Структура revFADP у 2026 році

revFADP замінив швейцарський режим захисту даних 1992 року системою, яка в більшості операційних аспектів тісно відстежує GDPR, зберігаючи при цьому кілька виразно швейцарських позицій. Переглянуте Положення про захист даних (rev-OPDP) і Положення про сертифікацію захисту даних, обидва чинні поряд з revFADP, заповнюють операційні деталі.

Що Змінив Перегляд

Перегляд запровадив: обов'язкове повідомлення FDPIC про порушення, вимогу реєстру обробки для більшості контролерів, оцінку впливу на захист даних для обробки з високим ризиком, справжній екстериторіальний обсяг, аналогічний статті 3(2) GDPR, посилені права суб'єктів даних та механізм кримінальної відповідальності, застосовний до фізичних осіб, а не лише до організації-контролера. Визначення персональних даних, підстави для законної обробки та структура прав суб'єктів даних тісно узгоджені з GDPR, що суттєво спрощує дотримання вимог Швейцарії для видавців, які вже ведуть програму GDPR — але не усуває їх.

Хто Підпадає під Регулювання

revFADP застосовується до обробки даних у Швейцарії та до обробки за межами Швейцарії, що зачіпає осіб у Швейцарії. Іноземні видавці, що обслуговують швейцарський трафік через локалізовані сайти, домен .ch, контент на німецько-французько-італійсько-ромашській мові, налаштований для швейцарської аудиторії, або програматичний інвентар, придбаний проти швейцарських IP-адрес, зазвичай підпадають під дію, і FDPIC підтвердив екстериторіальне тлумачення у своїх оновленнях керівництва 2025 року.

Адміністративні Штрафи та Механізм Кримінальної Відповідальності

Найбільш обговорюваним відступом revFADP від GDPR є те, що архітектура санкцій є насамперед кримінальною, а не адміністративною. Індивідуальні штрафи — як правило, щодо відповідальних фізичних осіб, таких як директори, співробітники з питань захисту даних або керівники з питань дотримання вимог — можуть досягати 250 000 CHF за порушення для умисних правопорушень, з паралельною кримінальною відповідальністю за найсерйозніші дії. Основна межа нижча, ніж чотирьохвідсоткова стеля GDPR від обороту в абсолютному вираженні, але напрямок відповідальності — щодо названої особи, а не лише організації — змінює розрахунок ризику на практиці. Кілька видавців у 2025 році реструктурували внутрішні робочі процеси затвердження, зокрема для розподілу ризиків.

Що Вважається Персональними Даними за revFADP

Визначення персональних даних у revFADP тісно відстежує GDPR. Персональні дані — це інформація, що стосується ідентифікованої або ідентифікованої особи, і FDPIC послідовно розглядає файли cookie, ідентифікатори реклами, IP-адреси, цифрові відбитки пристроїв і поведінкові профілі як персональні дані, коли вони можуть бути пов'язані з фізичною особою безпосередньо або в поєднанні з іншою інформацією.

Особливо Чутливі Персональні Дані

revFADP визначає категорію під назвою особливо чутливі персональні дані, яка є дещо ширшою, ніж спеціальні категорії GDPR. Вона включає: дані про релігійні, філософські, політичні або профспілкові погляди та діяльність, дані про здоров'я, дані про інтимну сферу або расове чи етнічне походження, генетичні та біометричні дані, що однозначно ідентифікують особу, дані про адміністративні та кримінальні провадження або санкції, а також дані про заходи соціальної допомоги. Обробка особливо чутливих персональних даних передбачає підвищені вимоги до згоди та прозорості.

Чому Це Важливо для Файлів Cookie

Файл cookie, що зберігає звичайний ідентифікатор реклами, є звичайними персональними даними. Файл cookie, що живить сегмент аудиторії, що торкається особливо чутливого списку — інтереси у сфері охорони здоров'я, політичні схильності, релігійна приналежність — є обробкою особливо чутливих персональних даних і вимагає явної згоди, окремої від загального потоку згоди на рекламу. Таргетинг аудиторії швейцарською мовою, що перетинається з цим списком, слід перевіряти окремо щодо межі, яка проведена дещо інакше, ніж лінія спеціальних категорій GDPR.

Згода на Файли Cookie за revFADP у 2026 Році

revFADP допускає кілька законних підстав для обробки, і на відміну від Директиви ePrivacy, що застосовується в державах-членах ЄС, швейцарське законодавство не запроваджує законодавчу базу лише на підставі згоди для необов'язкових файлів cookie. Однак на практиці керівні вказівки FDPIC 2024 і 2025 років і найновіші рішення про правозастосування зійшлися на позиції, дуже близькій до бази ЄС для файлів cookie, пов'язаних з рекламою, аналітикою та профілюванням у різних контекстах.

Операційна Позиція FDPIC

Опублікована позиція FDPIC полягає в тому, що необов'язкові файли cookie — включаючи рекламу, ретаргетинг, міжсайтову аналітику та персоналізацію — вимагають попередньої, поінформованої, вільно наданої та конкретної згоди, отриманої до спрацювання файлу cookie. Суворо необхідні файли cookie та файли cookie, що підтримують послугу, яку користувач явно запросив, можуть встановлюватися на підставі законного інтересу або виконання договору без попередньої підказки про згоду, але тягар класифікації файлу cookie як суворо необхідного лежить на контролері і був оскаржений у кількох скаргах 2025 року.

Елементи Дійсної Згоди

Згода за revFADP має бути:

• Вільно наданою — без примусу, прив'язки до надання основних послуг або стіни файлів cookie, що обумовлює доступ до основного контенту прийняттям необов'язкових файлів cookie
• Поінформованою — суб'єкт даних розуміє, які дані обробляються, ким, з якою метою і яким отримувачам
• Конкретною — прив'язаною до чітко визначених цілей обробки, а не загальної згоди
• Однозначною — вираженою через чітку стверджувальну дію, а не виведеною з прокрутки, продовження перегляду або бездіяльності
• Явною у випадках, що стосуються особливо чутливих персональних даних, з окремою згодою на чутливу обробку

Як Виглядає Сумісний CMP для Швейцарського Трафіку

CMP, налаштований для Швейцарії у 2026 році, має представити:

• Банер, що відображається мовою користувача — німецькою, французькою, італійською або ромашською — до спрацювання будь-якого необов'язкового файлу cookie, де вибір мови відповідає локалізації сайту .ch, а не за замовчуванням відображається англійською
• Однакову візуальну значущість для дій Прийняти, Відхилити та Налаштування — керівні вказівки FDPIC 2025 року прямо критикують дизайни банерів, де Відхилити візуально применшено порівняно з Прийняти
• Детальні перемикачі за метою: аналітика, реклама, персоналізація, транскордонна передача та будь-яка особливо чутлива категорія
• Окремий потік згоди для будь-якої обробки особливо чутливих персональних даних, за власною дією, а не включений до загальної згоди
• Постійний, легко знайдений механізм відкликання згоди після початкового вибору, з рівноцінним тертям із наданням згоди
• Повне повідомлення про конфіденційність швейцарською мовою, що розкриває ідентичність контролера, обробників, цілі, отримувачів, терміни зберігання, механізми передачі та шлях прав суб'єктів даних

Записи Згоди

Контролери повинні зберігати докази згоди — хто дав згоду, коли, на які конкретні цілі та через який інтерфейс. Неналежні записи про згоду фігурували в кількох слідчих листах FDPIC у 2025 році, і журнали з відміткою часу, що експортуються, що зберігаються протягом відповідного строку позовної давності, є базовим очікуванням.

Транскордонні Передачі Після Переузгодження Достатності 2024 Року

Транскордонні передачі даних — це сфера revFADP, де швейцарська позиція найбільш чітко відходить від позиції ЄС і дещо відстає від неї. Переузгодження 2024 року після прийняття ЄС EU-US Data Privacy Framework породило паралельний Swiss-US Data Privacy Framework, але його обсяг та умови не ідентичні.

