Droit interne 2 Droit privé - Procédure civile - Exécution 23 Propriété intellectuelle et protection des données
Landesrecht 2 Privatrecht - Zivilrechtspflege - Vollstreckung 23 Geistiges Eigentum und Datenschutz

235.13 Ordonnance du 28 septembre 2007 sur les certifications en matière de protection des données (OCPD)

235.13 Verordnung vom 28. September 2007 über die Datenschutzzertifizierungen (VDSZ)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 1 Exigences

1 Les organismes qui effectuent des certifications au sens de l’art. 11 LPD (organismes de certification) doivent être accrédités. Leur accréditation est régie par l’ordonnance du 17 juin 1996 sur l’accréditation et la désignation2, sauf disposition contraire de la présente ordonnance.

2 Une accréditation distincte est requise pour les certifications portant sur:

a.
l’organisation et la procédure en matière de protection des données;
b.
les produits (produits matériels et logiciels ou systèmes pour procédures automatisées de traitement de données).

3 Les organismes de certification doivent disposer d’une organisation et d’une procédure de certification (programme de contrôle) déterminées. Les points suivants doivent notamment être réglés:

a.
les critères d’évaluation ou d’essai ainsi que les exigences en découlant que doivent respecter les organismes ou les produits à certifier (schéma d’évaluation ou d’essai), et
b.
les modalités du déroulement de la procédure et notamment les mesures à prendre si des manquements sont constatés.

4 Les exigences minimales concernant le programme de contrôle sont régies par les normes et les principes applicables selon l’annexe 2 de l’ordonnance du 17 juin 1996 sur l’accréditation et la désignation et par les art. 4 à 6.

5 Les exigences minimales concernant la qualification du personnel qui exécute des certifications sont réglées en annexe.

Art. 1 Anforderungen

1 Die Stellen, die Datenschutzzertifizierungen nach Artikel 11 DSG durchführen (Zertifizierungsstellen), müssen akkreditiert sein. Die Akkreditierung richtet sich nach der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 19962, soweit die vorliegende Verordnung keine abweichenden Vorschriften enthält.

2 Je eine separate Akkreditierung ist erforderlich für die Zertifizierung von:

a.
Organisation und Verfahren des Datenschutzes;
b.
Produkten (Hardware, Software oder Systeme für automatisierte Datenbearbeitungsverfahren).

3 Die Zertifizierungsstellen müssen über eine festgelegte Organisation sowie ein festgelegtes Zertifizierungsverfahren (Kontrollprogramm) verfügen. Darin müssen insbesondere geregelt sein:

a.
die Begutachtungs- oder Prüfkriterien und die sich daraus ergebenden Anforderungen, welche die zu zertifizierenden Stellen oder Produkte zu erfüllen haben (Begutachtungs- bzw. Prüfungsraster); und
b.
der Ablauf des Verfahrens, insbesondere das Vorgehen bei festgestellten Unregelmässigkeiten.

4 Die Mindestanforderungen an das Kontrollprogramm richten sich nach den gemäss Anhang 2 der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 1996 anwendbaren Normen und Grundsätzen sowie nach den Artikeln 4–6.

5 Die Mindestanforderungen an die Qualifikation des Personals, welches Zertifizierungen durchführt, richten sich nach dem Anhang.

 

Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.