Artikel 21 Bearbeitungsreglement
1 Die verantwortlichen Bundesorgane erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die:
- besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten;
- durch mehrere Bundesorgane benutzt werden;
- Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder
- mit anderen Datensammlungen verknüpft sind.
2 Das verantwortliche Bundesorgan legt seine interne Organisation in dem Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über:
- das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ;
- die Herkunft der Daten;
- die Zwecke, für welche die Daten regelmässig bekannt gegeben werden;
- die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Artikel 20;
- die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
- Art und Umfang des Zugriffs der Benutzer der Datensammlung;
- die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;
- die Konfiguration der Informatikmittel;
das Verfahren zur Ausübung des Auskunftsrechts.
- Das Reglement wird regelmässig aktualisiert.
3 Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt.