Štruktúra revFADP v roku 2026

revFADP nahradil švajčiarsky režim ochrany údajov z roku 1992 rámcom, ktorý vo väčšine operatívnych hľadísk úzko sleduje GDPR a zároveň zachováva niekoľko výrazne švajčiarskych pozícií. Revidovaná vyhláška o ochrane údajov (rev-OPDP) a Vyhláška o certifikáciách ochrany údajov, obe účinné popri revFADP, dopĺňajú operačné podrobnosti.

Čo Revízia Zmenila

Revízia zaviedla: povinné oznamovanie porušení FDPIC, požiadavku na záznamy o spracúvaní pre väčšinu prevádzkovateľov, posúdenia vplyvu na ochranu údajov pri spracúvaní s vysokým rizikom, skutočne extrateritoriálny rozsah pôsobnosti podobný článku 3 ods. 2 GDPR, posilnené práva dotknutých osôb a trestnoprávnu záložnú zodpovednosť uplatniteľnú na fyzické osoby, a nielen na kontrolujúcu organizáciu. Definícia osobných údajov, základy zákonného spracúvania a štruktúra práv dotknutých osôb sú všetky úzko zosúladené s GDPR, čo výrazne zjednodušuje švajčiarsky súlad pre vydavateľov, ktorí už realizujú program GDPR — ale neodstraňuje ho.

Kto Je Regulovaný

revFADP sa uplatňuje na spracúvanie údajov vo Švajčiarsku a na spracúvanie mimo Švajčiarska, ktoré sa dotýka osôb vo Švajčiarsku. Zahraniční vydavatelia obsluhujúci švajčiarsku návštevnosť prostredníctvom lokalizovaných stránok, domény .ch, nemecky-francúzsky-taliansky-rétorománsky obsah prispôsobený švajčiarskemu publiku alebo programatický inventár zakúpený oproti švajčiarskym IP adresám sú zvyčajne v rozsahu pôsobnosti, a FDPIC potvrdil extrateritoriálny výklad vo svojich aktualizáciách usmernení z roku 2025.

Administratívne Pokuty a Trestnoprávna Záloha

Najdiskutovanejšou odchýlkou revFADP od GDPR je, že jeho architektúra sankcií je primárne trestnoprávna, a nie administratívna. Individuálne pokuty — zvyčajne voči zodpovedným fyzickým osobám, ako sú riaditelia, zodpovedné osoby za ochranu údajov alebo vedúci pracovníci pre súlad — môžu dosiahnuť až 250 000 CHF za porušenie pri úmyselných protiprávnych konaní, s paralelnou trestnou zodpovednosťou za najzávažnejšie konanie. Hlavný strop je v absolútnych číslach nižší ako štvorpercentný strop obratu podľa GDPR, ale smer zodpovednosti — voči menovanej osobe, a nielen organizácii — v praxi mení kalkuláciu rizika. Viacero vydavateľov v roku 2025 reštrukturalizovalo interné schvaľovacie pracovné postupy konkrétne za účelom rozloženia expozície.

Čo Sa Považuje za Osobné Údaje Podľa revFADP

Definícia osobných údajov v revFADP úzko sleduje GDPR. Osobné údaje sú informácie týkajúce sa identifikovanej alebo identifikovateľnej osoby, a FDPIC dôsledne zaobchádzal so súbormi cookie, identifikátormi reklám, IP adresami, odtlačkami zariadení a profilmi správania ako s osobnými údajmi, keď ich možno priamo alebo v kombinácii s inými informáciami spojiť s konkrétnou osobou.

Osobitne Citlivé Osobné Údaje

revFADP vyčleňuje kategóriu nazývanú osobitne citlivé osobné údaje, ktorá je o niečo širšia ako špeciálne kategórie GDPR. Zahŕňa: údaje o náboženských, filozofických, politických alebo odborových názoroch a činnostiach, zdravotné údaje, údaje o intímnej sfére alebo rasovom alebo etnickom pôvode, genetické a biometrické údaje jednoznačne identifikujúce osobu, údaje o administratívnych a trestnoprávnych konaniach alebo sankciách a údaje o opatreniach sociálnej pomoci. Spracúvanie osobitne citlivých osobných údajov spúšťa zvýšené požiadavky na súhlas a transparentnosť.

