Art. 4 Certificazione dell’organizzazione e della procedura

¹ È possibile certificare:

a.: l’insieme delle procedure di trattamento dei dati di cui un organismo è responsabile;

b. singole procedure di trattamento specifiche.

² La perizia riguarda il sistema di gestione della protezione dei dati. Tale sistema comprende segnatamente:

a.: la politica di protezione dei dati;
b.: la documentazione degli obiettivi e delle misure atte a garantire la protezione dei dati e la sicurezza dei dati;
c.: i provvedimenti organizzativi e tecnici finalizzati a realizzare gli obiettivi e le misure fissate, in particolare i provvedimenti tesi a eliminare le lacune riscontrate.

³ L’incaricato emana direttive sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere. Tiene conto dei requisiti determinanti a livello internazionale in materia di installazione, gestione, sorveglianza e ottimizzazione dei sistemi di gestione, così come figurano in particolare nelle seguenti norme tecniche³:

a.: UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti;
b.: UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti.⁴

⁴ La deroga all’obbligo di notifica delle collezioni di dati secondo l’articolo 11a capoverso 5 lettera f LPD si applica soltanto a condizione che siano state certificate tutte le procedure di trattamento dei dati cui è destinata una collezione di dati.

³ Le norme menzionate possono essere consultate gratuitamente od ottenute a pagamento presso l’Associazione svizzera di normalizzazione (SNV), Sulzerallee 70, 8404 Winterthur; www.snv.ch.

⁴ Nuovo testo giusta il n. I dell’O del 30 set. 2016, in vigore dal 1° nov. 2016 (RU 2016 3447).

Art. 4 Zertifizierung von Organisation und Verfahren

¹ Zertifizierbar sind:

a.: die Gesamtheit der Datenbearbeitungsverfahren, für die eine Stelle verantwortlich ist;
b.: einzelne, abgrenzbare Datenbearbeitungsverfahren.

² Gegenstand der Begutachtung ist das Datenschutzmanagementsystem. Dieses umfasst namentlich:

a.: die Datenschutzpolitik;
b.: die Dokumentation von Zielen und Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit;
c.: die organisatorischen und technischen Vorkehrungen zur Verwirklichung der festgelegten Ziele und Massnahmen, insbesondere die Vorkehrungen zur Behebung festgestellter Mängel.

³ Der oder die Beauftragte erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei die international massgebenden Anforderungen für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, wie sie insbesondere in den folgenden technischen Normen³ zum Ausdruck kommen:

a.: SN EN ISO 9001, Qualitätsmanagementsysteme, Anforderungen;
b.: SN EN ISO/IEC 27001, Informationstechnik, IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen.⁴

⁴ Die Ausnahme von der Pflicht zur Anmeldung von Datensammlungen nach Artikel 11a Absatz 5 Buchstabe f DSG ist nur anwendbar, wenn sämtliche Datenbearbeitungsverfahren, denen eine Datensammlung dient, zertifiziert sind.

³ Die aufgeführten Normen kostenlos eingesehen und gegen Bezahlung bezogen werden bei der Schweizerischen Normen-Vereinigung (SNV), Sulzerallee 70, 8404 Winterthur; www.snv.ch.

⁴ Fassung gemäss Ziff. I der V vom 30. Sept. 2016, in Kraft seit 1. Nov. 2016 (AS 2016 3447).

Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.