Визнані Механізми Передачі

revFADP і rev-OPDP визнають кілька шляхів:

• Рішення про достатність Федеральної ради Швейцарії для країн, оцінених як такі, що забезпечують адекватний захист — поточний перелік включає EEA, Великобританію та кілька інших юрисдикцій
• Swiss-US Data Privacy Framework для передачі американським організаціям, що самостійно сертифікувалися в рамках системи, яка замінила Swiss-US Privacy Shield після 2024 року
• Стандартні договірні положення, визнані FDPIC, включаючи EU SCC зі швейцарським доповненням, опублікованим FDPIC
• Обов'язкові корпоративні правила, затверджені FDPIC
• Конкретні виключення, включаючи явну згоду з належним розкриттям інформації, необхідність договору, життєво важливий інтерес та суттєвий суспільний інтерес

Swiss-US DPF на Практиці

Swiss-US DPF охоплює передачу американським організаціям, що самостійно сертифікувалися та підтримують сертифікацію. Видавці повинні перевіряти активний статус сертифікації кожного американського постачальника рекламних технологій або аналітики у списку DPF, а не покладатися на одноразову перевірку, оскільки прострочені сертифікати не скасовують ретроактивно попередні передачі, але вимагають негайного виправлення для поточних потоків. Якщо постачальник не сертифікований DPF, EU SCC зі швейцарським доповненням FDPIC залишаються робочою альтернативою.

Практичний Підхід 2026 Року

Для більшості видавців робочий підхід полягає в тому, щоб відобразити кожен транскордонний потік даних від швейцарського трафіку до країни призначення та механізму, виконати відповідні SCC-зі-швейцарським-доповненням там, де сертифікація DPF не охоплює постачальника, задокументувати механізм у повідомленні про конфіденційність швейцарської мови та доповнити авторизацією на основі згоди лише там, де структуровані механізми явно не відповідають обробці.

Права Суб'єктів Даних за revFADP

revFADP надає набір прав, що тісно відстежують GDPR, з кількома швейцарськими особливостями:

• Право доступу до персональних даних, що зберігаються контролером, з безкоштовним першим доступом на рік і стелею відшкодування витрат для наступних або великомасштабних запитів
• Право на виправлення неточних або неповних даних
• Право на видалення
• Право на обмеження обробки
• Право на переносимість даних для даних, що обробляються автоматизованими засобами на підставі згоди або договору
• Право заперечувати проти обробки
• Право відкликати згоду
• Право не бути суб'єктом автоматизованого індивідуального прийняття рішень, що спричиняє юридичні або аналогічно значущі наслідки, із гарантією ручного перегляду
• Право подати скаргу до FDPIC або порушити цивільне провадження

Терміни Відповіді

Контролери повинні відповідати на запити суб'єктів даних протягом 30 днів відповідно до загальної системи, що може бути продовжено вмотивованим повідомленням у складних випадках. Операційна готовність до цього вікна — з інструментами швейцарської мови та посібниками на німецькій, французькій та італійській мовах — є поширеним прогалиною для іноземних видавців, що налаштували свою програму під єдину європейську мову.

Санкції та Стан Правозастосування у 2026 Році

Правозастосовна діяльність FDPIC суттєво активізувалася протягом 2024 і 2025 років, і 2026 рік продовжує цю тенденцію, а не вирівнюється.

Структура Штрафів

Штрафи мають насамперед кримінальний характер і спрямовані на названих осіб — директорів, DPO, керівників з дотримання вимог — з обмеженням у 250 000 CHF за умисне порушення. Найбільш часто цитовані категорії у правозастосуванні 2025 року: недостатня інформація для суб'єктів даних, порушення належної обачності при транскордонних передачах, невиконання обов'язку повідомляти FDPIC про порушення даних у необхідний строк та невиконання рішень або наказів FDPIC.

