revFADP'nin 2026'daki Yapısı

revFADP, İsviçre'nin 1992 tarihli veri koruma rejiminin yerini operasyonel açıdan büyük ölçüde GDPR'ı yakından takip eden, ancak kendine özgü birkaç İsviçre tutumunu da koruyan bir çerçeve ile aldı. Revize edilmiş Veri Koruma Yönetmeliği (rev-OPDP) ve revFADP ile birlikte yürürlükte olan Veri Koruma Sertifikasyonları Yönetmeliği operasyonel ayrıntıları tamamlamaktadır.

Revizyonun Değiştirdikleri

Revizyon şunları getirdi: FDPIC'e zorunlu ihlal bildirimi, çoğu veri sorumlusu için işleme kaydı zorunluluğu, yüksek riskli işlemler için veri koruma etki değerlendirmeleri, GDPR'ın Madde 3(2)'sine benzer gerçek anlamda toprak dışı kapsam, güçlendirilmiş veri sahibi hakları ve yalnızca kontrolör kuruluşa değil bireylere uygulanabilir cezai sorumluluk mekanizması. Kişisel verinin tanımı, yasal işlemenin dayanakları ve veri sahibi haklarının yapısının tümü GDPR ile yakından uyumlu olup bu durum, halihazırda bir GDPR programı yürüten yayıncılar için İsviçre uyumunu önemli ölçüde kolaylaştırmaktadır — ancak onu ortadan kaldırmamaktadır.

Kim Düzenleniyor

revFADP, İsviçre'deki veri işleme faaliyetleri ile İsviçre'deki bireyleri etkileyen İsviçre dışındaki işleme faaliyetlerine uygulanır. Yerelleştirilmiş siteler, .ch alan adı, İsviçre kitlesine yönelik Almanca-Fransızca-İtalyanca-Romanşça içerik veya İsviçre IP'lerine karşı satın alınan programatik envanter aracılığıyla İsviçre trafiğine hizmet veren yabancı yayıncılar genellikle kapsam dahilindedir ve FDPIC, 2025 rehberlik güncellemelerinde toprak dışı yorumu teyit etmiştir.

İdari Para Cezaları ve Cezai Sorumluluk Mekanizması

revFADP'nin GDPR'dan en fazla tartışılan ayrılışı, yaptırım mimarisinin öncelikli olarak idari değil cezai nitelik taşımasıdır. Bireysel para cezaları — genellikle yöneticiler, veri koruma görevlileri veya uyum liderleri gibi sorumlu gerçek kişilere yönelik — kasıtlı ihlaller için ihlal başına 250.000 CHF'ye kadar çıkabilmekte; en ağır davranışlar için paralel cezai sorumluluk da söz konusu olmaktadır. Ana üst sınır mutlak terimlerle GDPR'ın ciro yüzde dördü tavanından düşüktür; ancak sorumluluğun yönü — yalnızca kuruluşa değil ismi geçen bireye doğru — uygulamada risk hesabını değiştirmektedir. Birçok yayıncı, 2025'te maruziyeti dağıtmak amacıyla özellikle dahili onay iş akışlarını yeniden yapılandırmıştır.

revFADP Kapsamında Kişisel Veri Sayılan Nedir

revFADP'nin kişisel veri tanımı GDPR'ı yakından takip etmektedir. Kişisel veriler, tanımlanmış veya tanımlanabilir bir kişiyle ilgili bilgilerdir ve FDPIC, doğrudan veya başka bilgilerle kombinasyon yoluyla bir bireyle ilişkilendirilebildiğinde çerezleri, reklam tanımlayıcılarını, IP adreslerini, cihaz parmak izlerini ve davranışsal profilleri tutarlı biçimde kişisel veri olarak değerlendirmektedir.

