reikalauja neatidėliotinos korekcijos vykstantiems srautams. Kai tiekėjas nėra DPF sertifikuotas, ES SCC su FDPIC Šveicarijos priedu išlieka veikiančia alternatyva.

Praktinis 2026 m. požiūris

Daugumai leidėjų veikiantis požiūris yra kiekvieną tarpvalstybinį duomenų srautą iš Šveicarijos srauto susieti su jo paskirties šalimi ir mechanizmu, atlikti atitinkamas SCC-su-Šveicarijos-priedu ten, kur DPF sertifikavimas neapima tiekėjo, dokumentuoti mechanizmą Šveicarijos kalbos privatumo pranešime ir papildyti sutikimu grįstu leidimu tik ten, kur struktūrizuoti mechanizmai netinkamai dera su tvarkymu.

Duomenų subjektų teisės pagal revFADP

RevFADP suteikia teisių rinkinį, glaudžiai atitinkantį BDAR, su keletu būdingai šveicarinių bruožų:

• Teisė susipažinti su valdytojo turimais asmens duomenimis, su pirma nemokama prieiga per metus ir sąnaudų atgavimo riba tolesnėms ar didelio masto užklausoms
• Teisė ištaisyti netikslius ar neišsamius duomenis
• Teisė ištrinti
• Teisė apriboti tvarkymą
• Teisė į duomenų perkeliamumą duomenims, tvarkomiems automatizuotomis priemonėmis sutikimo ar sutarties pagrindu
• Teisė prieštarauti tvarkymui
• Teisė atšaukti sutikimą
• Teisė nebūti automatizuoto individualaus sprendimų priėmimo, sukelsiančio teisines ar panašiai reikšmingas pasekmes, subjektu, su apsauga rankiniam peržiūrai
• Teisė pateikti skundą FDPIC arba pareikšti civilinį ieškinį

Atsakymo terminai

Valdytojai turi atsakyti į duomenų subjektų prašymus per 30 dienų pagal bendrą sistemą, sudėtingų bylų atveju pailginamo motyvuotu pranešimu. Veiklos pasirengimas šiam langui — su Šveicarijos kalbos įrankiais ir instrukcijomis vokiečių, prancūzų ir italų kalbomis — yra dažnas trūkumas užsienio leidėjams, suderinusiems savo programą su viena Europos kalba.

Baudos ir vykdymo pozicija 2026 m.

FDPIC vykdymo veikla iš esmės intensyvėjo per 2024 ir 2025 m., o 2026 m. tęsia trajektoriją, o ne stagnuoja.

Baudų struktūra

Baudos yra pirmiausia baudžiamojo pobūdžio ir nukreiptos į įvardytus asmenis — direktorius, DPO, atitikties vadovus — su CHF 250 000 riba už tyčinį pažeidimą. 2025 m. vykdyme dažniausiai nurodytos kategorijos: nepakankama informacija duomenų subjektams, deramo rūpesčio tarpvalstybiniuose perdavimuose pažeidimas, neįvykdyta pareiga pranešti FDPIC apie duomenų pažeidimus per reikalaujamą langą ir FDPIC sprendimų ar įsakymų nesilaikymas.

Baudžiamosios atsakomybės atsarginis mechanizmas

Skirtingai nei BDAR, revFADP baudžiamosios atsakomybės kelias yra nukreiptas prieš atsakingą fizinį asmenį, o ne tik juridinį asmenį, o tai 2025 m. paskatino didelę vidinę patvirtinimo darbo procesų restruktūrizaciją. Praktinis poveikis yra tas, kad atitikties pareiškimai ir audito sekos svarbios ne tik organizacijos, bet ir asmens rizikai, o DPO ypač pakoregavo dokumentavimo praktiką tai atspindėti.

Vykdymo temos

FDPIC 2025 m. ir 2026 m. pradžios veiksmai telkiasi aplink: slapukų reklamos juostas, vizualiai sumažinančias Atmesti veiksmą arba naudojančias iš anksto pažymėtus laukelius, privatumo pranešimus, kurie nėra prieinami vartotojo Šveicarijos kalba, tarpvalstybiniams perdavimams į JAV tiekėjus, neturinčius DPF sertifikavimo ir alternatyvaus mechanizmo, negebėjimą per 30 dienų atsakyti į duomenų subjektų prašymus, ir pavėluotus ar trūkstamus pažeidimų pranešimus. Užsienio leidėjai buvo nurodyti visose penkiose kategorijose, o reklamjuostės dizaino ir tarpvalstybinio perdavimo kategorijos pirmauja bylų sąraše.

