BGE-122-II-204 - 1996-06-12 - DTF - Diritto amministrativo e diritto internazionale pubblico - Rifiuto della consultazione di documenti allestiti per garantire la sicurezza dello Stato; art. 24 LPD. I conflitti di competenza,

Urteilskopf

122 II 204

29. Urteil der II. öffentlichrechtlichen Abteilung vom 12. Juni 1996 i.S. Eidgenössisches Justiz- und Polizeidepartement gegen C. und Eidgenössische Datenschutzkommission (Verwaltungsgerichtsbeschwerde)
Regeste (de):

Verweigerte Einsichtnahme in Staatsschutzakten; Art. 24 DSG.

Über Kompetenzkonflikte zwischen Eidgenössischer Datenschutzkommission und Eidgenössischem Justiz- und Polizeidepartement im Bereich des Datenschutzes entscheidet das Bundesgericht im Verfahren der Verwaltungsgerichtsbeschwerde (E. 1 und 2).

Verweigert die Behörde, die Personendaten bearbeitet hat, die Einsicht in die Akten mit der Begründung, die Daten fielen in den Bereich des Staatsschutzes, entscheidet ausschliesslich das Eidgenössische Justiz- und Polizeidepartement über deren Staatsschutzcharakter und mithin darüber, ob es nach Massgabe von Art. 24 Abs. 3 DSG seine Zuständigkeit zur Beurteilung der Einsichtsverweigerung beansprucht (E. 3 und 4).

Regeste (fr):

Refus de la consultation de documents établis pour assurer la sécurité de l'Etat; art. 24 LPD.

Les conflits de compétence entre la Commission fédérale de la protection des données et le Département fédéral de justice et police sont tranchés par le Tribunal fédéral qui statue selon la procédure du recours de droit administratif (consid. 1 et 2).

Lorsque l'autorité qui a traité des données personnelles refuse la consultation de documents pour le motif que les données tombent dans le domaine de la sécurité de l'Etat, il appartient exclusivement au Département fédéral de justice et police de décider si ces données servent effectivement à la sécurité de l'Etat et, par-là même de dire si, en raison de l'art. 24 al. 3 LPD, il s'estime compétent pour prononcer la décision refusant la consultation (consid. 3 et 4).

Regesto (it):

Rifiuto della consultazione di documenti allestiti per garantire la sicurezza dello Stato; art. 24 LPD.

I conflitti di competenza, nell'ambito della protezione dei dati, tra la Commissione federale della protezione dei dati e il Dipartimento federale di giustizia e polizia sono risolti dal Tribunale federale, il quale si determina nella procedura di ricorso di diritto amministrativo (consid. 1 e 2).

Se l'autorità che ha trattato dati personali rifiuta la consultazione di documenti per il motivo che i dati ricadono nell'ambito della sicurezza dello Stato, incombe esclusivamente al Dipartimento federale di giustizia e polizia di stabilire se tali dati servano effettivamente alla sicurezza dello Stato e quindi di vagliare se, a norma dell'art. 24 cpv. 3 LPD, esso si ritenga competente per pronunciarsi sul rifiuto di consultare gli atti (consid. 3 e 4).

Sachverhalt ab Seite 205

BGE 122 II 204 S. 205

P. ist Physikerin mit beruflichem Interesse an Bombenschäden. Durch ihr Interesse an Informationen über terroristische Bombenanschläge hat sie die Aufmerksamkeit amtlicher Stellen auf sich gezogen, die ihrerseits die Bundesanwaltschaft kontaktiert haben. Am 11. Februar 1994 fand eine mündliche Unterredung zwischen P. und einem Kommissär der Bundespolizei statt. Nach übereinstimmender Darstellung beider Seiten konnten dabei alle Bedenken gegen die Person von P. ausgeräumt werden. P. ersuchte die Bundesanwaltschaft am 24. Februar 1994 um Einsicht in ihr Dossier. Am 21. März 1994 teilte ihr die Bundesanwaltschaft mit, dass gestützt auf Art. 9 Abs. 2 der Verordnung vom 5. März 1990 über die Behandlung der Staatsschutzakten des Bundes (SR 172.014) keine Auskunft erteilt werden könne, bis alle Daten der Bundespolizei in das provisorische Staatsschutzinformations-System (ISIS) aufgenommen seien. Da ihre weiteren Bemühungen um Akteneinsicht erfolglos blieben, wandte sich P. am 5. November 1994 an die Eidgenössische Datenschutzkommission. Die Bundesanwaltschaft stellte sich in ihrer Vernehmlassung an die Eidgenössische Datenschutzkommission auf den Standpunkt, die Zuständigkeit für die Beurteilung der Beschwerde liege beim Eidgenössischen Justiz- und Polizeidepartement, da es um Personendaten im Bereiche des Staatsschutzes im Sinne von Art. 24 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) gehe. Am 22. Februar 1995 verlangte der Präsident der Eidgenössischen Datenschutzkommission, in die Akten der Bundesanwaltschaft Einsicht nehmen zu können. Dem widersetzte sich die Bundesanwaltschaft mit dem erneuten Hinweis auf die Zuständigkeit des Eidgenössischen Justiz- und Polizeidepartements. Die Eidgenössische Datenschutzkommission leitete in der Folge mit dem Eidgenössischen Justiz- und Polizeidepartement den Meinungsaustausch über die Zuständigkeitsfrage ein. Dieses vertrat in seiner Stellungnahme die Ansicht, der Gesetzgeber habe mit der Bezeichnung des Departements als Beschwerdeinstanz an Stelle der Datenschutzkommission dem Geheimnischarakter der Staatsschutztätigkeit Rechnung tragen und
BGE 122 II 204 S. 206

