revFADP struktūra 2026. gadā

revFADP aizstāja Šveices 1992. gada datu aizsardzības režīmu ar sistēmu, kas lielākajā daļā darbības aspektu cieši seko GDPR, saglabājot dažas atšķirīgas Šveices pozīcijas. Pārskatītā Datu aizsardzības regula (rev-OPDP) un Regula par datu aizsardzības sertifikāciju, kas abas ir spēkā kopā ar revFADP, aizpilda darbības detaļas.

Ko mainīja pārskatīšana

Pārskatīšana ieviesa: obligātu pārkāpumu paziņošanu FDPIC, apstrādes reģistra prasību lielākajai daļai pārziņu, datu aizsardzības ietekmes novērtējumus augsta riska apstrādei, patiesi ekstrateritoriālu darbības jomu, kas līdzīga GDPR 3. panta 2. punktam, pastiprinātas datu subjektu tiesības un kriminālatbildības drošinātāju, ko piemēro fiziskām personām, nevis tikai kontrolējošajai organizācijai. Personas datu definīcija, likumīgas apstrādes pamati un datu subjektu tiesību struktūra ir cieši saskaņotas ar GDPR, kas ievērojami vienkāršo Šveices atbilstību izdevējiem, kas jau īsteno GDPR programmu — taču to neatceļ.

Kas tiek regulēts

revFADP attiecas uz datu apstrādi Šveicē un uz apstrādi ārpus Šveices, kas ietekmē Šveicē esošas personas. Ārvalstu izdevēji, kas apkalpo Šveices trafiku, izmantojot lokalizētas vietnes, domēnu .ch, vācu-franču-itāļu-romāņu saturu, kas pielāgots Šveices auditorijām, vai programmatisko inventāru, kas iegādāts pret Šveices IP adresēm, parasti ir iekļauti darbības jomā, un FDPIC ir apstiprinājis ekstrateritoriālo interpretāciju savos 2025. gada norādījumu atjauninājumos.

Administratīvie naudas sodi un kriminālā drošinātāja

revFADP visbūtiskākā atšķirība no GDPR ir tā, ka tā sankciju arhitektūra ir galvenokārt krimināla, nevis administratīva. Individuālie naudas sodi — parasti attiecībā uz atbildīgajām fiziskajām personām, piemēram, direktoriem, datu aizsardzības darbiniekiem vai atbilstības vadītājiem — var sasniegt līdz 250 000 CHF par pārkāpumu par tīšiem pārkāpumiem, ar paralēlu kriminālatbildību par vissmagāko rīcību. Augstākais limits ir zemāks nekā GDPR četru procentu no apgrozījuma robeža absolūtos skaitļos, taču atbildības virziens — pret nosauktajai personai, nevis tikai organizācijai — praksē maina riska aprēķinu. Vairāki izdevēji 2025. gadā ir pārstrukturējuši iekšējos apstiprinājuma procesus, lai sadalītu iedarbību.

Kas tiek uzskatīts par personas datiem saskaņā ar revFADP

revFADP personas datu definīcija cieši seko GDPR. Personas dati ir informācija, kas attiecas uz identificētu vai identificējamu personu, un FDPIC konsekventi uzskata sīkdatnes, reklāmas identifikatorus, IP adreses, ierīces nospiedumus un uzvedības profilus par personas datiem, kad tos var saistīt ar personu tieši vai kombinācijā ar citu informāciju.

Īpaši sensitīvi personas dati

revFADP nosaka kategoriju, ko sauc par īpaši sensitīviem personas datiem, kas ir nedaudz plašāka nekā GDPR īpašās kategorijas. Tā ietver: datus par reliģiskiem, filozofiskiem, politiskiem vai arodbiedrību uzskatiem un darbību, veselības datus, datus par intīmo sfēru vai rasi vai etnisko izcelsmi, ģenētiskos un biometriskos datus, kas unikāli identificē personu, datus par administratīviem un kriminālprocesiem vai sankcijām, un datus par sociālās palīdzības pasākumiem. Īpaši sensitīvu personas datu apstrāde izraisa paaugstinātas piekrišanas un pārredzamības prasības.

