Struktura e revFADP në 2026

revFADP zëvendësoi regjimin e mbrojtjes së të dhënave të Zvicrës nga viti 1992 me një kornizë që ndjek ngushtë GDPR-in në shumicën e aspekteve operacionale duke ruajtur njëkohësisht disa pozita tipikisht zvicerane. Rregullorja e rishikuar për Mbrojtjen e të Dhënave (rev-OPDP) dhe Rregullorja për Certifikimet e Mbrojtjes së të Dhënave, të dyja në fuqi krahas revFADP, plotësojnë detajet operacionale.

Çfarë Ndryshoi Rishikimi

Rishikimi prezantoi: njoftimin e detyrueshëm të shkeljeve tek FDPIC, kërkesën e regjistrit të përpunimit për shumicën e kontrolluesve, vlerësimet e ndikimit të mbrojtjes së të dhënave për përpunimin me rrezik të lartë, një shtrirje vërtetësisht ekstraterritoriale të ngjashme me Nenin 3(2) të GDPR-it, të drejta të forcuara të subjektit të të dhënave, dhe ndëshkim penal i aplikueshëm ndaj individëve dhe jo vetëm organizatës kontrolluese. Përkufizimi i të dhënave personale, bazat e përpunimit të ligjshëm, dhe struktura e të drejtave të subjektit të të dhënave janë të gjitha të lidhura ngushtë me GDPR-in, gjë që thjeshton thelbësisht pajtimin zviceran për botuesit që tashmë drejtojnë një program GDPR — por nuk e eliminon atë.

Kush Rregullohet

revFADP zbatohet për përpunimin e të dhënave në Zvicër dhe për përpunimin jashtë Zvicrës që prek individët në Zvicër. Botuesit e huaj që u shërbejnë trafikut zviceran nëpërmjet faqeve të lokalizuara, një domeni .ch, përmbajtjes gjermano-frënge-italiane-romanshike të përshtatur për audiencën zvicerane, ose inventarit programatik të blerë kundër IP-ve zvicerane janë zakonisht në fushëveprim, dhe FDPIC-u ka konfirmuar leximin ekstraterritorial në përditësimet e udhëzimit të tij të vitit 2025.

Gjobat Administrative dhe Ndëshkimi Penal

Largimi më i diskutuar i revFADP nga GDPR-i është se arkitektura e sanksioneve të tij është kryesisht penale e jo administrative. Gjobat individuale — zakonisht ndaj personave fizikë të përgjegjshëm si drejtorët, zyrtarët e mbrojtjes së të dhënave, ose drejtuesit e pajtimit — mund të arrijnë deri në 250,000 CHF për shkelje për kundërvajtjet e qëllimshme, me përgjegjësi penale paralele për sjelljen më të rëndë. Kufiri kryesor është më i ulët se kufiri i katër përqindëve të qarkullimit të GDPR-it në terma absolutë, por drejtimi i përgjegjësisë — ndaj individit të emërtuar dhe jo vetëm organizatës — ndryshon llogaritjen e rrezikut në praktikë. Disa botues kanë ristrukturuar flukset e brendshme të miratimit në vitin 2025 specifikishtpër të shpërndarë ekspozimin.

Çfarë Konsiderohet si të Dhëna Personale Sipas revFADP

Përkufizimi i të dhënave personale i revFADP ndjek ngushtë GDPR-in. Të dhënat personale janë informacione që lidhen me një person të identifikuar ose të identifikueshëm, dhe FDPIC-u ka trajtuar vazhdimisht cookie-t, identifikuesit e reklamave, adresat IP, gjurmët dixhitale të pajisjeve dhe profilet e sjelljes si të dhëna personale kur mund të lidhen me një individ drejtpërsëdrejti ose me kombinimin e informacionit tjetër.

Të Dhënat Personale Veçanërisht të Ndjeshme

revFADP cakton një kategori të quajtur të dhëna personale veçanërisht të ndjeshme që është disi më e gjerë se kategoritë speciale të GDPR-it. Ajo përfshin: të dhëna mbi pikëpamjet dhe aktivitetet fetare, filozofike, politike ose sindikale, të dhëna shëndetësore, të dhëna mbi sferën intime ose origjinën racore ose etnike, të dhëna gjenetike dhe biometrike që identifikojnë unike një person, të dhëna mbi procedurat dhe sanksionet administrative dhe penale, dhe të dhëna mbi masat e ndihmës sociale. Përpunimi i të dhënave personale veçanërisht të ndjeshme shkakton kërkesa të ngritura të pëlqimit dhe transparencës.

