Структура revFADP у 2026

revFADP је заменио швајцарски режим заштите података из 1992. оквиром који у већини оперативних аспеката блиско прати GDPR, задржавајући при том неколико посебних швајцарских ставова. Ревидирана Уредба о заштити података (rev-OPDP) и Уредба о сертификацијама заштите података, обе на снази заједно са revFADP, попуњавају оперативне детаље.

Шта је Ревизија Променила

Ревизија је увела: обавезно обавештавање FDPIC-а о повредама, захтев евиденције обраде за већину контролора, процене утицаја на заштиту података за обраду високог ризика, истинску екстериторијалну примену сличну члану 3(2) GDPR-а, ојачана права субјекта података, и кривичноправни оквир примењив на поједince а не само на контролну организацију. Дефиниција личних података, основи за законску обраду и структура права субјекта података су све блиско усклађени са GDPR-ом, што материјално поједностављује усклађеност са Швајцарском за издаваче који већ воде GDPR програм — али је не елиминише.

Ко Је Регулисан

revFADP се примењује на обраду података у Швајцарској и на обраду ван Швајцарске која утиче на поједince у Швајцарској. Страни издавачи који служе швајцарски саобраћај кроз локализоване сајтове, домен .ch, садржај на немачко-француско-италијанско-романшком прилагођен швајцарској публици, или програматски инвентар купљен у односу на швајцарске IP адресе, типично су у домену примене, а FDPIC је потврдио екстериторијалну примену у ажурирањима упутства из 2025.

Административне Казне и Кривичноправни Оквир

Најдискутованији откон revFADP-а од GDPR-а јесте да је његова архитектура санкција примарно кривична а не административна. Индивидуалне казне — типично за одговорна физичка лица попут директора, службеника за заштиту података или руководилаца за усклађеност — могу достићи до 250.000 CHF по прекршају за намерне прекршаје, са паралелном кривичном одговорношћу за најозбиљније поступке. Главна граница је нижа него GDPR-ов плафон од четири процента промета у апсолутном смислу, али смер одговорности — ка именованом поједinnцу а не само организацији — мења прорачун ризика у пракси. Неколико издавача је реструктурирало интерне токове одобравања у 2025. специфично да би расподелили изложеност.

Шта Се Рачуна као Лични Податак по revFADP

Дефиниција личних података у revFADP-у блиско прати GDPR. Лични подаци су информације које се односе на идентификовано или идентификабилно лице, а FDPIC је доследно третирао колачиће, идентификаторе оглашавања, IP адресе, дигиталне отиске уређаја и бихевиоралне профиле као личне податке када могу бити повезани са поједinnцем директно или комбинацијом са другим информацијама.

Посебно Осетљиви Лични Подаци

revFADP одређује категорију под називом посебно осетљиви лични подаци која је нешто шира него GDPR-ове посебне категорије. Она укључује: податке о верским, филозофским, политичким или синдикалним погледима и активностима, здравствене податке, податке о интимној сфери или расном или етничком пореклу, генетске и биометријске податке који јединствено идентификују особу, податке о административним и кривичним поступцима или санкцијама, и податке о мерама социјалне помоћи. Обрада посебно осетљивих личних података покреће повишене захтеве за сагласност и транспарентност.

Зашто Је Ово Важно за Колачиће

Колачић који чува рутински идентификатор оглашавања је обичан лични податак. Колачић који храни сегмент публике који додирује посебно осетљиву листу — здравствени интереси, политичка убеђења, верска припадност — представља обраду посебно осетљивих личних података и захтева изричиту сагласност, одвојено од општег тока сагласности за оглашавање. Циљање публике на швајцарском језику које се преклапа са овом листом треба да буде посебно ревидирано у односу на границу, која је нешто другачије повучена него линија посебне категорије GDPR-а.

Сагласност за Колачиће по revFADP у 2026

revFADP дозвољава неколико законских основа за обраду, и за разлику од Директиве ePrivacy примењене у државама чланицама ЕУ, швајцарски закон не намеће законску основу само-са-сагласношћу за неопходне колачиће. У пракси, међутим, упутства FDPIC-а из 2024. и 2025. и најновије одлуке о извршавању конвергирале су ка позицији која је веома близу ЕУ основе за колачиће везане за оглашавање, аналитику и профилисање у различитим контекстима.

Оперативна Позиција FDPIC-а

Објављена позиција FDPIC-а је да неопходни колачићи — укључујући оглашавање, ретаргетирање, аналитику на више сајтова и персонализацију — захтевају претходну, информисану, слободно дату и специфичну сагласност прикупљену пре него што се колачић активира. Строго неопходни колачићи и колачићи који подржавају услугу коју је корисник изричито затражио могу бити постављени на основу легитимног интереса или извршења уговора без претходне поруке о сагласности, али терет класификовања колачића као строго неопходног лежи на контролору и оспораван је у неколико жалби из 2025.