Prečo Je To Dôležité pre Súbory Cookie

Súbor cookie uchovávajúci bežný identifikátor reklamy sú bežné osobné údaje. Súbor cookie, ktorý napĺňa segment publika dotýkajúci sa zoznamu osobitne citlivých údajov — zdravotné záujmy, politické sklony, náboženská príslušnosť — je spracúvaním osobitne citlivých osobných údajov a vyžaduje výslovný súhlas, oddelený od všeobecného toku súhlasu na reklamu. Cielenie publika v švajčiarskom jazyku, ktoré sa prekrýva s týmto zoznamom, by malo byť osobitne auditované voči hranici, ktorá je nakreslená mierne odlišne od línie špeciálnych kategórií GDPR.

Súhlas so Súbormi Cookie Podľa revFADP v roku 2026

revFADP povoľuje niekoľko zákonných základov pre spracúvanie a na rozdiel od smernice ePrivacy uplatňovanej v členských štátoch EÚ, švajčiarske právo nestanovuje zákonný základ výhradného súhlasu pre nepodstatné súbory cookie. V praxi však usmernenia FDPIC z rokov 2024 a 2025 a najnovšie rozhodnutia o presadzovaní konvergovali k pozícii, ktorá je veľmi blízka štandardnému nastaveniu EÚ pre súbory cookie spojené s reklamou, analýzou a viacúčelovým profilovaním.

Operačná Pozícia FDPIC

Zverejnená pozícia FDPIC je, že nepodstatné súbory cookie — vrátane reklamných, retargetingových, medzistránkovej analytiky a personalizácie — vyžadujú predchádzajúci, informovaný, slobodne udelený a konkrétny súhlas získaný pred aktiváciou súboru cookie. Prísne nevyhnutné súbory cookie a súbory cookie podporujúce službu, ktorú si používateľ výslovne vyžiadal, možno nastaviť na základe oprávneného záujmu alebo základu plnenia zmluvy bez predchádzajúcej výzvy na súhlas, ale bremeno klasifikovania súboru cookie ako prísne nevyhnutného spočíva na prevádzkovateľovi a bolo spochybnené v niekoľkých sťažnostiach z roku 2025.

Prvky Platného Súhlasu

Súhlas podľa revFADP musí byť:

• Slobodne udelený — bez nátlaku, spájania s poskytovaním základných služieb alebo steny súborov cookie podmieňujúcej prístup k základnému obsahu prijatím nepodstatného súboru cookie
• Informovaný — dotknutá osoba rozumie tomu, aké údaje sú spracúvané, kým, na aký účel a ktorým príjemcom
• Konkrétny — viazaný na jasne identifikované účely spracúvania, nie na všeobecný súhlas
• Jednoznačný — vyjadrený jasným afirmatívnym konaním, nie odvodzovaný z posunutia stránky, pokračovania prehliadania alebo nečinnosti
• Výslovný v prípadoch zahŕňajúcich osobitne citlivé osobné údaje, s oddeleným súhlasom pre citlivé spracúvanie

Ako Vyzerá Vyhovujúce CMP pre Švajčiarsku Návštevnosť

CMP nakonfigurovaná pre Švajčiarsko v roku 2026 by mala prezentovať:

• Banner zobrazovaný v jazyku používateľa — nemeckom, francúzskom, talianskom alebo rétorománskom — pred aktiváciou akéhokoľvek nepodstatného súboru cookie, pričom výber jazyka by mal zodpovedať lokalizácii stránky .ch, a nie predvolene angličtine
• Rovnakú vizuálnu výraznosť pre akcie Prijať, Odmietnuť a Nastavenia — usmernenia FDPIC z roku 2025 výslovne kritizujú návrhy bannerov, kde je Odmietnuť vizuálne potlačené v porovnaní s Prijať
• Granulárne prepínače podľa účelu: analytika, reklama, personalizácia, cezhraničný prenos a akékoľvek osobitne citlivé kategórie
• Samostatný tok súhlasu pre akékoľvek spracúvanie osobitne citlivých osobných údajov, umiestnený za vlastnú akciu, a nie zoskupený do všeobecného súhlasu
• Pretrvávajúci a ľahko nájditeľný mechanizmus na odvolanie súhlasu po počiatočnej voľbe, s rovnakou námahou ako pri udeľovaní súhlasu
• Úplné oznámenie o ochrane osobných údajov v švajčiarskom jazyku odhaľujúce identitu prevádzkovateľa, spracovateľov, účely, príjemcov, doby uchovávania, mechanizmy prenosu a cestu práv dotknutých osôb

Záznamy o Súhlase

Prevádzkovatelia musia uchovávať dôkaz o súhlase — kto súhlasil, kedy, s akými konkrétnymi účelmi a prostredníctvom ktorého rozhrania. Nedostatočné záznamy o súhlase sa objavili v niekoľkých vyšetrovacích listoch FDPIC v roku 2025 a exportovateľné protokoly s časovou pečiatkou uchovávané po príslušné premlčacie lehoty sú základným očakávaním.

Cezhraničné Prenosy po Preformulovaní Primeranosti v roku 2024

Cezhraničné prenosy údajov sú oblasťou revFADP, kde sa švajčiarska pozícia najzreteľnejšie odlišuje od pozície EÚ a mierne za ňou zaostáva. Preformulovanie z roku 2024 po prijatí EU-US Data Privacy Framework zo strany EÚ prinieslo paralelný Swiss-US Data Privacy Framework, ale jeho rozsah a podmienky nie sú totožné.

Uznané Mechanizmy Prenosu

revFADP a rev-OPDP uznávajú niekoľko ciest:

• Rozhodnutia o primeranosti Švajčiarskej federálnej rady pre krajiny hodnotené ako poskytujúce primeranú ochranu — súčasný zoznam zahŕňa EHP, Spojené kráľovstvo a niekoľko ďalších jurisdikcií
• Swiss-US Data Privacy Framework pre prenosy do amerických organizácií, ktoré sa samocertifikovali v rámci tohto mechanizmu, ktorý po roku 2024 nahradil Swiss-US Privacy Shield
• Štandardné zmluvné doložky uznané FDPIC, vrátane EU SCC s švajčiarskym dodiatkom uverejneným FDPIC
• Záväzné vnútropodnikové pravidlá schválené FDPIC
• Konkrétne výnimky vrátane výslovného súhlasu s primeraným zverejnením, zmluvnej nevyhnutnosti, životne dôležitého záujmu a podstatného verejného záujmu

Swiss-US DPF v Praxi

Swiss-US DPF pokrýva prenosy do amerických organizácií, ktoré sa samocertifikovali a udržiavajú svoju certifikáciu. Vydavatelia by mali overovať aktívny stav certifikácie každého amerického dodávateľa reklamných technológií alebo analytiky v zozname DPF, a nie sa spoliehať na jednorazovú kontrolu, pretože vypršané certifikácie spätne nezneplatňujú predchádzajúce prenosy, ale vyžadujú okamžitú nápravu pre prebiehajúce toky. Ak dodávateľ nie je certifikovaný DPF, EU SCC so švajčiarskym dodiatkom FDPIC zostáva funkčnou alternatívou.

Praktický Prístup na rok 2026

Pre väčšinu vydavateľov je funkčný prístup zmapovať každý cezhraničný tok údajov zo švajčiarskej návštevnosti do cieľovej krajiny a mechanizmu, vykonať príslušné SCC so švajčiarskym dodiatkom tam, kde certifikácia DPF nepokrýva dodávateľa, zdokumentovať mechanizmus v oznámení o ochrane osobných údajov v švajčiarskom jazyku a doplniť o autorizáciu na základe súhlasu len tam, kde štruktúrované mechanizmy jasne nevyhovujú spracúvaniu.

