Art. 4 Certification de l’organisation et de la procédure

¹ Peuvent faire l’objet d’une certification:

a.: l’ensemble des procédures de traitement des données pour lesquelles un organisme est responsable;
b.: des procédures de traitement déterminées.

² L’évaluation porte sur le système de gestion de la protection des données. Ce dernier comprend notamment:

a.: une charte de protection des données;
b.: une documentation concernant les objectifs et les mesures visant à garantir la protection et la sécurité des données;
c.: les dispositions techniques et organisationnelles nécessaires à la réalisation des objectifs et des mesures fixés et en particulier des mesures visant à éliminer les manquements constatés.

³ Le préposé émet des directives sur les exigences minimales qu’un système de gestion de la protection des données doit remplir. Il tient compte des critères internationaux pertinents relatifs à l’installation, l’exploitation, la surveillance et l’amélioration des systèmes de gestion, tels qu’ils figurent en particulier dans les normes techniques suivantes³:

a.: SN EN ISO 9001, systèmes de management de la qualité, exigences;
b.: SN EN ISO/IEC 27001, technologies de l’information, techniques de sécurité, système de gestion de sécurité de l’information, exigences.⁴

⁴ L’exception à l’obligation de déclarer prévue à l’art. 11a, al. 5, let. f, LPD ne s’applique que si l’organisme au bénéfice d’une certification a obtenu cette certification pour l’ensemble des procédures de traitement portant sur les données du fichier à déclarer.

³ Les normes peuvent être consultées gratuitement ou obtenues contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404 Winterthour, www.snv.ch.

⁴ Nouvelle teneur selon le ch. I de l’O du 30 sept. 2016, en vigueur depuis le 1^er nov. 2016 (RO 2016 3447).

Art. 4 Zertifizierung von Organisation und Verfahren

¹ Zertifizierbar sind:

a.: die Gesamtheit der Datenbearbeitungsverfahren, für die eine Stelle verantwortlich ist;
b.: einzelne, abgrenzbare Datenbearbeitungsverfahren.

² Gegenstand der Begutachtung ist das Datenschutzmanagementsystem. Dieses umfasst namentlich:

a.: die Datenschutzpolitik;
b.: die Dokumentation von Zielen und Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit;
c.: die organisatorischen und technischen Vorkehrungen zur Verwirklichung der festgelegten Ziele und Massnahmen, insbesondere die Vorkehrungen zur Behebung festgestellter Mängel.

³ Der oder die Beauftragte erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei die international massgebenden Anforderungen für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, wie sie insbesondere in den folgenden technischen Normen³ zum Ausdruck kommen:

a.: SN EN ISO 9001, Qualitätsmanagementsysteme, Anforderungen;
b.: SN EN ISO/IEC 27001, Informationstechnik, IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen.⁴

⁴ Die Ausnahme von der Pflicht zur Anmeldung von Datensammlungen nach Artikel 11a Absatz 5 Buchstabe f DSG ist nur anwendbar, wenn sämtliche Datenbearbeitungsverfahren, denen eine Datensammlung dient, zertifiziert sind.

³ Die aufgeführten Normen kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404 Winterthur; www.snv.ch.

⁴ Fassung gemäss Ziff. I der V vom 30. Sept. 2016, in Kraft seit 1. Nov. 2016 (AS 2016 3447).

Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.