Struktura revFADP w 2026 roku

revFADP zastąpiła szwajcarski reżim ochrony danych z 1992 roku ramami prawnymi, które w większości aspektów operacyjnych ściśle odzwierciedlają RODO, zachowując jednocześnie kilka wyraźnie szwajcarskich stanowisk. Znowelizowane Rozporządzenie o Ochronie Danych (rev-OPDP) oraz Rozporządzenie w sprawie certyfikacji ochrony danych, oba obowiązujące równolegle z revFADP, wypełniają szczegóły operacyjne.

Co Zmieniła Nowelizacja

Nowelizacja wprowadza: obowiązkowe zgłaszanie naruszeń do FDPIC, wymóg prowadzenia rejestrów przetwarzania dla większości administratorów, oceny skutków dla ochrony danych w przypadku przetwarzania wysokiego ryzyka, prawdziwie ekstraterytorialny zakres zbliżony do art. 3 ust. 2 RODO, wzmocnione prawa osób, których dane dotyczą, oraz filar odpowiedzialności karnej mający zastosowanie do osób fizycznych, a nie tylko do organizacji kontrolującej. Definicja danych osobowych, podstawy prawne przetwarzania i struktura praw osób, których dane dotyczą, są ściśle zbieżne z RODO, co w sposób istotny upraszcza przestrzeganie prawa szwajcarskiego przez wydawców realizujących już program unijny — nie eliminuje go jednak.

Kogo Dotyczy Regulacja

revFADP ma zastosowanie do przetwarzania danych w Szwajcarii oraz do przetwarzania poza Szwajcarią, które dotyczy osób przebywających w Szwajcarii. Zagraniczni wydawcy obsługujący ruch szwajcarski za pośrednictwem zlokalizowanych stron, domeny .ch, treści w językach niemieckim, francuskim, włoskim i retoromańskim skierowanych do odbiorców szwajcarskich lub zapasów programatycznych kupowanych pod adresy IP ze Szwajcarii, są zazwyczaj objęci zakresem przepisów, co FDPIC potwierdził w aktualizacjach wytycznych z 2025 roku.

Kary Administracyjne i Filar Karny

Najbardziej dyskutowaną różnicą revFADP w stosunku do RODO jest to, że jej architektura sankcji ma przede wszystkim charakter karny, a nie administracyjny. Indywidualne grzywny — nakładane zazwyczaj na odpowiedzialne osoby fizyczne, takie jak dyrektorzy, inspektorzy ochrony danych lub osoby kierujące compliance — mogą sięgać 250 000 CHF za naruszenie w przypadku umyślnych przewinień, przy równoległej odpowiedzialności karnej za najpoważniejsze czyny. Górny próg jest w wartościach bezwzględnych niższy niż unijny pułap czterech procent obrotu, jednak kierunek odpowiedzialności — skierowany na wymienioną z nazwiska osobę, a nie tylko na organizację — zmienia w praktyce rachunek ryzyka. Wielu wydawców w 2025 roku zrestrukturyzowało wewnętrzne procesy zatwierdzania właśnie po to, by rozłożyć zakres odpowiedzialności.

Co Stanowi Dane Osobowe na Gruncie revFADP

Definicja danych osobowych w revFADP ściśle odpowiada RODO. Dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby, a FDPIC konsekwentnie traktuje pliki cookie, identyfikatory reklamowe, adresy IP, odciski urządzeń i profile behawioralne jako dane osobowe, gdy można je powiązać z konkretną osobą bezpośrednio lub w połączeniu z innymi informacjami.

Szczególnie Wrażliwe Dane Osobowe

revFADP wyodrębnia kategorię zwaną szczególnie wrażliwymi danymi osobowymi, która jest nieco szersza niż szczególne kategorie RODO. Obejmuje: dane dotyczące poglądów i działalności religijnej, filozoficznej, politycznej lub związkowej, dane dotyczące zdrowia, dane dotyczące sfery intymnej lub pochodzenia rasowego bądź etnicznego, dane genetyczne i biometryczne jednoznacznie identyfikujące osobę, dane dotyczące postępowań administracyjnych i karnych lub sankcji oraz dane dotyczące środków pomocy społecznej. Przetwarzanie szczególnie wrażliwych danych osobowych pociąga za sobą podwyższone wymogi w zakresie zgody i przejrzystości.

Dlaczego Ma To Znaczenie dla Plików Cookie

Plik cookie przechowujący standardowy identyfikator reklamowy stanowi zwykłe dane osobowe. Plik cookie zasilający segment odbiorców dotykający wykazu danych szczególnie wrażliwych — zainteresowania zdrowotne, preferencje polityczne, przynależność wyznaniowa — jest przetwarzaniem szczególnie wrażliwych danych osobowych i wymaga wyraźnej zgody, odrębnej od ogólnego przepływu zgody na reklamę. Targetowanie odbiorców w języku szwajcarskim pokrywające się z tym wykazem należy poddać audytowi pod kątem granicy, która jest wyznaczona nieco inaczej niż linia szczególnych kategorii RODO.

Zgoda na Pliki Cookie na Gruncie revFADP w 2026 roku

revFADP dopuszcza kilka podstaw prawnych przetwarzania i — w odróżnieniu od dyrektywy o prywatności i łączności elektronicznej stosowanej w państwach członkowskich UE — prawo szwajcarskie nie nakłada ustawowej zasady zgody jako jedynej podstawy dla nieesenalnych plików cookie. W praktyce jednak wytyczne FDPIC z lat 2024 i 2025 oraz najnowsze decyzje egzekwycyjne zbiegły się w stanowisku bardzo bliskim unijnemu punktowi wyjścia dla plików cookie powiązanych z reklamą, analizą i profilowaniem wielokontekstowym.

Stanowisko Operacyjne FDPIC

Opublikowane stanowisko FDPIC głosi, że nieesenalne pliki cookie — w tym reklamowe, retargetingowe, analityczne między witrynami i personalizacyjne — wymagają uprzedniej, świadomej, dobrowolnie wyrażonej i konkretnej zgody pobranej przed aktywacją pliku cookie. Pliki cookie ściśle niezbędne oraz pliki cookie obsługujące usługę wyraźnie zamówioną przez użytkownika mogą być ustawiane na podstawie uzasadnionego interesu lub podstawy wykonania umowy bez uprzedniego żądania zgody, jednak ciężar zakwalifikowania pliku cookie jako ściśle niezbędnego spoczywa na administratorze i był kwestionowany w kilku skargach z 2025 roku.

Elementy Skutecznej Zgody

Zgoda na gruncie revFADP musi być:

• Dobrowolna — bez przymusu, łączenia z niezbędnym świadczeniem usług ani bariery plikowej uzależniającej dostęp do podstawowych treści od wyrażenia zgody na nieesenalne pliki cookie
• Świadoma — osoba, której dane dotyczą, rozumie, jakie dane są przetwarzane, przez kogo, w jakim celu i którym odbiorcom przekazywane
• Konkretna — powiązana z wyraźnie określonymi celami przetwarzania, a nie z ogólnikową zgodą ramową
• Jednoznaczna — wyrażona poprzez wyraźne, aktywne działanie, a nie wywnioskowana ze scrollowania, dalszego przeglądania lub bierności
• Wyraźna w przypadkach dotyczących szczególnie wrażliwych danych osobowych, z odrębną zgodą na wrażliwe przetwarzanie

Jak Powinna Wyglądać Zgodna CMP dla Ruchu Szwajcarskiego

CMP skonfigurowana dla Szwajcarii w 2026 roku powinna prezentować:

• Baner wyświetlany w języku użytkownika — niemieckim, francuskim, włoskim lub retoromańskim — przed aktywacją jakiegokolwiek nieesenalnego pliku cookie, przy czym wybór języka powinien odpowiadać lokalizacji witryny .ch, a nie domyślnie przełączać się na angielski
• Równorzędną widoczność wizualną przycisków Akceptuj, Odrzuć i Ustawienia — wytyczne FDPIC z 2025 roku wprost krytykują projekty banerów, w których przycisk Odrzuć jest wizualnie mniej wyeksponowany niż Akceptuj
• Granularne przełączniki dla każdego celu: analityka, reklama, personalizacja, transgraniczne przekazywanie danych i wszelkie szczególnie wrażliwe kategorie
• Odrębny przepływ zgody dla wszelkiego przetwarzania szczególnie wrażliwych danych osobowych, schowany za własnym działaniem, a nie połączony z ogólną zgodą
• Trwały, łatwo dostępny mechanizm wycofania zgody po dokonaniu pierwotnego wyboru, z takim samym stopniem trudności jak jej wyrażenie
• Pełne powiadomienie o prywatności w języku szwajcarskim ujawniające tożsamość administratora, podmiotów przetwarzających, celów, odbiorców, okresów przechowywania, mechanizmów przekazywania i ścieżki realizacji praw osób, których dane dotyczą

Rejestry Zgód

Administratorzy muszą przechowywać dowody zgody — kto wyraził zgodę, kiedy, na które konkretne cele i za pośrednictwem jakiego interfejsu. Niewystarczające rejestry zgód pojawiały się w kilku pismach wyjaśniających FDPIC z 2025 roku, a opatrzone znacznikiem czasu eksportowalne logi przechowywane przez właściwy okres przedawnienia stanowią minimalny standard.

Transgraniczne Przekazywanie Danych Po Przeformułowaniu Adekwatności z 2024 roku

Transgraniczne przekazywanie danych jest obszarem revFADP, w którym stanowisko szwajcarskie najwyraźniej odbiega od stanowiska unijnego i nieco za nim pozostaje. Przeformułowanie z 2024 roku dokonane po przyjęciu przez UE ram EU-US Data Privacy Framework zaowocowało równoległymi ramami Swiss-US Data Privacy Framework, jednak ich zakres i warunki nie są identyczne.

Uznane Mechanizmy Przekazywania

revFADP i rev-OPDP uznają kilka ścieżek:

• Decyzje o adekwatności Szwajcarskiej Rady Federalnej dotyczące krajów ocenionych jako zapewniające odpowiedni poziom ochrony — aktualny wykaz obejmuje EOG, Zjednoczone Królestwo i kilka innych jurysdykcji
• Swiss-US Data Privacy Framework dla przekazywania danych do organizacji amerykańskich, które samocertyfikowały się w ramach tego mechanizmu, zastępując po 2024 roku Swiss-US Privacy Shield
• Standardowe klauzule umowne uznane przez FDPIC, w tym klauzule SCC UE z addendum szwajcarskim opublikowanym przez FDPIC
• Wiążące reguły korporacyjne zatwierdzone przez FDPIC
• Szczególne wyjątki, w tym wyraźna zgoda przy odpowiednim ujawnieniu, niezbędność umowna, żywotny interes i istotny interes publiczny

Swiss-US DPF w Praktyce

Swiss-US DPF obejmuje przekazywanie do organizacji amerykańskich, które się samocertyfikowały i utrzymują ważność certyfikacji. Wydawcy powinni weryfikować aktualny status certyfikacji każdego dostawcy technologii reklamowych lub analitycznych ze Stanów Zjednoczonych na liście DPF, a nie polegać na jednorazowej weryfikacji, gdyż wygaśnięcie certyfikacji nie skutkuje retroaktywnym unieważnieniem wcześniejszego przekazywania, lecz wymaga natychmiastowych działań naprawczych w odniesieniu do bieżących przepływów. W przypadku gdy dostawca nie posiada certyfikacji DPF, klauzule SCC UE z addendum szwajcarskim FDPIC pozostają alternatywą operacyjną.

Praktyczne Podejście na 2026 rok

Dla większości wydawców podejście operacyjne polega na zmapowaniu każdego transgranicznego przepływu danych ze szwajcarskiego ruchu do kraju docelowego wraz z mechanizmem, wykonaniu odpowiednich klauzul SCC z addendum szwajcarskim tam, gdzie certyfikacja DPF nie obejmuje danego dostawcy, udokumentowaniu mechanizmu w szwajcarskojęzycznym powiadomieniu o prywatności oraz uzupełnieniu o autoryzację opartą na zgodzie wyłącznie tam, gdzie ustrukturyzowane mechanizmy nie pasują wyraźnie do danego przetwarzania.

