Art. 21 Processing policy

¹ The federal bodies responsible shall issue a processing policy for automated data files that:

a.: contain sensitive data or personality profiles;
b.: are used by two or more federal bodies;
c.: are disclosed to cantons, foreign authorities, international organisations or private persons; or
d.: are connected to other data files.

² The federal body responsible shall determine its internal organisation in the processing policy. These shall in particular describe the data processing and control procedures and contain all documents on the planning, realisation and management of the data file. The policy shall contain the details required for registration (Art. 16) as well as information on:

a.: the body responsible for the protection and security of the data;
b.: the source of the data;
c.: the purposes for which the data is regularly disclosed;
d.: the control procedures and in particular the technical and organisational measures in terms of Article 20;
e.: the description of the data fields and the organisational units that have access to them;
f.: the access by users of the data files as well as on the nature and extent of such access;
g.: the data processing procedures, in particular the procedure for the rectification, blocking, anonymising, storing, safeguarding, archiving or destruction of the data;
h.: the configuration of the information technology used;
i.: the procedure for exercising the right of access.

³ The policy shall be updated regularly. They shall be made available to the control bodies responsible in a form comprehensible to them.

Art. 21 Règlement de traitement

¹ Les organes fédéraux responsables établissent un règlement de traitement pour les fichiers automatisés qui répondent à l’un des critères suivants:

a.: contenir des données personnelles sensibles ou des profils de la personnalité;
b.: être utilisés par plusieurs organes fédéraux;
c.: être accessibles aux cantons, à des autorités étrangères, à des organisations internationales ou à des personnes privées;
d.: être connectés à d’autres fichiers.

² L’organe fédéral responsable précise dans le règlement de traitement son organisation interne. Il y décrit en particulier les procédures de traitement et de contrôle des données et y intègre les documents relatifs à la planification, à l’élaboration et à la gestion du fichier. Le règlement contient les informations nécessaires à la déclaration des fichiers (art. 16) et les indications suivantes:

a.: l’organe responsable de la protection et de la sécurité des données;
b.: la provenance des données;
c.: les buts dans lesquels des données sont régulièrement communiquées;
d.: les procédures de contrôle et en particulier les mesures techniques et organisationnelles visées à l’art. 20 de la présente ordonnance;
e.: la description des champs de données et des unités d’organisation qui y ont accès;
f.: l’accès des utilisateurs au fichier, ainsi que la nature et l’étendue de cet accès;
g.: les procédures de traitement des données, notamment les procédures de rectification, de blocage, d’anonymisation, de sauvegarde, de conservation, d’archivage ou de destruction des données;
h.: la configuration des moyens informatiques;
i.: la procédure d’exercice du droit d’accès.

³ Le règlement est régulièrement mis à jour. Il est mis à la disposition des organes chargés du contrôle sous une forme qui leur est intelligible.

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.