Kāpēc tas ir svarīgi sīkdatnēm

Sīkdatne, kurā tiek saglabāts parastais reklāmas identifikators, ir parastie personas dati. Sīkdatne, kas baro auditorijas segmentu, kurš skar īpaši sensitīvo sarakstu — veselības intereses, politiskās tendences, reliģiskā piederība — ir īpaši sensitīvu personas datu apstrāde un prasa skaidru piekrišanu, kas ir atsevišķa no vispārīgās reklāmas piekrišanas plūsmas. Šveices valodā mērķauditorijai domātā izvēle, kas pārklājas ar šo sarakstu, ir jāpārbauda konkrēti attiecībā pret robežu, kas ir nedaudz atšķirīgi novilkta salīdzinājumā ar GDPR īpašo kategoriju līniju.

Sīkdatņu piekrišana saskaņā ar revFADP 2026. gadā

revFADP atļauj vairākus likumīgas apstrādes pamatus, un atšķirībā no ePrivacy direktīvas, kā tā tiek piemērota ES dalībvalstīs, Šveices tiesību akti nenosaka likumīgu piekrišanas vienīgā pamata principu nebūtiskām sīkdatnēm. Tomēr praksē FDPIC 2024. un 2025. gada norādījumi un jaunākie izpildes lēmumi ir konverģējuši uz pozīciju, kas ir ļoti tuva ES pamatlīnijai sīkdatnēm, kas saistītas ar reklāmu, analītiku un starpkontekstu profilēšanu.

FDPIC darbības pozīcija

FDPIC publicētā pozīcija ir tāda, ka nebūtiskām sīkdatnēm — tostarp reklāmai, atkārtotai mērķauditorijas atlasei, vietņu analītikai un personalizācijai — pirms sīkdatnes aktivizēšanas ir nepieciešama iepriekšēja, informēta, brīvi dota un specifiska piekrišana. Stingri nepieciešamās sīkdatnes un sīkdatnes, kas atbalsta pakalpojumu, ko lietotājs ir skaidri pieprasījis, var iestatīt, pamatojoties uz leģitīmajām interesēm vai līguma izpildes pamatu bez iepriekšēja piekrišanas pieprasījuma, taču sīkdatnes klasificēšanas kā stingri nepieciešamas nasta gulstas uz pārzini un 2025. gadā tā ir apstrīdēta vairākās sūdzībās.

Derīgas piekrišanas elementi

Piekrišanai saskaņā ar revFADP jābūt:

• Brīvi dotai — bez piespiešanas, apvienošanas ar būtisku pakalpojumu sniegšanu vai sīkdatņu sienas, kas nosaka pamatā esošā satura piekļuves atkarību no nebūtiskas sīkdatnes pieņemšanas
• Informētai — datu subjekts saprot, kādi dati tiek apstrādāti, kas, kādam mērķim un kuriem saņēmējiem
• Specifiskai — saistītai ar skaidri identificētiem apstrādes mērķiem, nevis vispārīgai piekrišanai
• Nepārprotamai — izteiktai ar skaidru apstiprinošu darbību, nevis secināmai no ritināšanas, turpinātas pārlūkošanas vai neaktivitātes
• Skaidrai gadījumos, kas ietver īpaši sensitīvus personas datus, ar atsevišķu piekrišanu sensitīvai apstrādei

Kā izskatās atbilstoša CMP Šveices trafikam

CMP, kas konfigurēta Šveicei 2026. gadā, būtu jāpiedāvā:

• Baneris, kas tiek rādīts lietotāja valodā — vācu, franču, itāļu vai romāņu — pirms jebkuras nebūtiskas sīkdatnes aktivizēšanas, ar valodas izvēli, kas atbilst .ch vietnes lokalizācijai, nevis noklusējuma angļu valodai
• Vienāda vizuāla pamanāmība darbībām Pieņemt, Noraidīt un Iestatījumi — FDPIC 2025. gada norādījumi skaidri kritizē banerus, kuros Noraidīt ir vizuāli mazāk uzsvērts salīdzinājumā ar Pieņemt
• Detalizēti slēdži katram mērķim: analītika, reklāma, personalizācija, pārrobežu pārsūtīšana un jebkura īpaši sensitīva kategorija
• Atsevišķa piekrišanas plūsma jebkurai īpaši sensitīvu personas datu apstrādei, kas norobežota aiz savas darbības, nevis apvienota vispārīgajā piekrišanā
• Pastāvīgs, viegli atrodams mehānisms piekrišanas atsaukšanai pēc sākotnējās izvēles, ar tādu pašu sarežģījuma pakāpi kā piekrišanas sniegšanai
• Pilns Šveices valodā rakstīts privātuma paziņojums, kurā atklāts pārziņa identitāte, apstrādātāji, mērķi, saņēmēji, glabāšanas periodi, pārsūtīšanas mehānismi un datu subjektu tiesību ceļš

Piekrišanas reģistri

Pārziņiem ir jāsaglabā piekrišanas pierādījumi — kas piekrita, kad, kādiem konkrētiem mērķiem un caur kādu saskarni. Nepietiekami piekrišanas reģistri bija iekļauti vairākās FDPIC izmeklēšanas vēstulēs 2025. gadā, un ar laikspiedolu eksportējami žurnāli, kas saglabāti attiecīgajam noilguma periodam, ir pamata prasība.

Pārrobežu pārsūtīšana pēc 2024. gada atbilstības pārveidošanas

Pārrobežu datu pārsūtīšana ir revFADP joma, kurā Šveices pozīcija visizteiktāk atšķiras no ES pozīcijas un nedaudz atpaliek no tās. 2024. gada pārveidošana pēc ES pieņemtā ES-ASV Datu privātuma satvara radīja paralēlu Šveices-ASV Datu privātuma satvaru, taču to darbības joma un nosacījumi nav identiski.

Atzītie pārsūtīšanas mehānismi

revFADP un rev-OPDP atzīst vairākus ceļus:

• Atbilstības lēmumi, ko pieņem Šveices Federālā padome valstīm, kas novērtētas kā nodrošinošas atbilstošu aizsardzību — pašreizējā sarakstā ietilpst EEZ, Apvienotā Karaliste un dažas citas jurisdikcijas
• Šveices-ASV Datu privātuma satvars pārsūtīšanai uz ASV organizācijām, kas ir pašsertificētas saskaņā ar satvaru, kurš aizstāja Šveices-ASV Privātuma vairogu pēc 2024. gada
• Standarta līguma klauzulas, ko atzīst FDPIC, tostarp ES SCC ar FDPIC publicētu Šveices pielikumu
• Saistošie uzņēmumu noteikumi, ko apstiprina FDPIC
• Konkrēti izņēmumi, tostarp skaidra piekrišana ar atbilstošu atklāšanu, līguma nepieciešamība, vitālas intereses un būtiskas sabiedriskās intereses

Šveices-ASV DPF praksē

Šveices-ASV DPF aptver pārsūtīšanu uz ASV organizācijām, kas ir pašsertificētas un uzturējušas savu sertifikāciju. Izdevējiem ir jāpārbauda katra ASV reklāmas tehnoloģiju vai analītikas pakalpojumu sniedzēja aktīvā sertifikācijas statusa DPF sarakstā, nevis jāpaļaujas uz vienreizēju pārbaudi, jo beidzies sertifikācijas derīguma termiņš neatceļ iepriekšējās pārsūtīšanas ar atpakaļejošu spēku, bet prasa tūlītēju sanāciju pastāvīgajām plūsmām. Ja pārdevējs nav DPF sertificēts, ES SCC ar FDPIC Šveices pielikumu paliek kā darba alternatīva.