Özellikle Hassas Kişisel Veriler

revFADP, GDPR'ın özel kategorilerinden biraz daha geniş olan özellikle hassas kişisel veriler adlı bir kategori belirlemektedir. Bu kategori şunları kapsar: dini, felsefi, siyasi veya sendika görüşlerine ve faaliyetlerine ilişkin veriler, sağlık verileri, mahrem alana veya ırki ya da etnik kökene ilişkin veriler, bir kişiyi benzersiz biçimde tanımlayan genetik ve biyometrik veriler, idari ve cezai işlemlere veya yaptırımlara ilişkin veriler ve sosyal yardım tedbirlerine ilişkin veriler. Özellikle hassas kişisel verilerin işlenmesi, yükseltilmiş rıza ve şeffaflık gerekliliklerini tetiklemektedir.

Bu Çerezler Açısından Neden Önemlidir

Rutin bir reklam tanımlayıcısı depolayan çerez, olağan kişisel veridir. Özellikle hassas listesine dokunan bir kitle segmentini besleyen bir çerez — sağlık ilgileri, siyasi eğilimler, dini bağlantı — özellikle hassas kişisel veri işleme niteliği taşır ve genel reklam rızası akışından ayrı olmak üzere açık rıza gerektirir. Bu listeyle örtüşen İsviçre dili kitle hedeflemesi, GDPR'ın özel kategori sınırından biraz farklı çizilen sınıra karşı özellikle denetlenmelidir.

2026'da revFADP Kapsamında Çerez Rızası

revFADP işleme için birden fazla yasal dayanağa izin vermektedir ve AB üye devletlerinde uygulanan ePrivacy Direktifi'nin aksine İsviçre hukuku, gerekli olmayan çerezler için yalnızca rızaya dayalı yasal bir taban dayatmamaktadır. Bununla birlikte uygulamada, FDPIC'in 2024 ve 2025 rehberliği ile en son uygulama kararları, reklamcılık, analitik ve bağlam ötesi profillemeyle bağlantılı çerezler için AB tabanına çok yakın bir tutumda birleşmiştir.

FDPIC'in Operasyonel Tutumu

FDPIC'in yayımlanmış tutumu, gerekli olmayan çerezlerin — reklamcılık, yeniden hedefleme, siteler arası analitik ve kişiselleştirme dahil — çerez tetiklenmeden önce alınmış, önceden verilmiş, bilinçli, özgürce verilmiş ve belirli bir rızayı gerektirdiği yönündedir. Kesinlikle zorunlu çerezler ile kullanıcının açıkça talep ettiği bir hizmeti destekleyen çerezler, önceden bir rıza istemi olmaksızın meşru menfaat veya sözleşme ifası dayanağına göre yerleştirilebilir; ancak bir çerezi kesinlikle zorunlu olarak sınıflandırma yükü veri sorumlusundadır ve 2025'teki birçok şikayette itirazla karşılaşmıştır.

Geçerli Rızanın Unsurları

revFADP kapsamında rıza şu özellikleri taşımalıdır:

• Özgürce verilmiş — baskı, temel hizmet sunumuyla paketleme veya temel içerik erişimini gerekli olmayan çerez kabulüne bağlayan bir çerez duvarı olmaksızın
• Bilinçli — veri sahibi hangi verilerin kim tarafından hangi amaçla ve hangi alıcılarla işlendiğini anlıyor
• Belirli — şemsiye rıza yerine açıkça tanımlanmış işleme amaçlarına bağlı
• Açık — kaydırmadan, sürekli göz atmadan veya hareketsizlikten çıkarılan değil; net bir olumlu eylemle ifade edilen
• Özellikle hassas kişisel veri içeren durumlarda hassas işleme için ayrı rıza ile Açık Rıza

İsviçre Trafiği İçin Uyumlu Bir CMP Nasıl Görünür

2026'da İsviçre için yapılandırılmış bir CMP şunları sunmalıdır:

• Gerekli olmayan hiçbir çerez tetiklenmeden önce kullanıcının diliyle — Almanca, Fransızca, İtalyanca veya Romanşça — sunulan bir banner; dil seçimi, İngilizce varsayılan yerine .ch site yerelleştirmesiyle eşleşmeli
• Kabul Et, Reddet ve Ayarlar eylemleri için eşit görsel belirginlik — FDPIC'in 2025 rehberliği, Reddet seçeneğinin Kabul Et'e kıyasla görsel olarak önemsizleştirildiği banner tasarımlarını açıkça eleştirmektedir
• Amaç bazında ayrıntılı geçiş düğmeleri: analitik, reklamcılık, kişiselleştirme, sınır ötesi aktarım ve özellikle hassas kategoriler
• Özellikle hassas kişisel verilerin herhangi bir işlemesi için genel rızaya dahil edilmek yerine kendi eylemine bağlı ayrı bir rıza akışı
• İlk seçimden sonra rızanın geri alınması için kalıcı ve kolayca bulunabilir bir mekanizma; rıza vermekle aynı sürtünme düzeyi
• Kontrolör kimliğini, işleyicileri, amaçları, alıcıları, saklama sürelerini, aktarım mekanizmalarını ve veri sahibi hakları yolunu açıklayan tam İsviçre dili gizlilik bildirimi

Rıza Kayıtları

Veri sorumluları, rıza kanıtını muhafaza etmek zorundadır — kimin, ne zaman, hangi belirli amaçlar için ve hangi arayüz aracılığıyla rıza verdiği. Yetersiz rıza kayıtları, 2025'te FDPIC'in birçok soruşturma mektubunda yer aldı ve geçerli zamanaşımı süresince saklanan zaman damgalı dışa aktarılabilir günlükler temel beklentidir.

2024 Yeterlilik Yeniden Uyumlamasından Sonra Sınır Ötesi Aktarımlar

Sınır ötesi veri aktarımları, İsviçre tutumunun AB tutumundan en net biçimde ayrıştığı ve biraz geride kaldığı revFADP alanıdır. AB'nin EU-US Data Privacy Framework'ü benimsemesinin ardından gerçekleştirilen 2024 yeniden uyumlaması paralel bir Swiss-US Data Privacy Framework doğurdu; ancak kapsam ve koşullar aynı değil.

Tanınan Aktarım Mekanizmaları

revFADP ve rev-OPDP birçok yolu tanımaktadır:

• Yeterli koruma sağladığı değerlendirilen ülkeler için İsviçre Federal Konseyi'nin yeterlilik kararları — mevcut liste EEA, Birleşik Krallık ve birkaç yargı bölgesini kapsamaktadır
• 2024 sonrasında Swiss-US Privacy Shield'ın yerini alan, çerçeve kapsamında öz belgelenmiş ABD kuruluşlarına yapılan aktarımlar için Swiss-US Data Privacy Framework
• FDPIC'in yayımladığı İsviçre ekiyle birlikte EU SCC dahil, FDPIC tarafından tanınan standart sözleşme maddeleri
• FDPIC tarafından onaylanan bağlayıcı şirket kuralları
• Yeterli açıklamayla açık rıza, sözleşme zorunluluğu, hayati çıkar ve önemli kamu yararı dahil belirli istisnalar

Swiss-US DPF Uygulamada

Swiss-US DPF, öz belgelenmiş ve sertifikasyonunu sürdüren ABD kuruluşlarına yapılan aktarımları kapsamaktadır. Yayıncılar, her ABD reklam teknolojisi veya analitik tedarikçisinin DPF listesindeki aktif sertifikasyon durumunu, tek seferlik bir kontrole dayanmak yerine doğrulamalıdır; zira süresi dolmuş sertifikalar önceki aktarımları geriye dönük olarak geçersiz kılmaz, ancak devam eden akışlar için derhal düzeltme gerektirir. Tedarikçinin DPF sertifikasyonu yoksa FDPIC'in İsviçre ekiyle birlikte EU SCC'ler çalışan alternatif olmaya devam etmektedir.