Елементи Важеће Сагласности

Сагласност по revFADP мора бити:

• Слободно дата — без принуде, повезивања са пружањем основних услуга, или зида колачића који условљава приступ основном садржају прихватањем неопходних колачића
• Информисана — субјект података разуме које се податке обрађује, ко, у коју сврху и са којим примаоцима
• Специфична — везана за јасно идентификоване сврхе обраде а не свеобухватна сагласност
• Недвосмислена — изражена кроз јасан потврдни чин, а не закључена из скроловања, наставка прегледања или неактивности
• Изричита у случајевима који укључују посебно осетљиве личне податке, са одвојеном сагласношћу за осетљиву обраду

Како Изгледа Усклађен CMP за Швајцарски Саобраћај

CMP конфигурисан за Швајцарску у 2026. треба да представља:

• Банер послужен на језику корисника — немачком, француском, италијанском или романшком — пре него што се активира икакав неопходни колачић, са одабиром језика који одговара локализацији .ch сајта а не подразумевано на енглеском
• Једнаку визуелну истакнутост за радње Прихвати, Одбиј и Подешавања — упутство FDPIC-а из 2025. изричито критикује дизајне банера где је Одбиј визуелно умањен у односу на Прихвати
• Детаљне пребачиваче по сврси: аналитика, оглашавање, персонализација, прекогранични пренос и свака посебно осетљива категорија
• Одвојен ток сагласности за сваку обраду посебно осетљивих личних података, постављену иза сопствене радње а не упаковану у општу сагласност
• Трајан, лако пронадљив механизам за повлачење сагласности после почетног избора, у истом степену трења као давање сагласности
• Потпуно обавештење о приватности на швајцарском језику које откривa идентитет контролора, обраде, сврхе, примаоце, периоде чувања, механизме преноса и путању права субјекта података

Евиденција Сагласности

Контролори морају да одржавају доказе о сагласности — ко је дао сагласност, када, за које специфичне сврхе и кроз који интерфејс. Неадекватна евиденција сагласности наступала је у неколико истражних писама FDPIC-а у 2025, а временски означени извозни записи задржани за одговарајући период застаревања су основно очекивање.

Прекограничне Трансфере После Реалијнирања Адекватности из 2024.

Прекогранични преноси података су подручје revFADP-а у коме се швајцарски став највише разликује и незнатно заостаје за ЕУ ставом. Реалијнирање из 2024. после усвајања EU-US Data Privacy Framework од стране ЕУ произвело је паралелни Swiss-US Data Privacy Framework, али његов опсег и услови нису идентични.

Признати Механизми Преноса

revFADP и rev-OPDP признају неколико путева:

• Одлуке о адекватности Швајцарског федералног савета за земље процењене као оне које пружају адекватну заштиту — тренутна листа укључује EEA, Велику Британију и мали број других јурисдикција
• Swiss-US Data Privacy Framework за преносе америчким организацијама самосертификованим по оквиру, који је заменио Swiss-US Privacy Shield после 2024.
• Стандардне уговорне клаузуле признате од FDPIC-а, укључујући EU SCC са швајцарским додатком које је FDPIC објавио
• Обавезна корпоративна правила одобрена од FDPIC-а
• Специфични изузетци укључујући изричиту сагласност са адекватним обелодањивањем, нужност уговора, витални интерес и значајни јавни интерес

Swiss-US DPF у Пракси

Swiss-US DPF покрива преносе америчким организацијама које су се самосертификовале и одржале своју сертификацију. Издавачи треба да верификују активни статус сертификације сваког америчког добављача рекламних технологија или аналитике на DPF листи, уместо да се ослањају на једнократну проверу, јер истекле сертификације не поништавају ретроактивно претходне преносе, али захтевају хитно санирање за текуће токове. Где добављач није DPF сертификован, EU SCC са швајцарским додатком FDPIC-а остају радна алтернатива.

Практичан Приступ за 2026.

За већину издавача, радни приступ је да картирају сваки прекогранични ток података из швајцарског саобраћаја до одредишне земље и механизма, изврше одговарајуће SCC-са-швајцарским-додатком где DPF сертификација не покрива добављача, документују механизам у обавештењу о приватности на швајцарском језику, и допуне аутоматизацијом заснованом на сагласности само тамо где структурни механизми не одговарају јасно обради.

Права Субјекта Података по revFADP

revFADP признаје скуп права која блиско прате GDPR, са неколико швајцарских специфичности:

• Право на приступ личним подацима које чуна контролор, са бесплатним првим приступом годишње и таваном накнаде трошкова за накнадне или обимне захтеве
• Право на исправку нетачних или непотпуних података
• Право на брисање
• Право на ограничење обраде
• Право на преносивост података за податке обрађене аутоматским средствима на основу сагласности или уговора
• Право на приговор на обраду
• Право на повлачење сагласности
• Право да не буде предмет аутоматизованог индивидуалног одлучивања које производи правне или слично значајне ефекте, са заштитом за ручни преглед
• Право да уложи притужбу FDPIC-у или да покрене грађанске поступке

Рокови Одговора

Контролори морају да одговоре на захтеве субјекта података у року од 30 дана по општем оквиру, са могућношћу продужења образложеним обавештењем у сложеним случајевима. Оперативна спремност за овај рок — са алатима на швајцарском језику и упутствима на немачком, француском и италијанском — уобичајена је празнина за стране издаваче који су свој програм прилагодили јединственом европском језику.

Казне и Положај у Вези са Извршавањем у 2026.

Активност извршавања FDPIC-а значајно је ескалирала током 2024. и 2025, а 2026. наставља путању уместо да се устаљује.

Структура Казни

Казне су примарно кривичне природе и усмерене на именована лица — директоре, DPO, руководиоце за усклађеност — са горњом границом од 250.000 CHF по намерном прекршају. Категорије које су најчешће наводиле у извршавању 2025. биле су: недовољне информације субјектима података, кршење дужне пажње у прекограничним преносима, неиспуњавање дужности обавештавања FDPIC-а о повредама података у тражњеном року, и неусклађеност са одлукама или наредбама FDPIC-а.

Кривичноправни Оквир

За разлику од GDPR-а, кривичноправни пут revFADP-а је против одговорног физичког лица, а не само правног субјекта, што је довело до суштинских интерних реструктурирања токова одобравања у 2025. Практични ефекат је да потврде усклађености и ревизорски трагови нису важни само за изложеност организације, већ и за изложеност поједinnца — а DPO су посебно прилагодили документациону праксу да то одрази.

Теме Извршавања

Акције FDPIC-а из 2025. и почетка 2026. групишу се oko: банера колачића који умањују акцију Одбиј или користе унапред означена поља, обавештења о приватности која нису доступна на швајцарском националном језику корисника, прекограничних преноса америчким добављачима који нису DPF сертификовани и немају алтернативни механизам, неодговарања на захтеве субјеката података у року од 30 дана, и закаснелих или недостајућих обавештења о повредама. Страни издавачи цитирани су у свих пет категорија, а категорије дизајна банера и прекограничних преноса воде листу.

Контролна Листа Ревизије за Швајцарски Саобраћај у 2026.

• CMP банер је послужен на швајцарском националном језику корисника (DE, FR, IT или RM) са Прихвати, Одбиј и Подешавањима уједнакој визуелној истакнутости
• Сврхе сагласности су детаљне и посебно осетљиву обраду постављају иза сопственог тока сагласности
• Обавештење о приватности доступно је на сваком релевантном швајцарском језику са потпуним обелодањивањима контролора, обрађивача, сврха, задржавања, права и пута за притужбу FDPIC-у
• Сваки прекогранични ток из швајцарског саобраћаја је картиран до одредишта и механизма — адекватност, Swiss-US DPF сертификација, FDPIC-Swiss-addendum SCC, BCR или документовани изузетак
• Статус DPF сертификације америчких добављача поново се верификује на објављеној листи, а не узима се jedanput и заборавља
• Евиденција сагласности је временски означена, извозна и чуна за одговарајући период застаревања
• Ток рада захтева субјекта података може да одговори у року од 30 дана од почетка до краја, на немачком, француском и италијанском
• Упутство за обавештавање о повредама прилагођено је роковима revFADP-а и интегрисано са интерним процесом реаговања на инциденте
• Токови одобравања одражавају архитектуру кривичне одговорности на нивоу поједinnца, са именованим одобравачима и документационим трагом
• Сегменти публике посебно осетљивих категорија постављени су иза изричите, посебно прикупљене сагласности
• Класификација колачића је прегледана критичким оком ка томе који колачићи се заправо квалификују као строго неопходни по упутству FDPIC-а

Изглед за 2026.

Швајцарски режим заштите података сазрео је из поштованог али тихог старог статута у радни инструмент са оперативном специфичношћу, капацитетом извршавања и архитектуром кривичне одговорности за обликовање приоритета усклађености самостално, а не само пратећи ЕУ програм. Реалијнирање адекватности из 2024. затворило је најзначајнији структурни јаз у вези са преносима у САД, а ескалирајући положај извршавања FDPIC-а у 2025. у складу је са регулатором који се повећава на одрживи начин, а не води повремену кампању. За издаваче који већ воде GDPR-у прикладан стек сагласности, јаз до усклађености са revFADP уже је него јаз за коју другу не-ЕУ јурисдикцију — али је реалан, и живи у специфичностима: банери и обавештења на швајцарском језику, DPF-наспрам-SCC мапирање за сваког америчког добављача, нешто другачија линија посебно осетљиве категорије, 30-дневни ритам одговора на три или четири језика, и архитектура кривичне одговорности која чини документацију индивидуалног одобравања артефактом усклађености прве класе, а не нечим пожељним. Јаз се може затворити за неколико недеља ако се приоритизује, а швајцарски CPM издавача чине приоритизацију економски директном. Издавачи који су тихо третирали Швајцарску као GDPR пролаз кроз 2024. открывају да је 2026. значајно захтевнија, а тренд је јасан.