Структура revFADP в 2026 году

revFADP заменил швейцарский режим защиты данных 1992 года структурой, которая тесно следует GDPR в большинстве операционных аспектов, сохраняя при этом горстку отчётливо швейцарских позиций. Пересмотренное Постановление о защите данных (rev-OPDP) и Постановление о сертификациях защиты данных, оба действующие наряду с revFADP, заполняют операционные детали.

Что изменил пересмотр

Пересмотр ввёл: обязательное уведомление о нарушениях в FDPIC, требование о записи обработки для большинства контролёров, оценки воздействия на защиту данных для обработки высокого риска, по-настоящему экстерриториальную сферу действия, аналогичную Статье 3(2) GDPR, усиленные права субъектов данных и резерв уголовной ответственности, применимый к лицам, а не только к контролирующей организации. Определение персональных данных, основания для законной обработки и структура прав субъектов данных все тесно согласованы с GDPR, что существенно упрощает швейцарское соответствие для издателей, уже использующих программу GDPR, — но не устраняет его.

Кто регулируется

revFADP применяется к обработке данных в Швейцарии и к обработке за пределами Швейцарии, затрагивающей лиц в Швейцарии. Иностранные издатели, обслуживающие швейцарский трафик через локализованные сайты, домен .ch, немецко-французско-итальянско-ретороманский контент, настроенный на швейцарскую аудиторию, или программатик-инвентарь, купленный против швейцарских IP, обычно попадают в сферу действия, и FDPIC подтвердил экстерриториальное прочтение в своих обновлениях руководства 2025 года.

Административные штрафы и уголовный резерв

Самое обсуждаемое отличие revFADP от GDPR в том, что его архитектура санкций является преимущественно уголовной, а не административной. Индивидуальные штрафы — обычно на ответственных физических лиц, таких как директора, специалисты по защите данных или руководители по соответствию — могут достигать 250 000 швейцарских франков за нарушение при умышленных правонарушениях, с параллельной уголовной ответственностью за наиболее серьёзное поведение. Заявленный потолок ниже потолка GDPR в четыре процента оборота в абсолютном выражении, но направление ответственности — на названное лицо, а не только на организацию — меняет расчёт риска на практике. Несколько издателей перестроили внутренние рабочие процессы согласования в 2025 году специально для распределения уязвимости.

Что считается персональными данными по revFADP

Определение персональных данных revFADP тесно следует GDPR. Персональные данные — это информация, относящаяся к идентифицированному или идентифицируемому лицу, и FDPIC последовательно трактовал cookie, рекламные идентификаторы, IP-адреса, отпечатки устройств и поведенческие профили как персональные данные, когда они могут быть привязаны к лицу напрямую или в сочетании с другой информацией.

Особо чувствительные персональные данные

revFADP обозначает категорию под названием особо чувствительные персональные данные, которая несколько шире, чем специальные категории GDPR. Она включает: данные о религиозных, философских, политических или профсоюзных взглядах и деятельности, данные о здоровье, данные об интимной сфере или расовом или этническом происхождении, генетические и биометрические данные, однозначно идентифицирующие лицо, данные об административных и уголовных процессах или санкциях, и данные о мерах социальной помощи. Обработка особо чувствительных персональных данных запускает повышенные требования согласия и прозрачности.

Почему это важно для cookie

Cookie, хранящий рутинный рекламный идентификатор, — это обычные персональные данные. Cookie, который питает сегмент аудитории, затрагивающий особо чувствительный список — интересы в области здоровья, политические наклонности, религиозная принадлежность — это обработка особо чувствительных персональных данных и требует явного согласия, отдельного от общего потока рекламного согласия. Швейцароязычный таргетинг аудитории, который пересекается с этим списком, должен быть проверен конкретно на соответствие границе, которая проведена немного иначе, чем линия специальных категорий GDPR.

Согласие на cookie по revFADP в 2026 году

revFADP допускает несколько правовых оснований для обработки, и в отличие от Директивы ePrivacy в применении в государствах-членах ЕС, швейцарское право не налагает законодательный базовый уровень «только согласие» для несущественных cookie. Однако на практике руководство FDPIC 2024 и 2025 годов и самые последние решения по правоприменению сошлись на позиции, которая очень близка к базовому уровню ЕС для cookie, связанных с рекламой, аналитикой и кросс-контекстным профилированием.

Операционная позиция FDPIC

Опубликованная позиция FDPIC заключается в том, что несущественные cookie — включая рекламу, ретаргетинг, кросс-сайтовую аналитику и персонализацию — требуют предварительного, информированного, свободно данного и конкретного согласия, захваченного до срабатывания cookie. Строго необходимые cookie и cookie, поддерживающие услугу, которую пользователь явно запросил, могут быть установлены на основе законного интереса или на основе исполнения договора без предварительного запроса согласия, но бремя классификации cookie как строго необходимого лежит на контролёре и было оспорено в нескольких жалобах 2025 года.

Элементы действительного согласия

Согласие по revFADP должно быть:

• Свободно данным — без принуждения, объединения с предоставлением существенной услуги или cookie-стены, обусловливающей доступ к основному контенту принятием несущественного cookie
• Информированным — субъект данных понимает, какие данные обрабатываются, кем, с какой целью и с какими получателями
• Конкретным — привязанным к чётко определённым целям обработки, а не зонтичным согласием
• Недвусмысленным — выраженным через ясное утвердительное действие, а не выведенным из прокрутки, продолжения просмотра или бездействия
• Явным в случаях, связанных с особо чувствительными персональными данными, с отдельным согласием на чувствительную обработку

Как выглядит соответствующая CMP для швейцарского трафика

CMP, настроенная для Швейцарии в 2026 году, должна представлять:

• Баннер на языке пользователя — немецком, французском, итальянском или ретороманском — до срабатывания любого несущественного cookie, с выбором языка, соответствующим локализации сайта .ch, а не по умолчанию на английском
• Равную визуальную заметность для действий «Принять», «Отклонить» и «Настройки» — руководство FDPIC 2025 года прямо критикует дизайны баннеров, где «Отклонить» визуально приглушён относительно «Принять»
• Гранулярные переключатели по каждой цели: аналитика, реклама, персонализация, трансграничная передача и любая особо чувствительная категория
• Отдельный поток согласия для любой обработки особо чувствительных персональных данных, защищённый собственным действием, а не объединённый в общее согласие
• Постоянный, легко находимый механизм отзыва согласия после первоначального выбора, с паритетом трения с предоставлением согласия
• Полное уведомление о конфиденциальности на швейцарском языке, раскрывающее личность контролёра, обработчиков, цели, получателей, сроки хранения, механизмы передачи и путь прав субъектов данных

Записи о согласии

Контролёры должны вести доказательства согласия — кто дал согласие, когда, на какие конкретные цели и через какой интерфейс. Неадекватные записи согласия фигурировали в нескольких следственных письмах FDPIC в 2025 году, и журналы с временными метками, экспортируемые и хранимые в течение применимого срока давности, являются базовым ожиданием.

Трансграничные передачи после перенастройки адекватности 2024 года

Трансграничные передачи данных — это область revFADP, где швейцарская позиция наиболее явно отходит от позиции ЕС и слегка отстаёт от неё. Перенастройка 2024 года после принятия ЕС Рамки конфиденциальности данных ЕС-США произвела параллельную Швейцарско-американскую рамку конфиденциальности данных, но её сфера действия и условия не идентичны.

Признанные механизмы передачи

revFADP и rev-OPDP признают несколько путей:

• Решения об адекватности Федеральным советом Швейцарии для стран, оценённых как обеспечивающие адекватную защиту — текущий список включает ЕЭЗ, Великобританию и горстку других юрисдикций
• Швейцарско-американская рамка конфиденциальности данных для передач организациям США, самосертифицированным по рамке, которая заменила Швейцарско-американский щит конфиденциальности после 2024 года
• Стандартные договорные положения, признанные FDPIC, включая EU SCC со швейцарским дополнением, которое опубликовал FDPIC
• Обязательные корпоративные правила, утверждённые FDPIC
• Конкретные исключения, включая явное согласие с адекватным раскрытием, договорную необходимость, жизненный интерес и существенный общественный интерес

Швейцарско-американская DPF на практике

Швейцарско-американская DPF охватывает передачи организациям США, которые самосертифицировались и поддерживали свою сертификацию. Издатели должны проверять статус активной сертификации каждого американского поставщика рекламных технологий или аналитики в списке DPF, а не полагаться на одноразовую проверку, потому что истёкшие сертификации не аннулируют ретроактивно предыдущие передачи, но требуют немедленного устранения для текущих потоков. Там, где поставщик не сертифицирован по DPF, EU SCC со швейцарским дополнением FDPIC остаются рабочей альтернативой.

Практический подход 2026 года

Для большинства издателей рабочий подход заключается в сопоставлении каждого трансграничного потока данных от швейцарского трафика с его страной назначения и механизмом, выполнении соответствующих SCC-со-швейцарским-дополнением там, где сертификация DPF не покрывает поставщика, документировании механизма в уведомлении о конфиденциальности на швейцарском языке и дополнении авторизацией на основе согласия только там, где структурированные механизмы не чётко подходят для обработки.

Права субъектов данных по revFADP

revFADP предоставляет набор прав, тесно следующих GDPR, с несколькими швейцарско-специфичными контурами:

• Право на доступ к персональным данным, хранящимся у контролёра, с бесплатным первым доступом в год и потолком возмещения затрат для последующих или крупномасштабных запросов
• Право на исправление неточных или неполных данных
• Право на удаление
• Право на ограничение обработки
• Право на переносимость данных для данных, обрабатываемых автоматизированными средствами на основе согласия или договора
• Право возражать против обработки
• Право отозвать согласие
• Право не подвергаться автоматизированному индивидуальному принятию решений, производящему правовые или аналогично значимые последствия, с гарантией ручного рассмотрения
• Право подать жалобу в FDPIC или возбудить гражданское дело

Сроки ответа

Контролёры должны отвечать на запросы субъектов данных в течение 30 дней в рамках общей структуры, продлеваемых мотивированным уведомлением в сложных случаях. Операционная готовность к этому окну — с инструментарием и регламентами на швейцарских языках на немецком, французском и итальянском — это распространённый пробел для иностранных издателей, настроивших свою программу на единственный европейский язык.

