1 Si un système d’information de la Confédération est géré par un exploitant externe sur mandat de celle-ci ou si les personnes visées à l’art. 8, al. 1 ou 3, let. a, doivent accéder à des systèmes d’information tiers, les données personnelles requises à cet effet peuvent être communiquées de manière automatisée à l’exploitant externe à partir des systèmes d’information concernant le personnel, de la base centralisée des identités ou des systèmes IAM.
2 Pour ce faire, le service qui est responsable du système d’information confié à un exploitant externe ou qui a besoin d’accéder à un système d’information tiers établit une demande écrite précisant les personnes concernées et la transmet, par l’intermédiaire du conseiller à la protection des données compétent, à l’organe de la Confédération responsable du système d’information fournissant les données requises.
3 Dans la demande, le service responsable au sens de l’al. 2 s’engage par écrit à respecter la législation fédérale sur la protection des données, à utiliser ces dernières exclusivement dans le but prévu et à les protéger conformément à l’état de la technique. Un droit d’inspection doit être accordé à l’organe de la Confédération responsable du système d’information fournissant les données requises.
4 Les personnes concernées doivent être informées au préalable.
1 Wird ein Informationssystem des Bundes von einem externen Betreiber im Auftrag des Bundes betrieben oder müssen Personen nach Artikel 8 Absatz 1 oder 3 Buchstabe a auf fremde Informationssysteme zugreifen, so dürfen die dazu notwendigen Personendaten aus Personalinformationssystemen, dem zentralen Identitätsspeicher oder IAM-Systemen automatisiert dem externen Betreiber bekanntgegeben werden.
2 Dazu erstellt die Stelle, die für das extern betriebene Informationssystem zuständig ist oder den Zugang auf das fremde Informationssystem benötigt, einen schriftlichen Antrag, der den betroffenen Personenkreis nennt, und stellt diesen via die zuständige Datenschutzverantwortliche oder den zuständigen Datenschutzverantwortlichen dem für das liefernde Informationssystem zuständigen Bundesorgan zu.
3 Der Antrag enthält die schriftliche Verpflichtung der zuständigen Stelle nach Absatz 2, die Datenschutzgesetzgebung des Bundes einzuhalten, die Daten ausschliesslich für den beabsichtigten Zweck zu verwenden und diese nach dem Stand der Technik zu schützen. Dem für das liefernde Informationssystem zuständigen Bundesorgan ist ein Inspektionsrecht einzuräumen.
4 Die betroffenen Personen müssen vorgängig informiert werden.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.