235.13 Ordinance of 28 September 2007 on Data Protection Certification (DPCO)

235.13 Verordnung vom 28. September 2007 über die Datenschutzzertifizierungen (VDSZ)

Art. 4 Certification of organisation and procedure

1 The following may be certified:

a.
any data processing procedures for which an organisation is responsible;
b.
individual, separately definable data processing procedures.

2 The subject matter of the assessment is the data protection management system. This includes in particular:

a.
the data protection policy;
b.
the documentation on objectives and measures relating to the guarantee of data protection and data security;
c.
the organisational and technical measures for the achievement of the goals and measures laid down, and in particular the measures to rectify any irregularities detected.

3 The Commissioner shall issue guidelines on the minimum requirements for the data protection management system. In doing so, he shall take account of the internationally specified requirements relating to the construction, operation, monitoring and improvement of management systems, and as set out in particular in the following technical standards3:

a.
SN EN ISO 9001:2000, quality management systems, requirements;
b.
SN EN ISO 27001:2005, information technology, IT security procedures, information security management systems, requirements.4

4 The exemption from the obligation to register data files in accordance with Article 11a paragraph 5 letter f FADP is only applicable if all data processing procedures that apply to a data file are certified.

3 The standard mentioned may be viewed free of charge and obtained against payment from the Swiss Association for Standardization (SNV), Sulzerallee 70, 8404 Winterthur, www.snv.ch

4 Amended by No I of the O of 30 Sept. 2016, in force since 1 Nov. 2016 (AS 2016 3447).

Art. 4 Zertifizierung von Organisation und Verfahren

1 Zertifizierbar sind:

a.
die Gesamtheit der Datenbearbeitungsverfahren, für die eine Stelle verantwortlich ist;
b.
einzelne, abgrenzbare Datenbearbeitungsverfahren.

2 Gegenstand der Begutachtung ist das Datenschutzmanagementsystem. Dieses umfasst namentlich:

a.
die Datenschutzpolitik;
b.
die Dokumentation von Zielen und Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit;
c.
die organisatorischen und technischen Vorkehrungen zur Verwirklichung der festgelegten Ziele und Massnahmen, insbesondere die Vorkehrungen zur Behebung festgestellter Mängel.

3 Der oder die Beauftragte erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei die international massgebenden Anforderungen für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, wie sie insbesondere in den folgenden technischen Normen3 zum Ausdruck kommen:

a.
SN EN ISO 9001, Qualitätsmanagementsysteme, Anforderungen;
b.
SN EN ISO/IEC 27001, Informationstechnik, IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen.4

4 Die Ausnahme von der Pflicht zur Anmeldung von Datensammlungen nach Artikel 11a Absatz 5 Buchstabe f DSG ist nur anwendbar, wenn sämtliche Datenbearbeitungsverfahren, denen eine Datensammlung dient, zertifiziert sind.

3 Die aufgeführten Normen kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404 Winterthur; www.snv.ch.

4 Fassung gemäss Ziff. I der V vom 30. Sept. 2016, in Kraft seit 1. Nov. 2016 (AS 2016 3447).

 

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.