2026 için Pratik Yaklaşım

Çoğu yayıncı için çalışan yaklaşım, İsviçre trafiğinden her sınır ötesi veri akışını hedef ülkesine ve mekanizmasına göre haritalamak, DPF sertifikasyonunun tedarikçiyi kapsamadığı durumlarda uygun SCC-İsviçre-eki kombinasyonunu uygulamak, mekanizmayı İsviçre dili gizlilik bildiriminde belgelemek ve yapılandırılmış mekanizmaların işlemeye açıkça uymadığı durumlarda rızaya dayalı yetkilendirmeyle tamamlamaktır.

revFADP Kapsamında Veri Sahibi Hakları

revFADP, GDPR'ı yakından takip eden ve birkaç İsviçre'ye özgü ayrıntı içeren bir haklar seti tanımaktadır:

• Veri sorumlusunun elinde bulundurduğu kişisel verilere erişim hakkı; yılda bir ücretsiz ilk erişim ve sonraki veya kapsamlı talepler için maliyet geri kazanım tavanı
• Yanlış veya eksik verilerin düzeltilmesi hakkı
• Silme hakkı
• İşlemeyi kısıtlama hakkı
• Rıza veya sözleşme temelinde otomatik araçlarla işlenen veriler için veri taşınabilirliği hakkı
• İşlemeye itiraz hakkı
• Rızayı geri alma hakkı
• Hukuki veya benzeri önemli etkiler doğuran otomatik bireysel karar almaya tabi tutulmama hakkı; manuel inceleme için güvence
• FDPIC'e şikâyette bulunma veya hukuki yollara başvurma hakkı

Yanıt Süreleri

Veri sorumluları, genel çerçeve kapsamında veri sahibi taleplerine 30 gün içinde yanıt vermek zorundadır; karmaşık davalarda gerekçeli bildirimle uzatılabilir. Bu süre için operasyonel hazırlık — İsviçre dili araçları ve Almanca, Fransızca ve İtalyanca işlem kılavuzları ile — programını tek bir Avrupa diline ayarlamış yabancı yayıncılar için yaygın bir eksikliktir.

2026'da Yaptırımlar ve Uygulama Tutumu

FDPIC'in uygulama faaliyeti 2024 ve 2025 boyunca belirgin biçimde yoğunlaştı ve 2026, bu eğilimi sürdürmekte, platoya ulaşmamaktadır.

Ceza Yapısı

Para cezaları, ağırlıklı olarak cezai nitelikte olup adı geçen bireylere — yöneticiler, DPO'lar, uyum liderleri — yönelmektedir; kasıtlı ihlal başına 250.000 CHF tavan uygulanmaktadır. 2025 uygulamasında en sık atıfta bulunulan kategoriler şunlardır: veri sahiplerine yetersiz bilgi, sınır ötesi aktarımlarda gerekli özeni göstermeme, FDPIC'e veri ihlallerini gerekli süre içinde bildirme yükümlülüğünü yerine getirmeme ve FDPIC kararlarına veya emirlerine uymama.

Cezai Sorumluluk Mekanizması

GDPR'ın aksine revFADP'nin cezai sorumluluk yolu yalnızca tüzel kişiliğe değil sorumlu gerçek kişiye karşıdır; bu durum 2025'te dahili onay iş akışlarının köklü biçimde yeniden yapılandırılmasına yol açmıştır. Pratik etki şudur: uyum beyanları ve denetim izleri yalnızca kuruluşun değil bireyin maruziyeti açısından da önem taşımaktadır ve özellikle DPO'lar bunu yansıtmak üzere dokümantasyon uygulamalarını güncellemiştir.

Uygulama Temaları

FDPIC'in 2025 ve 2026 başı eylemleri şu başlıklar etrafında yoğunlaşmaktadır: Reddet eylemini görsel olarak önemsizleştiren veya önceden işaretli kutular kullanan çerez bannerları, kullanıcının İsviçre ulusal dilinde sunulmayan gizlilik bildirimleri, DPF sertifikası olmayan ve alternatif mekanizmadan yoksun ABD tedarikçilerine yapılan sınır ötesi aktarımlar, veri sahibi taleplerine 30 günlük süre içinde yanıt vermeme, gecikmeli veya eksik ihlal bildirimleri. Yabancı yayıncılar beş kategorinin tamamında gündeme gelmiş olup banner tasarımı ve sınır ötesi aktarım kategorileri dosyada öne çıkmaktadır.