Praktiskā 2026. gada pieeja

Lielākajai daļai izdevēju darba pieeja ir kartēt katru pārrobežu datu plūsmu no Šveices trafika uz tā galamērķa valsti un mehānismu, izpildīt attiecīgās SCC ar Šveices pielikumu, ja DPF sertifikācija neaptver pārdevēju, dokumentēt mehānismu Šveices valodā rakstītajā privātuma paziņojumā un papildināt ar piekrišanā balstītu autorizāciju tikai tad, ja strukturētie mehānismi skaidri neatbilst apstrādei.

Datu subjektu tiesības saskaņā ar revFADP

revFADP piešķir tiesību kopumu, kas cieši seko GDPR, ar dažiem Šveicei specifiskiem kontūriem:

• Piekļuves tiesības pārziņa turētajiem personas datiem ar bezmaksas pirmo piekļuvi gadā un izmaksu atlīdzināšanas griesti turpmākajiem vai plašajiem pieprasījumiem
• Neprecīzu vai nepilnīgu datu labošanas tiesības
• Dzēšanas tiesības
• Tiesības ierobežot apstrādi
• Tiesības uz datu pārnesamību datiem, kas apstrādāti ar automatizētiem līdzekļiem, pamatojoties uz piekrišanu vai līgumu
• Tiesības iebilst pret apstrādi
• Tiesības atsaukt piekrišanu
• Tiesības nebūt automatizētu individuālo lēmumu pieņemšanas subjektam, kas rada tiesiskas vai līdzīgi būtiskas sekas, ar garantiju manuālai pārskatīšanai
• Tiesības iesniegt sūdzību FDPIC vai ierosināt civiltiesiskas lietas

Atbildes termiņi

Pārziņiem ir jāatbild uz datu subjektu pieprasījumiem 30 dienu laikā saskaņā ar vispārējo sistēmu, ko var pagarināt ar pamatotu paziņojumu sarežģītos gadījumos. Darbības gatavība šim logam — ar Šveices valodas rīkiem un rokasgrāmatām vācu, franču un itāļu valodā — ir izplatīta nepilnība ārvalstu izdevējiem, kuri ir pielāgojuši savu programmu vienai Eiropas valodai.

Sodi un izpildes attieksme 2026. gadā

FDPIC izpildes darbība ievērojami eskalēja 2024. un 2025. gadā, un 2026. gads turpina šo trajektoriju, nevis stagnē.

Naudas sodu struktūra

Naudas sodi pēc savas būtības ir galvenokārt krimināli un vērsti pret nosauktajām personām — direktoriem, DPO, atbilstības vadītājiem — ar robežu 250 000 CHF par tīšu pārkāpumu. 2025. gada izpildē visbiežāk minētās kategorijas bija: nepietiekama informācija datu subjektiem, pienācīgas rūpības neievērošana pārrobežu pārsūtīšanā, pienākuma neizpilde informēt FDPIC par datu pārkāpumiem nepieciešamajā laikā un neatbilstība FDPIC lēmumiem vai rīkojumiem.

Kriminālās atbildības drošinātāja

Atšķirībā no GDPR, revFADP kriminālās atbildības ceļš ir vērsts pret atbildīgo fizisko personu, nevis tikai juridisko personu, kas 2025. gadā ir izraisījis ievērojamu iekšējo apstiprinājuma darba plūsmu pārstrukturēšanu. Praktiskais efekts ir tāds, ka atbilstības apliecinājumi un revīzijas pieraksti ir svarīgi ne tikai organizācijas riskam, bet arī personas riskam — un DPO jo īpaši ir pielāgojuši dokumentācijas praksi, lai to atspoguļotu.

Izpildes tēmas

FDPIC 2025. gada un 2026. gada sākuma darbības koncentrējas ap: sīkdatņu baneriem, kas de-uzsver darbību Noraidīt vai izmanto iepriekš atzīmētas kastes, privātuma paziņojumiem, kas nav pieejami lietotāja Šveices nacionālajā valodā, pārrobežu pārsūtīšanu uz ASV pārdevējiem, kuri nav DPF sertificēti un kuriem nav alternatīva mehānisma, nespēju atbildēt uz datu subjektu pieprasījumiem 30 dienu laikā un aizkavētiem vai trūkstošiem pārkāpumu paziņojumiem. Ārvalstu izdevēji ir citēti visās piecās kategorijās, un banerus dizaina un pārrobežu pārsūtīšanas kategorijas vada lietu sarakstu.