Prawa Osób, Których Dane Dotyczą, na Gruncie revFADP

revFADP przyznaje zestaw praw ściśle odzwierciedlający RODO, z kilkoma szwajcarskimi szczegółami:

• Prawo dostępu do danych osobowych przechowywanych przez administratora, z bezpłatnym pierwszym dostępem raz w roku i pułapem zwrotu kosztów dla kolejnych lub szeroko zakrojonych wniosków
• Prawo do sprostowania niedokładnych lub niekompletnych danych
• Prawo do usunięcia danych
• Prawo do ograniczenia przetwarzania
• Prawo do przenoszenia danych przetwarzanych w sposób zautomatyzowany na podstawie zgody lub umowy
• Prawo do wniesienia sprzeciwu wobec przetwarzania
• Prawo do wycofania zgody
• Prawo do niepodlegania zautomatyzowanemu podejmowaniu indywidualnych decyzji wywołujących skutki prawne lub podobnie istotne, z gwarancją ręcznego przeglądu
• Prawo do wniesienia skargi do FDPIC lub wszczęcia postępowania cywilnego

Terminy Udzielania Odpowiedzi

Administratorzy muszą odpowiadać na wnioski osób, których dane dotyczą, w ciągu 30 dni w ramach ogólnych przepisów, z możliwością przedłużenia tego terminu poprzez uzasadnione powiadomienie w złożonych przypadkach. Gotowość operacyjna do realizacji tego okna — ze szwajcarskojęzycznymi narzędziami i procedurami w językach niemieckim, francuskim i włoskim — jest powszechną luką u zagranicznych wydawców, którzy dostosowali swój program do jednego języka europejskiego.

Kary i Podejście Egzekwycyjne w 2026 roku

Aktywność egzekwyjna FDPIC wyraźnie eskalowała w latach 2024 i 2025, a 2026 rok podtrzymuje ten trend, a nie stanowi punktu kulminacyjnego.

Struktura Kar

Kary mają przede wszystkim charakter karny i są kierowane pod adresem wymienionych z nazwiska osób — dyrektorów, DPO, osób kierujących compliance — z górnym limitem wynoszącym 250 000 CHF za umyślne naruszenie. Najczęściej cytowane kategorie w postępowaniach egzekwycyjnych z 2025 roku to: niewystarczające informowanie osób, których dane dotyczą, naruszenie wymogu należytej staranności w zakresie przekazywania transgranicznego, niedopełnienie obowiązku zgłoszenia naruszenia danych do FDPIC w wymaganym terminie oraz niezgodność z decyzjami lub nakazami FDPIC.

Filar Odpowiedzialności Karnej

W odróżnieniu od RODO, karny tor odpowiedzialności przewidziany w revFADP skierowany jest przeciwko odpowiedzialnej osobie fizycznej, a nie wyłącznie podmiotowi prawnemu, co w 2025 roku wywołało znaczną wewnętrzną restrukturyzację procesów zatwierdzania. Praktyczny skutek jest taki, że zaświadczenia o zgodności i ścieżki audytu są istotne nie tylko z perspektywy organizacji, ale też samej osoby — a inspektorzy ochrony danych w szczególności dostosowali praktykę dokumentacyjną, aby to odzwierciedlić.

Tematy Egzekwowania

Działania FDPIC z 2025 roku i początku 2026 skupiają się wokół: banerów plików cookie pomniejszających wizualnie przycisk Odrzuć lub stosujących wstępnie zaznaczone pola, polityk prywatności niedostępnych w narodowym języku szwajcarskim użytkownika, transgranicznego przekazywania danych do dostawców ze Stanów Zjednoczonych niecertyfikowanych przez DPF i pozbawionych mechanizmu alternatywnego, nieodpowiadania na wnioski osób, których dane dotyczą, w ciągu 30 dni oraz opóźnionych lub brakujących zgłoszeń naruszeń. Zagraniczni wydawcy zostali zacytowani we wszystkich pięciu kategoriach, przy czym kategorie dotyczące projektu banerów i transgranicznego przekazywania danych prowadzą wykaz spraw.