Механізм Кримінальної Відповідальності

На відміну від GDPR, шлях кримінальної відповідальності revFADP спрямований проти відповідальної фізичної особи, а не лише юридичної особи, що спонукало до суттєвої внутрішньої реструктуризації робочих процесів затвердження у 2025 році. Практичний ефект полягає в тому, що атестація дотримання вимог і сліди аудиту важливі не лише для ризиків організації, але й для ризиків фізичної особи — і DPO зокрема адаптували практику документування для відображення цього.

Теми Правозастосування

Дії FDPIC 2025 і початку 2026 року згруповані навколо: банерів файлів cookie, що применшують дію «Відхилити» або використовують попередньо поставлені позначки, повідомлень про конфіденційність, недоступних на національній мові користувача Швейцарії, транскордонних передач американським постачальникам, що не сертифіковані DPF і не мають альтернативного механізму, невідповіді на запити суб'єктів даних у 30-денне вікно та затриманих або відсутніх повідомлень про порушення. Іноземні видавці згадувались у всіх п'яти категоріях, при цьому категорії дизайну банерів і транскордонних передач очолюють список справ.

Контрольний Список Аудиту для Швейцарського Трафіку у 2026 Році

• Банер CMP відображається на національній мові Швейцарії користувача (DE, FR, IT або RM) з рівною візуальною значущістю Прийняти, Відхилити та Налаштування
• Цілі згоди деталізовані та розміщують особливо чутливу обробку за власним потоком згоди
• Повідомлення про конфіденційність доступне кожною відповідною швейцарською мовою з повним розкриттям контролера, обробників, цілей, зберігання, прав та шляху скарги до FDPIC
• Кожен транскордонний потік від швейцарського трафіку відображено до його місця призначення та механізму — достатність, сертифікація Swiss-US DPF, FDPIC-Swiss-addendum SCC, BCR або задокументований виняток
• Статус сертифікації DPF американського постачальника перевіряється повторно в опублікованому списку, а не береться один раз і забувається
• Журнали згоди мають відмітку часу, експортуються та зберігаються протягом відповідного строку позовної давності
• Робочий процес запитів суб'єктів даних може відповідати протягом 30 днів від початку до кінця, німецькою, французькою та італійською мовами
• Посібник із повідомлення про порушення налаштований під часові рамки revFADP та інтегрований з внутрішнім процесом реагування на інциденти
• Робочі процеси затвердження відображають архітектуру кримінальної відповідальності на рівні фізичної особи із названими затверджувачами та документальним слідом
• Сегменти аудиторії особливо чутливих категорій закриті за явною, окремо отриманою згодою
• Класифікацію файлів cookie переглянуто критичним поглядом на те, які файли cookie справді кваліфікуються як суворо необхідні відповідно до керівництва FDPIC

Перспективи 2026 Року

Режим захисту даних Швейцарії перетворився з шанованого, але тихого старого статуту на робочий інструмент з операційною специфічністю, потенціалом правозастосування та архітектурою кримінальної відповідальності для формування пріоритетів дотримання вимог самостійно, а не лише для слідування програмі ЄС. Переузгодження достатності 2024 року закрило найбільш значущий структурний пробіл щодо передачі до США, а позиція FDPIC щодо ескалації правозастосування у 2025 році відповідає регулятору, що стабільно масштабується, а не проводить разову кампанію. Для видавців, що вже ведуть стек згоди рівня GDPR, розрив до дотримання вимог revFADP вужчий, ніж розрив для будь-якої іншої юрисдикції поза ЄС — але він реальний і живе в деталях: банери та повідомлення швейцарською мовою, зіставлення DPF-проти-SCC для кожного американського постачальника, дещо інша лінія особливо чутливої категорії, 30-денний ритм відповіді трьома або чотирма мовами та архітектура кримінальної відповідальності, що робить документування індивідуального затвердження першокласним артефактом дотримання вимог, а не приємним бонусом. Розрив можна закрити за тижні, якщо пріоритизувати, а швейцарські CPM видавців роблять пріоритизацію економічно простою. Видавці, що тихо ставилися до Швейцарії як до транзитного каналу GDPR протягом 2024 року, виявляють, що 2026 рік є значно вимогливішим, і тенденція зрозуміла.