Art. 4 Certification of organisation and procedure

¹ The following may be certified:

a.: any data processing procedures for which an organisation is responsible;
b.: individual, separately definable data processing procedures.

² The subject matter of the assessment is the data protection management system. This includes in particular:

a.: the data protection policy;
b.: the documentation on objectives and measures relating to the guarantee of data protection and data security;
c.: the organisational and technical measures for the achievement of the goals and measures laid down, and in particular the measures to rectify any irregularities detected.

³ The Commissioner shall issue guidelines on the minimum requirements for the data protection management system. In doing so, he shall take account of the internationally specified requirements relating to the construction, operation, monitoring and improvement of management systems, and as set out in particular in the following technical standards³:

a.: SN EN ISO 9001:2000, quality management systems, requirements;
b.: SN EN ISO 27001:2005, information technology, IT security procedures, information security management systems, requirements.⁴

⁴ The exemption from the obligation to register data files in accordance with Article 11a paragraph 5 letter f FADP is only applicable if all data processing procedures that apply to a data file are certified.

³ The standard mentioned may be viewed free of charge and obtained against payment from the Swiss Association for Standardization (SNV), Sulzerallee 70, 8404 Winterthur, www.snv.ch

⁴ Amended by No I of the O of 30 Sept. 2016, in force since 1 Nov. 2016 (AS 2016 3447).

Art. 4 Certification de l’organisation et de la procédure

¹ Peuvent faire l’objet d’une certification:

a.: l’ensemble des procédures de traitement des données pour lesquelles un organisme est responsable;
b.: des procédures de traitement déterminées.

² L’évaluation porte sur le système de gestion de la protection des données. Ce dernier comprend notamment:

a.: une charte de protection des données;
b.: une documentation concernant les objectifs et les mesures visant à garantir la protection et la sécurité des données;
c.: les dispositions techniques et organisationnelles nécessaires à la réalisation des objectifs et des mesures fixés et en particulier des mesures visant à éliminer les manquements constatés.

³ Le préposé émet des directives sur les exigences minimales qu’un système de gestion de la protection des données doit remplir. Il tient compte des critères internationaux pertinents relatifs à l’installation, l’exploitation, la surveillance et l’amélioration des systèmes de gestion, tels qu’ils figurent en particulier dans les normes techniques suivantes³:

a.: SN EN ISO 9001, systèmes de management de la qualité, exigences;
b.: SN EN ISO/IEC 27001, technologies de l’information, techniques de sécurité, système de gestion de sécurité de l’information, exigences.⁴

⁴ L’exception à l’obligation de déclarer prévue à l’art. 11a, al. 5, let. f, LPD ne s’applique que si l’organisme au bénéfice d’une certification a obtenu cette certification pour l’ensemble des procédures de traitement portant sur les données du fichier à déclarer.

³ Les normes peuvent être consultées gratuitement ou obtenues contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404 Winterthour, www.snv.ch.

⁴ Nouvelle teneur selon le ch. I de l’O du 30 sept. 2016, en vigueur depuis le 1^er nov. 2016 (RO 2016 3447).

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.