Lista Kontrolna Audytu dla Ruchu Szwajcarskiego w 2026 roku

• Baner CMP jest wyświetlany w narodowym języku szwajcarskim użytkownika (DE, FR, IT lub RM), a przyciski Akceptuj, Odrzuć i Ustawienia mają równorzędną widoczność wizualną
• Cele zgody są granularne, a szczególnie wrażliwe przetwarzanie jest umieszczone za własnym przepływem zgody
• Polityka prywatności jest dostępna w każdym właściwym języku szwajcarskim z pełnym ujawnieniem tożsamości administratora, podmiotów przetwarzających, celów, okresu przechowywania, praw oraz ścieżki złożenia skargi do FDPIC
• Każdy transgraniczny przepływ z ruchu szwajcarskiego jest zmapowany do kraju docelowego i mechanizmu — adekwatności, certyfikacji Swiss-US DPF, klauzul SCC z addendum szwajcarskim FDPIC, wiążących reguł korporacyjnych lub udokumentowanego wyjątku
• Status certyfikacji DPF dostawców ze Stanów Zjednoczonych jest ponownie weryfikowany na opublikowanej liście, a nie ustalany jednorazowo i zapominany
• Rejestry zgód są opatrzone znacznikiem czasu, eksportowalne i przechowywane przez właściwy okres przedawnienia
• Procedura realizacji wniosków osób, których dane dotyczą, umożliwia odpowiedź w ciągu 30 dni od początku do końca, w językach niemieckim, francuskim i włoskim
• Procedura zgłaszania naruszeń jest dostosowana do terminów wynikających z revFADP i zintegrowana z wewnętrznym procesem reagowania na incydenty
• Procesy zatwierdzania odzwierciedlają architekturę odpowiedzialności karnej po stronie jednostki, z wymienionymi z nazwiska zatwierdzającymi i ścieżką dokumentacyjną
• Segmenty odbiorców ze szczególnie wrażliwych kategorii są chronione wyraźną zgodą pobraną odrębnie
• Klasyfikacja plików cookie została poddana krytycznej weryfikacji pod kątem tego, które pliki faktycznie kwalifikują się jako ściśle niezbędne zgodnie z wytycznymi FDPIC

Perspektywy na 2026 rok

Szwajcarski reżim ochrony danych dojrzał od szanowanego, lecz cichego starszego przepisu do działającego instrumentu posiadającego operacyjną szczegółowość, zdolność egzekwowania i architekturę odpowiedzialności karnej pozwalającą samodzielnie kształtować priorytety compliance, a nie jedynie podążać za programem unijnym. Przeformułowanie adekwatności z 2024 roku zamknęło najistotniejszą strukturalną lukę dotyczącą przekazywania do USA, a narastająca postawa egzekwyjna FDPIC z 2025 roku jest spójna z regulatorem skalującym działania w sposób trwały, a nie prowadzącym jednorazową kampanię. Wydawcy realizujący już stos zgody na poziomie RODO mają mniejszą lukę do wypełnienia na drodze do zgodności z revFADP niż w przypadku jakiejkolwiek innej jurysdykcji spoza UE — ale luka istnieje i leży w szczegółach: szwajcarskojęzyczne banery i powiadomienia, mapowanie DPF-a-SCC dla każdego dostawcy z USA, nieco inna granica szczególnie wrażliwej kategorii, 30-dniowy rytm odpowiedzi w trzech lub czterech językach oraz architektura odpowiedzialności karnej, która czyni dokumentację indywidualnego zatwierdzenia artefaktem compliance pierwszej klasy, a nie przyjemnym dodatkiem. Lukę można wypełnić w ciągu tygodni, gdy się ją potraktuje priorytetowo, a szwajcarskie CPM wydawców sprawiają, że priorytetyzacja jest ekonomicznie uzasadniona. Wydawcy, którzy cicho traktowali Szwajcarię jako przejście przez RODO do 2024 roku, odkrywają, że 2026 rok jest wyraźnie bardziej wymagający — a tendencja jest jasna.