ausschliessen wollen, dass die Mitglieder der Datenschutzkommission zu Geheimnisträgern im Bereiche des Staatsschutzes würden. Es werde deshalb vorgeschlagen, in diesem wie auch in anderen Fällen wie folgt vorzugehen: a. Falls eine Beschwerde gegen eine Verfügung der Bundesanwaltschaft bei der Datenschutzkommission eingeht, so hat die Bundesanwaltschaft die Möglichkeit, in ihrer Vernehmlassung mit Hinweis auf den
Staatsschutzcharakter der Angelegenheit die Zuständigkeit der Datenschutzkommission zu bestreiten.
b. Bestreitet die Bundesanwaltschaft mit Hinweis auf den
Staatsschutzcharakter der Daten die Zuständigkeit der
Datenschutzkommission, so obliegt es dem Eidgenössischen Justiz- und Polizeidepartement, die Zuständigkeitsfrage zu klären. Zu diesem Zweck überweist die Datenschutzkommission die Beschwerde dem Departement. c. Das Departement nimmt Einsicht in die betreffenden Daten. Falls es sich
um Staatsschutzdaten handelt, erklärt sich das Departement für zuständig und behandelt die Beschwerde materiell. Andernfalls stellt es intern die eigene Unzuständigkeit fest und überweist die Beschwerde der Datenschutzkommission.
Am 21. Oktober 1995 erliess die Eidgenössische Datenschutzkommission eine Zwischenverfügung, wonach sie selber über ihre sachliche Zuständigkeit zu entscheiden habe und der Instruktionsrichter beauftragt werde, in die Akten der Bundesanwaltschaft Einblick zu nehmen. Gegen diese Verfügung hat das Eidgenössische Justiz- und Polizeidepartement am 6. Februar 1996 Verwaltungsgerichtsbeschwerde an das Bundesgericht erhoben. Es beantragt, die angefochtene Zwischenverfügung aufzuheben und die Eidgenössische Datenschutzkommission anzuweisen, das Meinungsaustauschverfahren entsprechend den Bestimmungen von Art. 8 und 9 VwVG weiterzuführen oder aber dem Bundesrat zum Entscheid vorzulegen; eventualiter sei die Zuständigkeit des Departements zur Beurteilung des Staatsschutzcharakters einer Datenbearbeitung im Sinne von Art. 24 Abs. 1 DSG festzustellen.
In seiner Vernehmlassung vom 14. März 1996 an das Bundesgericht macht die Eidgenössische Datenschutzkommission geltend, sie unterstehe als Verwaltungsgericht nicht der Verwaltungsaufsicht des Bundesrates im Sinne von Art. 9 Abs. 3 VwVG, weshalb nicht der Bundesrat über einen Kompetenzkonflikt zu entscheiden habe. Ein solcher sei vielmehr auf dem Rechtsmittelweg zu lösen. Im übrigen müsse die Datenschutzkommission, wenn sie angerufen werde, selber in die Lage versetzt werden, ihre Zuständigkeit
BGE 122 II 204 S. 207

zu überprüfen, weshalb es erforderlich sei, dass ihrem Präsidenten Einblick in die Akten gewährt werde.
Erwägungen

Erwägungen:

1. Gemäss Art. 97 OG in Verbindung mit Art. 5 VwVG ist die Verwaltungsgerichtsbeschwerde zulässig gegen Verfügungen, die sich auf öffentliches Recht des Bundes stützen oder hätten stützen sollen, von einer der in Art. 98 OG genannten Vorinstanzen ausgehen und keinem Ausschlussgrund nach Art. 99 -102 OG unterliegen. Gegen Zwischenentscheide kann beim Bundesgericht Verwaltungsgerichtsbeschwerde geführt werden, soweit diese auch gegen den Endentscheid zulässig ist (Art. 101 lit. a OG) und wenn sie einen nicht wieder gutzumachenden Nachteil bewirken können (Art. 97 OG in Verbindung mit Art. 5 und 45 Abs. 1 VwVG). Da sich der angefochtene Entscheid auf das Datenschutzrecht des Bundes stützt, die Verwaltungsgerichtsbeschwerde auf diesem Gebiet nach dem Einleitungssatz von Art. 100 OG in keinem Fall (auch nicht auf dem Gebiet der innern oder äussern Sicherheit) ausgeschlossen ist, als Vorinstanz eine eidgenössische Rekurskommission entschieden hat (Art. 98 lit. e OG) und die mit dem angefochtenen Entscheid verlangte Edition der Akten einen nicht wiedergutzumachenden Nachteil bewirkt (Art. 45 Abs. 2 lit. d VwVG), ist die Verwaltungsgerichtsbeschwerde zulässig. Das in der Sache zuständige Departement ist beschwerdelegitimiert (Art. 103 lit. b OG). Die für die Anfechtung von Zwischenverfügungen geltende Beschwerdefrist von zehn Tagen (Art. 106 Abs. 1 OG) ist eingehalten, da der Entscheid der Eidgenössischen Datenschutzkommission vom 21. Oktober 1995 dem Departement erst am 29. Januar 1996 zugestellt wurde. Auf die Verwaltungsgerichtsbeschwerde ist somit einzutreten.
2. Die Eidgenössische Datenschutzkommission und das Eidgenössische Justiz- und Polizeidepartement sind sich vorerst nicht darüber einig, in welchem Verfahren entschieden wird, welche der beiden Behörden zuständig ist. Das Departement beruft sich auf Art. 9 Abs. 3 VwVG, wonach Kompetenzkonflikte zwischen Behörden, ausgenommen Kompetenzkonflikte mit dem Bundesgericht, dem Eidgenössischen Versicherungsgericht oder mit kantonalen Behörden, von der gemeinsamen Aufsichtsbehörde, im Zweifel vom Bundesrat, zu beurteilen sind. Die Bestimmung regelt nicht ausdrücklich, ob dem Bundesrat auch
BGE 122 II 204 S. 208

Kompetenzkonflikte zwischen einer unabhängigen Rekurskommission und einer Verwaltungsbehörde des Bundes zu unterbreiten sind. Die Frage braucht hier nicht in allgemeiner Weise entschieden zu werden. Auf dem Gebiete des Datenschutzes können sowohl die Entscheide der Datenschutzkommission wie auch diejenigen des Departements mit Verwaltungsgerichtsbeschwerde an das Bundesgericht angefochten werden. Es erscheint darum naheliegend und sachlich gerechtfertigt, dass das Bundesgericht, welches auf Verwaltungsgerichtsbeschwerde hin den materiellen Entscheid beider Behörden überprüfen und auch einen unzuständigerweise getroffenen Entscheid aufheben und die Sache an die jeweils andere Behörde überweisen müsste, darüber befindet, auf welche Weise die Datenschutzkommission und das Departement die Zuständigkeit klären sollen.
3. Die Eidgenössische Datenschutzkommission ist eine Schieds- und Rekurskommission im Sinne von Art. 71a -c VwVG, welche u.a. über Beschwerden gegen Verfügungen von Bundesorganen in Datenschutzfragen entscheidet (Art. 33 Abs. 1 lit. b DSG; Art. 25 Abs. 5 DSG). Der ursprüngliche bundesrätliche Entwurf zu Art. 24 DSG (Art. 21 DSG im Entwurf) enthielt eine Ermächtigung an den Bundesrat, für das Bearbeiten von Personendaten durch "Organe des Staatsschutzes oder der militärischen Sicherheit" in bestimmten Bereichen vom Datenschutzgesetz abweichende Bestimmungen aufzustellen. An Stelle der Datenschutzkommission sollte das übergeordnete Departement entscheiden, und an Stelle der Beschwerde an das Bundesgericht sollte jene an den Bundesrat treten (BBl 1988 II 523). Die eidgenössischen Räte sahen sich indessen veranlasst, den Begriff des Staatsschutzes präziser zu fassen und den Geltungsbereich von Art. 24 DSG nicht organ-, sondern aufgabenbezogen zu definieren (vgl. Votum Nabholz, Berichterstatterin der Kommission, Amtl.Bull. 1991 N 940 ff., 975 f.). Die besonderen Bestimmungen, welche der Bundesrat erlassen kann, sollen sich danach auf die Bekämpfung des Terrorismus, des gewalttätigen Extremismus, des organisierten Verbrechens und des verbotenen Nachrichtendienstes sowie auf die Gewährleistungen der militärischen Sicherheit beziehen. Im übrigen entschieden sich die eidgenössischen Räte dafür, die gerichtliche Überprüfung durch die Verwaltungsgerichtsbeschwerde an das Bundesgericht zu ermöglichen, nicht aber (insoweit in Übereinstimmung mit dem Entwurf des Bundesrates) durch Beschwerde an die Datenschutzkommission (Art. 24 Abs. 3 DSG).
BGE 122 II 204 S. 209