Práva Dotknutých Osôb Podľa revFADP

revFADP zaručuje súbor práv úzko sledujúcich GDPR, s niekoľkými švajčiarskymi špecifickými odtieňmi:

• Právo na prístup k osobným údajom uchovávaným prevádzkovateľom, s prvým bezplatným prístupom raz ročne a stropom náhrady nákladov pre následné alebo rozsiahle žiadosti
• Právo na opravu nepresných alebo neúplných údajov
• Právo na vymazanie
• Právo na obmedzenie spracúvania
• Právo na prenosnosť údajov spracúvaných automatizovanými prostriedkami na základe súhlasu alebo zmluvy
• Právo namietať voči spracúvaniu
• Právo odvolať súhlas
• Právo nebyť predmetom automatizovaného individuálneho rozhodovania produkujúceho právne alebo podobne závažné účinky, so zárukou manuálneho preskúmania
• Právo podať sťažnosť FDPIC alebo začať občianskoprávne konanie

Lehoty na Odpoveď

Prevádzkovatelia musia odpovedať na žiadosti dotknutých osôb do 30 dní v rámci všeobecného rámca, s možnosťou predĺženia odôvodneným oznámením v zložitých prípadoch. Prevádzková pripravenosť na toto okno — so švajčiarskym jazykovým nástrojom a pracovnými postupmi v nemčine, francúzštine a taliančine — je bežnou medzerou pre zahraničných vydavateľov, ktorí prispôsobili svoj program jednému európskemu jazyku.

Sankcie a Postoj k Presadzovaniu v roku 2026

Aktivita FDPIC v oblasti presadzovania práva výrazne eskalovala v rokoch 2024 a 2025 a rok 2026 pokračuje v tejto trajektórii namiesto vyrovnávania.

Štruktúra Pokút

Pokuty sú primárne trestnoprávnej povahy a smerujú voči menovaným osobám — riaditeľom, zodpovedným osobám za ochranu údajov, vedúcim pracovníkom pre súlad — so stropom 250 000 CHF za úmyselné porušenie. Najčastejšie citované kategórie v presadzovaní z roku 2025 boli: nedostatočné informácie dotknutým osobám, porušenie povinnosti starostlivosti pri cezhraničných prenosoch, nesplnenie povinnosti oznámiť porušenia ochrany osobných údajov FDPIC v požadovanej lehote a nesúlad s rozhodnutiami alebo príkazmi FDPIC.

Trestnoprávna Záložná Zodpovednosť

Na rozdiel od GDPR, trestnoprávna cesta zodpovednosti podľa revFADP smeruje voči zodpovednej fyzickej osobe, a nielen právnickej osobe, čo v roku 2025 vyvolalo podstatnú internú reštrukturalizáciu schvaľovacích pracovných postupov. Praktickým dôsledkom je, že atestácie o súlade a auditné záznamy sú dôležité nielen pre expozíciu organizácie, ale aj pre expozíciu jednotlivca — a zodpovedné osoby za ochranu údajov najmä prispôsobili dokumentačnú prax, aby to odrážali.

Témy Presadzovania

Akcie FDPIC z roku 2025 a začiatku roku 2026 sa sústreďujú okolo: bannerov súborov cookie, ktoré potláčajú vizuálne akciu Odmietnuť alebo používajú predvyplnené políčka, oznámení o ochrane osobných údajov nedostupných v národnom švajčiarskom jazyku používateľa, cezhraničných prenosov k americkým dodávateľom, ktorí nie sú certifikovaní DPF a nemajú alternatívny mechanizmus, nesplnenia povinnosti odpovedať na žiadosti dotknutých osôb v lehote 30 dní a oneskorených alebo chýbajúcich oznámení o porušeniach. Zahraniční vydavatelia boli citovaní vo všetkých piatich kategóriách, pričom kategórie dizajnu bannera a cezhraničného prenosu vedú zoznam prípadov.

Kontrolný Zoznam Auditu pre Švajčiarsku Návštevnosť v roku 2026

• Banner CMP sa zobrazuje v národnom švajčiarskom jazyku používateľa (DE, FR, IT alebo RM) s akciami Prijať, Odmietnuť a Nastavenia s rovnakou vizuálnou výraznosťou
• Účely súhlasu sú granulárne a osobitne citlivé spracúvanie umiestňujú za vlastný tok súhlasu
• Oznámenie o ochrane osobných údajov je dostupné v každom príslušnom švajčiarskom jazyku s úplným zverejnením prevádzkovateľa, spracovateľov, účelov, uchovávania, práv a cesty sťažnosti FDPIC
• Každý cezhraničný tok zo švajčiarskej návštevnosti je zmapovaný na svoju destináciu a mechanizmus — primeranosť, certifikácia Swiss-US DPF, SCC so švajčiarskym dodiatkom FDPIC, záväzné vnútropodnikové pravidlá alebo zdokumentovaná výnimka
• Stav certifikácie DPF amerického dodávateľa je znovu overený v uverejnenom zozname, a nie jednorazovo skontrolovaný a zabudnutý
• Záznamy o súhlase sú opatrené časovou pečiatkou, exportovateľné a uchovávané po príslušné premlčacie lehoty
• Pracovný postup žiadostí dotknutých osôb dokáže odpovedať do 30 dní od začiatku do konca, v nemčine, francúzštine a taliančine
• Príručka na oznamovanie porušení je nastavená na lehoty revFADP a integrovaná s interným procesom reakcie na incidenty
• Schvaľovacie pracovné postupy odrážajú architektúru trestnoprávnej zodpovednosti voči jednotlivcovi, s menovanými schvaľovateľmi a dokumentačnou stopou
• Segmenty publika osobitne citlivých kategórií sú chránené výslovným súhlasom získaným osobitne
• Klasifikácia súborov cookie bola preskúmaná kritickým pohľadom na to, ktoré súbory cookie skutočne spĺňajú podmienky prísnej nevyhnutnosti podľa usmernení FDPIC

Výhľad na rok 2026

Švajčiarsky režim ochrany údajov dozrel zo starého rešpektovaného, ale tichého zákona na funkčný nástroj s operačnou špecifickosťou, kapacitou presadzovania a architektúrou trestnoprávnej zodpovednosti na tvarovanie priorít súladu samostatne, a nie len v závislosti od programu EÚ. Preformulovanie primeranosti z roku 2024 uzavrelo najdôslednejšiu štrukturálnu medzeru týkajúcu sa prenosov do USA a eskalujúci postoj FDPIC k presadzovaniu z roku 2025 je v súlade s regulátorom, ktorý sa udržateľne rozrastá, a nie riadi jednorazovú kampaň. Pre vydavateľov, ktorí už prevádzkujú zásobník súhlasu na úrovni GDPR, je medzera k súladu s revFADP užšia ako medzera pre akúkoľvek inú jurisdikciu mimo EÚ — ale je reálna a nachádza sa v špecifikách: bannery a oznámenia v švajčiarskom jazyku, mapovanie DPF oproti SCC pre každého amerického dodávateľa, mierne odlišná línia osobitne citlivej kategórie, 30-dňová frekvencia odpovedí v troch alebo štyroch jazykoch a architektúra trestnoprávnej zodpovednosti, ktorá z dokumentácie individuálneho schválenia robí primárny artefakt súladu, a nie len nice-to-have. Medzeru možno uzavrieť v priebehu týždňov, ak bude prioritizovaná, a švajčiarske CPM vydavateľov robia prioritizáciu ekonomicky priamočiarou. Vydavatelia, ktorí ticho považovali Švajčiarsko za priepust GDPR cez rok 2024, zisťujú, že rok 2026 je výrazne náročnejší a trend je jasný.