Art. 21 Processing policy

¹ The federal bodies responsible shall issue a processing policy for automated data files that:

a.: contain sensitive data or personality profiles;
b.: are used by two or more federal bodies;
c.: are disclosed to cantons, foreign authorities, international organisations or private persons; or
d.: are connected to other data files.

² The federal body responsible shall determine its internal organisation in the processing policy. These shall in particular describe the data processing and control procedures and contain all documents on the planning, realisation and management of the data file. The policy shall contain the details required for registration (Art. 16) as well as information on:

a.: the body responsible for the protection and security of the data;
b.: the source of the data;
c.: the purposes for which the data is regularly disclosed;
d.: the control procedures and in particular the technical and organisational measures in terms of Article 20;
e.: the description of the data fields and the organisational units that have access to them;
f.: the access by users of the data files as well as on the nature and extent of such access;
g.: the data processing procedures, in particular the procedure for the rectification, blocking, anonymising, storing, safeguarding, archiving or destruction of the data;
h.: the configuration of the information technology used;
i.: the procedure for exercising the right of access.

³ The policy shall be updated regularly. They shall be made available to the control bodies responsible in a form comprehensible to them.

Art. 21 Regolamento per il trattamento

¹ Gli organi federali responsabili emanano un regolamento per il trattamento delle collezioni di dati automatizzati che presentano una delle seguenti caratteristiche:

a.: contengono dati personali degni di particolare protezione o profili della personalità;
b.: sono utilizzate da parecchi organi federali;
c.: sono accessibili a Cantoni, autorità estere, organizzazioni internazionali o privati;
d.: sono collegate ad altre collezioni di dati.

² L’organo federale responsabile precisa l’organizzazione interna nel regolamento. In particolare descrive le procedure di trattamento e di controllo dei dati e integra i documenti relativi alla pianificazione, all’elaborazione e alla gestione della collezione di dati. Il regolamento contiene le informazioni necessarie per la notifica delle collezioni (art. 16) e dà indicazioni su:

a.: l’organo responsabile della protezione e della sicurezza dei dati;
b.: la provenienza dei dati;
c.: gli scopi per i quali i dati sono regolarmente comunicati;
d.: le procedure di controllo e in particolare le misure tecniche e organizzative previste dall’articolo 20;
e.: la descrizione dei campi di dati e delle unità organizzative che hanno accesso;
f.: il modo d’accesso degli utenti alla collezione di dati nonché l’estensione dell’accesso;
g.: le procedure di trattamento dei dati, segnatamente le procedure di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati;
h.: la configurazione dei mezzi informatici;
i.: la procedura di esercizio del diritto d’accesso.

³ Il regolamento è aggiornato periodicamente. È messo a disposizione degli organi incaricati del controllo in una forma per loro intelligibile.

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.