Pse Kjo ka Rëndësi për Cookie-t

Një cookie që ruan një identifikues të zakonshëm reklamimi është të dhëna personale të zakonshme. Një cookie që ushqen një segment audience që prek listën veçanërisht të ndjeshme — interesat shëndetësore, bindjet politike, përkatësia fetare — është përpunim i të dhënave personale veçanërisht të ndjeshme dhe kërkon pëlqim eksplicit, ndaras nga rrjedha e përgjithshme e pëlqimit të reklamimit. Targetimi i audiencës në gjuhën zvicerane që mbivendoset me këtë listë duhet të auditohet specifikishtkundër kufirit, i cili vizatohet paksa ndryshe nga linja e kategorisë speciale të GDPR-it.

Pëlqimi i Cookie-ve Sipas revFADP në 2026

revFADP lejon disa baza të ligjshme për përpunim, dhe ndryshe nga Direktiva ePrivacy e aplikuar në shtetet anëtare të BE-së, ligji zviceran nuk imponon një bazë statutore vetëm-me-pëlqim për cookie-t jo thelbësorë. Në praktikë, megjithatë, udhëzimi i FDPIC-ut i vitit 2024 dhe 2025 dhe vendimet më të fundit të zbatimit kanë konverguar drejt një pozite shumë afër bazës BE-së për cookie-t e lidhura me reklamimin, analizën dhe profilizimin ndër-kontekst.

Pozita Operacionale e FDPIC-ut

Pozita e botuar e FDPIC-ut është se cookie-t jo thelbësorë — duke përfshirë reklamimin, retargetimin, analizën ndër-faqe dhe personalizimin — kërkojnë një pëlqim të mëparshëm, të informuar, të dhënë lirisht dhe specifik të kapur para se cookie të aktivizohet. Cookie-t rreptësisht të nevojshëm dhe cookie-t që mbështesin një shërbim që përdoruesi ka kërkuar shprehimisht mund të vendosen në bazën e interesit legjitim ose bazën e ekzekutimit të kontratës pa një prompt paraprak për pëlqim, por barra e klasifikimit të një cookie si rreptësisht i nevojshëm qëndron me kontrolluesin dhe është sfiduar në disa ankesa të vitit 2025.

Elementët e Pëlqimit të Vlefshëm

Pëlqimi sipas revFADP duhet të jetë:

• I dhënë lirisht — pa detyrim, paketim me ofrimin e shërbimit thelbësor, ose një mur cookie-sh që kushtëzon aksesin kryesor të përmbajtjes mbi pranimin e cookie-t jo thelbësor
• I informuar — subjekti i të dhënave kupton çfarë të dhënash përpunohen, nga kush, për çfarë qëllimi dhe me cilët destinatarë
• Specifik — i lidhur me qëllime përpunimi të identifikuara qartë dhe jo një pëlqim ombrellë
• I paqartë — i shprehur nëpërmjet një akti të qartë afirmativ, jo i nënkuptuar nga lëvizja, shfletimi i vazhdueshëm ose pasiviteti
• Eksplicit në rastet që përfshijnë të dhëna personale veçanërisht të ndjeshme, me pëlqim të veçantë për përpunimin e ndjeshëm

Si Duket një CMP në Pajtim për Trafikun Zviceran

Një CMP i konfiguruar për Zvicrën në 2026 duhet të prezantojë:

• Një baner të shërbyer në gjuhën e përdoruesit — gjermanisht, frëngjisht, italisht ose romanisht — para çdo aktivizimi të cookie-t jo thelbësor, me zgjedhjen e gjuhës që përputhet me lokalizimin e faqes .ch dhe jo duke parazgjedhur anglishten
• Peshë vizuale të barabartë për veprimet Prano, Refuzo dhe Cilësimet — udhëzimi i vitit 2025 i FDPIC-ut kritikohet shprehimisht me dizajne banerësh ku Refuzo theksohet vizualisht më pak se Prano
• Çelësa granularë për qëllim: analitikë, reklamim, personalizim, transfertë ndërkufitare dhe çdo kategori veçanërisht të ndjeshme
• Një rrjedhë e veçantë pëlqimi për çdo përpunim të të dhënave personale veçanërisht të ndjeshme, e vendosur prapa veprimit të vet dhe jo e paketuar me pëlqimin e përgjithshëm
• Një mekanizëm i qëndrueshëm dhe lehtësisht i gjetueshëm për tërheqjen e pëlqimit pas zgjedhjes fillestare, me baraspeshë fërkimi me dhënien e pëlqimit
• Një njoftim të plotë të privatësisë në gjuhën zvicerane duke zbuluar identitetin e kontrolluesit, përpunuesit, qëllimet, destinatarët, periudhat e ruajtjes, mekanizmat e transfertës dhe rrugën e të drejtave të subjektit të të dhënave

Regjistrimet e Pëlqimit

Kontrolluesit duhet të mbajnë prova të pëlqimit — kush dha pëlqimin, kur, për cilat qëllime specifike dhe nëpërmjet cilit ndërfaqe. Regjistrimet e pamjaftueshme të pëlqimit u paraqitën në disa letra hetimore të FDPIC-ut në vitin 2025, dhe regjistrimet e eksportueshme me vulë kohore të mbajtura për periudhën e aplikueshme të parashkrimit janë pritshmëria bazë.

Transfertat Ndërkufitare Pas Rialinjimit të Adekuacisë të Vitit 2024

Transfertat ndërkufitare të të dhënave janë zona e revFADP ku pozita zvicerane ndryshon më qartë dhe pak prapa pozitës BE-së. Rialinjimi i vitit 2024 pas adoptimit të EU-US Data Privacy Framework nga BE-ja prodhoi një Swiss-US Data Privacy Framework paralel, por shtrirja dhe kushtet e tij nuk janë identike.

Mekanizmat e Njohura të Transfertës

revFADP dhe rev-OPDP njohin disa rrugë:

• Vendimet e adekuacisë nga Këshilli Federal Zviceran për vendet e vlerësuara si duke ofruar mbrojtje adekuate — lista aktuale përfshin EEA-n, Mbretërinë e Bashkuar dhe një numër të vogël jurisdiksionesh të tjera
• Swiss-US Data Privacy Framework për transfertat tek organizatat amerikane të vetë-certifikuara sipas kornizës, i cili zëvendësoi Swiss-US Privacy Shield pas vitit 2024
• Klauzolat standarde kontraktuale të njohura nga FDPIC-u, duke përfshirë EU SCCs me një shtojcë zvicerane të botuar nga FDPIC-u
• Rregullat e detyrueshme korporative të aprovuara nga FDPIC-u
• Përjashtime specifike duke përfshirë pëlqimin eksplicit me zbulim adekuat, domosdoshmërinë kontraktuale, interesin vital dhe interesin publik thelbësor

Swiss-US DPF në Praktikë

Swiss-US DPF mbulon transfertat tek organizatat amerikane që janë vetë-certifikuar dhe kanë mbajtur certifikimin e tyre. Botuesit duhet të verifikojnë statusin aktiv të certifikimit të çdo shitësi ad-tech ose analitike amerikan në listën e DPF dhe jo të mbështeten në një kontroll të vetëm, sepse certifikimet e skaduara nuk e invalidojnë retroaktivisht transfertat e mëparshme por kërkojnë rregullim të menjëhershëm për rrjedhat e vazhdueshme. Kur një shitës nuk është i certifikuar DPF, EU SCCs me shtojcën zvicerane të FDPIC-ut mbeten alternativa operative.

Qasja Praktike e Vitit 2026

Për shumicën e botuesve, qasja operative është të hartojnë çdo rrjedhë ndërkufitare të të dhënave nga trafiku zviceran drejt vendit të destinacionit dhe mekanizmit të tij, të ekzekutojnë SCCs-me-shtojcë-zvicerane të përshtatshme ku certifikimi DPF nuk mbulon shitësin, të dokumentojnë mekanizmin në njoftimin e privatësisë në gjuhën zvicerane dhe të plotësojnë me autorizim të bazuar në pëlqim vetëm atje ku mekanizmat e strukturuar nuk i përshtaten qartë përpunimit.

Të Drejtat e Subjektit të të Dhënave Sipas revFADP

revFADP jep një seri të drejtash që ndjekin ngushtë GDPR-in, me disa konture specifike zvicerane:

• E drejta e aksesit në të dhënat personale të mbajtura nga kontrolluesi, me akses të parë falas në vit dhe një tavan rimëkëmbjeje kostoje për kërkesat pasuese ose me fushëveprim të gjerë
• E drejta e korrigjimit të të dhënave të pasakta ose të paplotë
• E drejta e fshirjes
• E drejta për të kufizuar përpunimin
• E drejta e portabilitetit të të dhënave për të dhënat e përpunuara me mjete automatike mbi bazë pëlqimi ose kontrate
• E drejta për të kundërshtuar përpunimin
• E drejta për të tërhequr pëlqimin
• E drejta për të mos i nënshtruar vendimmarrjes individuale të automatizuar që prodhon efekte juridike ose ngjashëm të rëndësishme, me një mbrojtje për rishikim manual
• E drejta për të paraqitur ankesë tek FDPIC-u ose për të ndërmarrë procedime civile

Afati Kohor i Përgjigjes

Kontrolluesit duhet t'u përgjigjen kërkesave të subjektit të të dhënave brenda 30 ditësh sipas kornizës së përgjithshme, të zgjatshme me njoftim të arsyetuar në raste komplekse. Gatishmëria operacionale për këtë dritare — me mjete në gjuhën zvicerane dhe udhëzimet e punës në gjermanisht, frëngjisht dhe italisht — është një boshllëk i zakonshëm për botuesit e huaj që kanë sintonizuar programin e tyre me një gjuhë të vetme evropiane.

Gjobat dhe Qëndrimi i Zbatimit në 2026

Aktiviteti i zbatimit të FDPIC-ut u shkallëzua kuptimisht gjatë vitit 2024 dhe 2025, dhe viti 2026 po vazhdon rrugën dhe nuk po nivelizohej.

Struktura e Gjobave

Gjobat janë kryesisht penale dhe drejtohen ndaj individëve të emërtuar — drejtorë, DPO-s, drejtues pajtimi — me një kufi prej 250,000 CHF për shkelje të qëllimshme. Kategoritë e cituara më shpesh në zbatimin e vitit 2025 ishin: informacion i pamjaftueshëm për subjektet e të dhënave, shkelje e kujdesit të duhur në transfertat ndërkufitare, dështimi për të përmbushur detyrimin e njoftimit të shkeljeve të të dhënave tek FDPIC brenda dritares kohore të kërkuar, dhe mospajtuesi me vendimet ose urdhrat e FDPIC-ut.

Ndëshkimi Penal

Ndryshe nga GDPR-i, rruga penale e revFADP është kundër personit fizik përgjegjës dhe jo vetëm entitetit juridik, gjë që ka nxitur ristrukturim thelbësor të brendshëm të flukseve të miratimit në vitin 2025. Efekti praktik është se deklaratat e pajtimit dhe gjurmët e auditimit kanë rëndësi jo vetëm për ekspozimin e organizatës por edhe për ekspozimin e individit — dhe DPO-t veçanërisht kanë përshtatur praktikën e dokumentimit për të reflektuar këtë.

Temat e Zbatimit

Veprimet e vitit 2025 dhe fillimit të vitit 2026 të FDPIC-ut grupohen rreth: banerëve të cookie-ve që i japin rëndësi të zvogëluar veprimit Refuzo ose përdorin kuti parazgjedhur, njoftimeve të privatësisë që nuk janë të disponueshme në gjuhën kombëtare zvicerane të përdoruesit, transfertave ndërkufitare tek shitësit amerikanë që nuk janë të certifikuar DPF dhe u mungon mekanizmi alternativ, dështimit për t'u përgjigjur kërkesave të subjektit të të dhënave brenda dritares 30-ditore dhe njoftimeve të vonuara ose të munguara të shkeljeve. Botuesit e huaj janë cituar në të pesë kategoritë, me kategoritë e dizajnit të banerit dhe transfertës ndërkufitare që drejtojnë dosjen.

Lista Kontrolluese e Auditimit për Trafikun Zviceran në 2026

• Baneri CMP shërbehet në gjuhën kombëtare zvicerane të përdoruesit (DE, FR, IT ose RM) me Prano, Refuzo dhe Cilësimet në peshë të barabartë vizuale
• Qëllimet e pëlqimit janë granulare dhe ndajnë veçanërisht përpunimin e ndjeshëm prapa rrjedhës së vet të pëlqimit
• Njoftimi i privatësisë është i disponueshëm në çdo gjuhë relevante zvicerane me zbulime të plota të kontrolluesit, përpunuesve, qëllimeve, ruajtjes, të drejtave dhe rrugës së ankesës tek FDPIC
• Çdo rrjedhë ndërkufitare nga trafiku zviceran është hartuar drejt destinacionit dhe mekanizmit të saj — adekuaci, certifikim Swiss-US DPF, FDPIC-Swiss-addendum SCCs, BCRs ose një përjashtim i dokumentuar
• Statusi i certifikimit DPF të shitësit amerikan ri-verifikohet në listën e botuar dhe nuk merret një herë dhe harrohet
• Regjistrimet e pëlqimit janë me vulë kohore, të eksportueshme dhe të mbajtura për periudhën e aplikueshme të parashkrimit
• Fluksi i punës i kërkesës së subjektit të të dhënave mund t'u përgjigjet brenda 30 ditësh nga fillimi në fund, në gjermanisht, frëngjisht dhe italisht
• Udhëzimi i njoftimit të shkeljeve është sintonizuar me afatet e revFADP dhe i integruar me procesin e brendshëm të reagimit ndaj incidenteve
• Flukset e punës të miratimit reflektojnë arkitekturën e përgjegjësisë penale ndaj individit, me miratues të emërtuar dhe gjurmë dokumentacioni
• Segmentet e audiencës me kategori veçanërisht të ndjeshme janë të vendosura prapa pëlqimit eksplicit, të kapur veçmas
• Klasifikimi i cookie-ve është rishikuar me sy kritik drejt cilëve cookie vërtet kualifikohen si rreptësisht të nevojshëm sipas udhëzimit të FDPIC-ut

Perspektiva e Vitit 2026

Regjimi i mbrojtjes së të dhënave i Zvicrës ka maturuar nga një statut i respektuar por i qetë i moshuar në një instrument operativ me specifikën operacionale, kapacitetin e zbatimit dhe arkitekturën e përgjegjësisë penale për të formësuar prioritetet e pajtimit vetë dhe jo vetëm të ndjekë programin e BE-së. Rialinjimi i adekuacisë i vitit 2024 mbyll boshllëkun strukturor më pasojshëm rreth transfertave amerikane, dhe qëndrimi i zbatimit i FDPIC-ut të shkallëzuar të vitit 2025 është konsistent me një rregullator që ngrihet në mënyrë të qëndrueshme dhe jo duke drejtuar një fushatë të vetme. Për botuesit që tashmë drejtojnë një grumbull konsensusi të nivelit GDPR, boshllëku drejt pajtimit me revFADP është më i ngushtë sesa boshllëku për çdo jurisdiksion tjetër jo-BE — por është real, dhe jeton në specifikat: baner dhe njoftime në gjuhën zvicerane, hartë DPF-kundrejt-SCC për çdo shitës amerikan, linja paksa e ndryshme e kategorisë veçanërisht të ndjeshme, kadenca e përgjigjes 30-ditore në tre ose katër gjuhë, dhe arkitektura e përgjegjësisë penale që bën dokumentimin individual të miratimit një artefakt pajtimi të klasit të parë dhe jo një luks. Boshllëku mund të mbyllet në javë nëse prioritizohet, dhe CPM-et e botuesit zviceran e bëjnë prioritizimin ekonomikisht të drejtpërdrejtë. Botuesit që me heshtje e trajtuan Zvicrrën si kalim GDPR gjatë vitit 2024 po gjejnë vitin 2026 shumë më kërkues, dhe trendi është i qartë.