Audita kontrolsaraksts Šveices trafikam 2026. gadā

• CMP baneris tiek rādīts lietotāja Šveices nacionālajā valodā (DE, FR, IT vai RM) ar darbībām Pieņemt, Noraidīt un Iestatījumi ar vienādu vizuālo pamanāmību
• Piekrišanas mērķi ir detalizēti un īpaši sensitīvo apstrādi novieto aiz tās pašas piekrišanas plūsmas
• Privātuma paziņojums ir pieejams katrā attiecīgajā Šveices valodā ar pilnīgu informāciju par pārzini, apstrādātājiem, mērķiem, saglabāšanu, tiesībām un FDPIC sūdzību ceļu
• Katrai pārrobežu plūsmai no Šveices trafika ir kartēts tās galamērķis un mehānisms — atbilstība, Šveices-ASV DPF sertifikācija, FDPIC-Šveices pielikuma SCC, BCR vai dokumentēts izņēmums
• ASV pārdevēja DPF sertifikācijas statuss tiek atkārtoti pārbaudīts publicētajā sarakstā, nevis ņemts vienreiz un aizmirsts
• Piekrišanas žurnāli ir ar laikspiedolu, eksportējami un saglabāti attiecīgajam noilguma periodam
• Datu subjektu pieprasījumu darba plūsma var atbildēt 30 dienu laikā no gala līdz galam, vācu, franču un itāļu valodā
• Pārkāpumu paziņošanas rokasgrāmata ir pielāgota revFADP termiņiem un integrēta ar iekšējo incidentu reaģēšanas procesu
• Apstiprinājuma darba plūsmas atspoguļo kriminālās atbildības pret personu arhitektūru ar nosauktajiem apstiprinātājiem un dokumentācijas pēdu
• Īpaši sensitīvo kategoriju auditorijas segmenti ir norobežoti aiz skaidras, atsevišķi iegūtas piekrišanas
• Sīkdatņu klasifikācija ir pārskatīta ar kritisku aci attiecībā uz to, kuras sīkdatnes faktiski kvalificējas kā stingri nepieciešamas saskaņā ar FDPIC norādījumiem

2026. gada perspektīva

Šveices datu aizsardzības režīms ir nobriesis no cienīta, bet klusā vecāka statūta līdz funkcionējošam instrumentam ar darbības specifiku, izpildes spēju un kriminālās atbildības arhitektūru, lai patstāvīgi veidotu atbilstības prioritātes, nevis vienkārši paļautos uz ES programmu. 2024. gada atbilstības pārveidošana novērsa būtiskāko strukturālo nepilnību attiecībā uz ASV pārsūtīšanu, un FDPIC eskalējošā 2025. gada izpildes attieksme atbilst regulatoram, kas ilgtspējīgi mērogojas, nevis vada vienreizēju kampaņu. Izdevējiem, kas jau izmanto GDPR līmeņa piekrišanas steku, plaisa līdz revFADP atbilstībai ir šaurāka nekā jebkurai citai ne-ES jurisdikcijai — bet tā ir reāla, un tā dzīvo specifikās: Šveices valodas baneri un paziņojumi, DPF pret SCC kartēšana katram ASV pārdevējam, īpaši sensitīvās kategorijas nedaudz atšķirīgā līnija, 30 dienu atbildes ritms trīs vai četrās valodās un kriminālās atbildības arhitektūra, kas individuālo apstiprinājumu dokumentāciju padara par pirmās klases atbilstības artefaktu, nevis papildinājumu. Plaisu var aizvērt nedēļu laikā, ja tā tiek prioritizēta, un Šveices izdevēju CPM padara prioritizāciju ekonomiski taisnu. Izdevēji, kuri klusi uzskatīja Šveici par GDPR caurlaidni līdz 2024. gadam, atklāj, ka 2026. gads ir ievērojami prasīgāks, un tendence ir skaidra.