Штрафы и позиция по правоприменению в 2026 году

Деятельность FDPIC по правоприменению существенно усилилась на протяжении 2024 и 2025 годов, и 2026 год продолжает траекторию, а не выходит на плато.

Структура штрафов

Штрафы являются преимущественно уголовными по характеру и направлены на названных лиц — директоров, DPO, руководителей по соответствию — с потолком в 250 000 швейцарских франков за умышленное нарушение. Наиболее часто упоминаемые категории в правоприменении 2025 года были: недостаточная информация для субъектов данных, нарушение должной осторожности при трансграничных передачах, невыполнение обязанности уведомлять о нарушениях данных в FDPIC в требуемое окно и несоблюдение решений или приказов FDPIC.

Резерв уголовной ответственности

В отличие от GDPR, маршрут уголовной ответственности revFADP направлен против ответственного физического лица, а не только юридического лица, что побудило существенную внутреннюю перестройку рабочих процессов согласования в 2025 году. Практический эффект в том, что аттестации соответствия и контрольные журналы имеют значение не только для уязвимости организации, но и для уязвимости лица — и DPO в частности скорректировали практику документирования, чтобы отразить это.

Темы правоприменения

Действия FDPIC в 2025 и начале 2026 года группируются вокруг: cookie-баннеров, которые приглушают действие «Отклонить» или используют предварительно отмеченные поля, уведомлений о конфиденциальности, недоступных на швейцарском национальном языке пользователя, трансграничных передач американским поставщикам, не сертифицированным по DPF и не имеющим альтернативного механизма, невозможности ответить на запросы субъектов данных в окне 30 дней и задержанных или отсутствующих уведомлений о нарушениях. Иностранные издатели были упомянуты во всех пяти категориях, причём категории дизайна баннеров и трансграничных передач возглавляют список.

Чек-лист аудита для швейцарского трафика в 2026 году

• Баннер CMP подаётся на швейцарском национальном языке пользователя (DE, FR, IT или RM) с «Принять», «Отклонить» и «Настройки» на равной визуальной заметности
• Цели согласия гранулярны и отделяют особо чувствительную обработку за собственным потоком согласия
• Уведомление о конфиденциальности доступно на каждом соответствующем швейцарском языке с полными раскрытиями контролёра, обработчиков, целей, хранения, прав и пути жалобы в FDPIC
• Каждый трансграничный поток от швейцарского трафика сопоставлен с его назначением и механизмом — адекватность, сертификация Швейцарско-американской DPF, SCC с FDPIC-швейцарским-дополнением, BCR или задокументированное исключение
• Статус DPF-сертификации американского поставщика повторно проверяется по опубликованному списку, а не принимается однажды и забывается
• Журналы согласия имеют временные метки, экспортируемы и хранятся в течение применимого срока давности
• Рабочий процесс запросов субъектов данных может отвечать в течение 30 дней от начала до конца, на немецком, французском и итальянском
• Регламент уведомления о нарушениях настроен на сроки revFADP и интегрирован с внутренним процессом реагирования на инциденты
• Рабочие процессы согласования отражают архитектуру уголовной-ответственности-на-лице, с названными утверждающими и контрольным журналом документации
• Сегменты аудитории особо чувствительных категорий защищены явным, отдельно захваченным согласием
• Классификация cookie пересмотрена критическим взглядом на то, какие cookie действительно квалифицируются как строго необходимые по руководству FDPIC

Перспектива 2026 года

Режим защиты данных Швейцарии созрел из уважаемого, но тихого старого закона в рабочий инструмент с операционной конкретикой, потенциалом правоприменения и архитектурой уголовной ответственности, чтобы формировать приоритеты соответствия самостоятельно, а не просто ехать на программе ЕС. Перенастройка адекватности 2024 года закрыла наиболее значимый структурный пробел вокруг передач в США, и усиливающаяся позиция FDPIC по правоприменению в 2025 году согласуется с регулятором, наращивающим масштаб устойчивым образом, а не проводящим разовую кампанию. Для издателей, уже использующих стек согласия уровня GDPR, разрыв до соответствия revFADP уже, чем разрыв для любой другой не-ЕС юрисдикции — но он реален и живёт в деталях: швейцароязычные баннеры и уведомления, сопоставление DPF-против-SCC для каждого американского поставщика, немного иная линия особо чувствительной категории, 30-дневный темп ответа на трёх или четырёх языках и архитектура уголовной ответственности, которая делает документацию индивидуального согласования первоклассным артефактом соответствия, а не приятным дополнением. Разрыв можно закрыть за недели при расстановке приоритетов, и швейцарские издательские CPM делают расстановку приоритетов экономически простой. Издатели, которые тихо относились к Швейцарии как к транзиту GDPR на протяжении 2024 года, находят 2026 год значительно более требовательным, и тенденция ясна.