1 Die verantwortlichen Bundesorgane erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die:

1. besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten;
2. durch mehrere Bundesorgane benutzt werden;
3. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder
4. mit anderen Datensammlungen verknüpft sind.

2 Das verantwortliche Bundesorgan legt seine interne Organisation in dem Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über:

1. das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ;
2. die Herkunft der Daten;
3. die Zwecke, für welche die Daten regelmässig bekannt gegeben werden;
4. die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Artikel 20;
5. die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
6. Art und Umfang des Zugriffs der Benutzer der Datensammlung;
7. die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;
8. die Konfiguration der Informatikmittel;

das Verfahren zur Ausübung des Auskunftsrechts.

1. Das Reglement wird regelmässig aktualisiert.

3 Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt.