Art. 4 Certification of organisation and procedure

¹ The following may be certified:

a.: any data processing procedures for which an organisation is responsible;
b.: individual, separately definable data processing procedures.

² The subject matter of the assessment is the data protection management system. This includes in particular:

a.: the data protection policy;
b.: the documentation on objectives and measures relating to the guarantee of data protection and data security;
c.: the organisational and technical measures for the achievement of the goals and measures laid down, and in particular the measures to rectify any irregularities detected.

³ The Commissioner shall issue guidelines on the minimum requirements for the data protection management system. In doing so, he shall take account of the internationally specified requirements relating to the construction, operation, monitoring and improvement of management systems, and as set out in particular in the following technical standards³:

a.: SN EN ISO 9001:2000, quality management systems, requirements;
b.: SN EN ISO 27001:2005, information technology, IT security procedures, information security management systems, requirements.⁴

⁴ The exemption from the obligation to register data files in accordance with Article 11a paragraph 5 letter f FADP is only applicable if all data processing procedures that apply to a data file are certified.

³ The standard mentioned may be viewed free of charge and obtained against payment from the Swiss Association for Standardization (SNV), Sulzerallee 70, 8404 Winterthur, www.snv.ch

⁴ Amended by No I of the O of 30 Sept. 2016, in force since 1 Nov. 2016 (AS 2016 3447).

Art. 4 Certificazione dell’organizzazione e della procedura

¹ È possibile certificare:

a.: l’insieme delle procedure di trattamento dei dati di cui un organismo è responsabile;

b. singole procedure di trattamento specifiche.

² La perizia riguarda il sistema di gestione della protezione dei dati. Tale sistema comprende segnatamente:

a.: la politica di protezione dei dati;
b.: la documentazione degli obiettivi e delle misure atte a garantire la protezione dei dati e la sicurezza dei dati;
c.: i provvedimenti organizzativi e tecnici finalizzati a realizzare gli obiettivi e le misure fissate, in particolare i provvedimenti tesi a eliminare le lacune riscontrate.

³ L’incaricato emana direttive sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere. Tiene conto dei requisiti determinanti a livello internazionale in materia di installazione, gestione, sorveglianza e ottimizzazione dei sistemi di gestione, così come figurano in particolare nelle seguenti norme tecniche³:

a.: UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti;
b.: UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti.⁴

⁴ La deroga all’obbligo di notifica delle collezioni di dati secondo l’articolo 11a capoverso 5 lettera f LPD si applica soltanto a condizione che siano state certificate tutte le procedure di trattamento dei dati cui è destinata una collezione di dati.

³ Le norme menzionate possono essere consultate gratuitamente od ottenute a pagamento presso l’Associazione svizzera di normalizzazione (SNV), Sulzerallee 70, 8404 Winterthur; www.snv.ch.

⁴ Nuovo testo giusta il n. I dell’O del 30 set. 2016, in vigore dal 1° nov. 2016 (RU 2016 3447).

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.