2026'da İsviçre Trafiği için Denetim Kontrol Listesi

• CMP bannerı, kullanıcının İsviçre ulusal dilinde (DE, FR, IT veya RM) eşit görsel belirginlikle Kabul Et, Reddet ve Ayarlar seçenekleriyle sunulmaktadır
• Rıza amaçları ayrıntılıdır ve özellikle hassas işlemeyi kendi rıza akışının arkasına yerleştirmektedir
• Gizlilik bildirimi, kontrolör, işleyiciler, amaçlar, saklama, haklar ve FDPIC şikâyet yolu hakkında tam açıklamalarla her ilgili İsviçre dilinde mevcuttur
• İsviçre trafiğinden her sınır ötesi akış, hedef ve mekanizmasına göre haritalanmaktadır — yeterlilik, Swiss-US DPF sertifikasyonu, FDPIC-Swiss-addendum SCC'ler, BCR'lar veya belgelenmiş bir istisna
• ABD tedarikçisinin DPF sertifikasyon durumu yayımlanan listede yeniden doğrulanmakta; bir kez alınıp unutulmamaktadır
• Rıza günlükleri zaman damgalı, dışa aktarılabilir ve geçerli zamanaşımı süresi boyunca saklanmaktadır
• Veri sahibi talebi iş akışı Almanca, Fransızca ve İtalyanca olarak 30 gün içinde uçtan uca yanıt verebilmektedir
• İhlal bildirimi el kitabı revFADP'nin zaman çizelgelerine göre ayarlanmış ve dahili olay müdahale süreciyle entegre edilmiştir
• Onay iş akışları, adı geçen onaylayıcılar ve dokümantasyon izi ile bireysel düzeyde cezai sorumluluk mimarisini yansıtmaktadır
• Özellikle hassas kategori kitle segmentleri, ayrıca alınmış açık rızanın arkasına yerleştirilmiştir
• Çerez sınıflandırması, FDPIC rehberliği kapsamında hangi çerezlerin gerçekten kesinlikle zorunlu sayılabileceğine dair eleştirel bir bakış açısıyla gözden geçirilmiştir

2026 Görünümü

İsviçre'nin veri koruma rejimi, saygın ama sessiz eski bir mevzuattan yalnızca AB programına eşlik etmek yerine uyum önceliklerini bağımsız biçimde şekillendirebilecek operasyonel özgüllüğe, uygulama kapasitesine ve cezai sorumluluk mimarisine sahip işleyen bir araca dönüşmüştür. 2024 yeterlilik yeniden uyumlaması ABD aktarımları etrafındaki en önemli yapısal boşluğu kapattı ve FDPIC'in 2025'te yoğunlaşan uygulama tutumu, tek seferlik bir kampanya yerine kalıcı biçimde büyüyen bir düzenleyiciyle tutarlıdır. Halihazırda GDPR düzeyinde bir onay yığınını yürüten yayıncılar için revFADP uyumuna giden mesafe, diğer AB dışı yargı bölgesinden daha dardır — ama gerçektir ve ayrıntılarda yaşamaktadır: İsviçre dili bannerları ve bildirimleri, her ABD tedarikçisi için DPF-SCC haritalama, özellikle hassas kategorinin biraz farklı çizilen sınırı, üç veya dört dilde 30 günlük yanıt temposu ve bireysel onay belgelemeyi güzel-olan-ama-zorunlu-olmayan yerine birinci sınıf uyum artefaktı haline getiren cezai sorumluluk mimarisi. Boşluk önceliklendirilirse haftalar içinde kapatılabilir ve İsviçreli yayıncı CPM'leri önceliklendirmeyi ekonomik açıdan basit kılmaktadır. 2024 boyunca İsviçre'yi bir GDPR geçiş noktası olarak sessizce değerlendiren yayıncılar 2026'nın çok daha zorlu olduğunu keşfetmektedir ve eğilim açıktır.