| 1 |
Die verantwortlichen Bundesorgane treffen die nach den Artikeln 8-10 erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der Personen, über die Daten bearbeitet werden. Bei der automatisierten Datenbearbeitung arbeiten die Bundesorgane mit dem Informatikstrategieorgan Bund (ISB) zusammen. |
| 2 |
Die verantwortlichen Bundesorgane melden dem Datenschutzverantwortlichen nach Artikel 11a Absatz 5 Buchstabe e DSG oder, falls kein solcher besteht, dem Beauftragten unverzüglich alle Projekte zur automatisierten Bearbeitung von Personendaten, damit die Erfordernisse des Datenschutzes sogleich berücksichtigt werden. Die Meldung an den Beauftragten erfolgt über das ISB, wenn das Projekt auch bei diesem angemeldet werden muss.2 |
| 3 |
Der Beauftragte und das ISB arbeiten im Rahmen ihrer Aktivitäten betreffend die technischen Massnahmen zusammen. Der Beauftragte holt die Stellungnahme des ISB ein, bevor er solche Massnahmen empfiehlt. |
| 4 |
Im Übrigen sind die Weisungen anwendbar, die von den verantwortlichen Bundesorganen gestützt auf die Bundesinformatikverordnung vom 26. September 20033 erlassen wurden.4 |
| 1 |
Die verantwortlichen Bundesorgane erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die: |
|
a. besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten; |
|
b. durch mehrere Bundesorgane benutzt werden; |
|
c. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder |
|
d. mit anderen Datensammlungen verknüpft sind. |
| 2 |
Das verantwortliche Bundesorgan legt seine interne Organisation in dem Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über: |
|
a. das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ; |
|
b. die Herkunft der Daten; |
|
c. die Zwecke, für welche die Daten regelmässig bekannt gegeben werden; |
|
d. die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Artikel 20; |
|
e. die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben; |
|
f. Art und Umfang des Zugriffs der Benutzer der Datensammlung; |
|
g. die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten; |
|
h. die Konfiguration der Informatikmittel; |
|
i. das Verfahren zur Ausübung des Auskunftsrechts. |
| 3 |
Das Reglement wird regelmässig aktualisiert. Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt. |
| 1 |
Die Bundeskanzlei und die Departemente bezeichnen jeweils mindestens einen Berater für den Datenschutz. Dieser Berater hat folgende Aufgaben: |
|
a. Unterstützung der verantwortlichen Organe und Benützer; |
|
b. Förderung der Information und der Ausbildung der Mitarbeiter; |
|
c. Mitwirkung beim Vollzug der Datenschutzvorschriften. |
| 2 |
Wollen Bundesorgane nach Artikel 11a Absatz 5 Buchstabe e DSG von der Pflicht zur Anmeldung ihrer Datensammlungen befreit werden, so sind die Artikel 12a und 12b anwendbar. |
| 3 |
Die Bundesorgane verkehren mit dem Beauftragten über den Berater. |
|
| 1 |
Fassung gemäss Anhang Ziff. II 7 der Bundesinformatikverordnung vom 23. Febr. 2000 (AS 2000 1227). |
| 2 |
Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 (AS 2007 4993). |
| 3 |
SR 172.010.58 |
| 4 |
Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 (AS 2007 4993). |
| 5 |
Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 (AS 2007 4993). |
| 6 |
Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 (AS 2007 4993). |