Šveicarijos srauto 2026 m. audito kontrolinis sąrašas

• CMP reklamjuostė pateikiama vartotojo Šveicarijos kalba (DE, FR, IT ar RM) su Priimti, Atmesti ir Parametrais vienodai vizualiai išryškintais
• Sutikimo tikslai yra detalizuoti ir ypač jautrus tvarkymas yra atskirtas savo sutikimo eigos
• Privatumo pranešimas yra prieinamas kiekviena atitinkama Šveicarijos kalba su visais atskleidimais apie valdytoją, duomenų tvarkytojus, tikslus, saugojimą, teises ir FDPIC skundo kelią
• Kiekvienas tarpvalstybinis srautas iš Šveicarijos srauto yra susietas su savo paskirties vieta ir mechanizmu — tinkamumas, Šveicarija-JAV DPF sertifikavimas, FDPIC-Šveicarijos-priedu SCC, BCR ar dokumentuota išimtis
• JAV tiekėjo DPF sertifikavimo statusas iš naujo patikrintas paskelbtame sąraše, o ne paimtas vieną kartą ir pamirštas
• Sutikimo žurnalai yra su laiko žymomis, eksportuojami ir saugomi taikytinu senaties laikotarpiu
• Duomenų subjektų prašymų darbo procesas gali atsakyti per 30 dienų nuo pradžios iki pabaigos vokiečių, prancūzų ir italų kalbomis
• Pažeidimų pranešimų instrukcija suderinta su revFADP terminais ir integruota į vidinį incidentų reagavimo procesą
• Patvirtinimo darbo procesai atspindi baudžiamosios atsakomybės asmeniui architektūrą su įvardytais patvirtintojais ir dokumentavimo pėdsaku
• Ypač jautrių kategorijų auditorijų segmentai yra apsaugoti aiškiai, atskirai surinkto sutikimo
• Slapukų klasifikacija buvo peržiūrėta kritiška akimi, kokie slapukai iš tikrųjų kvalifikuojasi kaip griežtai būtini pagal FDPIC gaires

2026 m. perspektyva

Šveicarijos duomenų apsaugos režimas subrendęs iš gerbiamo, bet tylio senesnio statuto į veikiančią priemonę su veiklos specifika, vykdymo pajėgumu ir baudžiamosios atsakomybės architektūra, leidžiančia savarankiškai formuoti atitikties prioritetus, o ne tik laikytis ES programos. 2024 m. tinkamumo perderinimas uždarė svarbiausią struktūrinę spragą aplink JAV perdavimus, o FDPIC eskaluojanti 2025 m. vykdymo pozicija atitinka reguliuotoją, plečiantį mastą tvariai, o ne vykdantį vienkartinę kampaniją. Leidėjams, jau vykdantiems BDAR lygio sutikimo paketą, atotrūkis iki revFADP atitikties yra mažesnis nei iki bet kurios kitos ne ES jurisdikcijos — tačiau jis realus ir gyvena smulkmenose: Šveicarijos kalbos reklamjuostės ir pranešimai, DPF prieš SCC žemėlapiai kiekvienam JAV tiekėjui, šiek tiek kitokia ypač jautrios kategorijos linija, 30 dienų atsakymo ritmas trimis ar keturiomis kalbomis ir baudžiamosios atsakomybės architektūra, paverčianti individualaus patvirtinimo dokumentavimą pirmos klasės atitikties artefaktu, o ne pageidaujamu dalyku. Atotrūkis gali būti uždarytas per kelias savaites, jei jis bus prioritizuotas, o Šveicarijos leidėjų CPM atitikties prioritizavimą daro ekonomiškai aiškiu. Leidėjai, tyliai traktuoję Šveicariją kaip BDAR praeivį per 2024 m., 2026 m. atranda reikšmingai daugiau reikalaujančiu, o tendencija aiški.