Die aufgabenorientierte Umschreibung des Geltungsbereichs von Art. 24 DSG hat zur Folge, dass die klare Abgrenzung der jeweiligen Zuständigkeit von Departement und Datenschutzkommission verloren ging. Es kann nicht, wie dies noch beim bundesrätlichen Entwurf der Fall gewesen wäre, darauf abgestellt werden, ob die Bearbeitung der Personendaten durch Organe des Staatsschutzes oder der militärischen Sicherheit erfolgt ist. Vielmehr ist vorerst zu klären, ob die Organe des Staatsschutzes im Bereiche der Bekämpfung des Terrorismus, des gewalttätigen Extremismus usw. tätig geworden sind. Dazu ist vollumfängliche Einsicht in die massgeblichen Akten erforderlich. Sofern es Sache der Datenschutzkommission ist, in solchen Fällen über die eigene Zuständigkeit zu entscheiden und diese nach Massgabe der in Art. 24 DSG angewendeten Begriffe zu bestimmen, ist es unumgänglich, dass den Mitgliedern dieser Kommission die Akten der Bundesanwaltschaft vorgelegt werden. Der Gesetzgeber hat nun aber die Datenschutzkommission im fraglichen Bereich nicht mit der Beurteilung von Beschwerden betrauen wollen, weil der Kreis der Geheimnisträger in Staatsschutzangelegenheiten möglichst klein gehalten werden sollte (HANS REINHARD, in: MAURER/VOGT, Kommentar zum schweizerischen Datenschutzgesetz, Basel 1995, N. 23 zu Art. 24). Einen anderen plausiblen Grund für die Übertragung der Aufgaben der Datenschutzkommission an das Departement gibt es nicht. Die gerichtliche Beurteilung als solche sollte (in Abweichung vom Entwurf des Bundesrates) gerade nicht ausgeschlossen werden, da das Bundesgericht sowohl zur Überprüfung der Entscheide der Datenschutzkommission wie auch jener des Departements befugt ist (Art. 24 Abs. 3 und Art. 25 Abs. 5 DSG). Verhält es sich aber so, kann kein Sinn darin gesehen werden, der Datenschutzkommission Einblick in die Akten zu gewähren und deren Mitglieder damit zu Geheimnisträgern in Staatsschutzangelegenheiten zu machen, den materiellen Entscheid aber doch dem Departement zu überlassen. Das Departement tritt einzig deshalb an die Stelle der Datenschutzkommission, weil dadurch die Zahl der Geheimnisträger kleiner gehalten werden kann, nicht weil ein Bedürfnis besteht, den materiellen Entscheid nicht einem unabhängigen Gericht zu übertragen. Auch die Datenschutzkommission anerkennt in ihrer Zwischenverfügung, dass der Kreis der Geheimnisträger aufgrund der gesetzlichen Regelung möglichst klein zu halten ist. Sie wollte aus diesem Grund die Einsicht in die Akten der Bundesanwaltschaft dem Instruktionsrichter vorbehalten. Das wäre indessen nicht folgerichtig, da die übrigen Mitglieder keine vollständige
BGE 122 II 204 S. 210

Aktenkenntnis hätten und die Auffassung des Instruktionsrichters für sie nicht überprüfbar wäre. Der Zweck der gesetzlichen Regelung gebietet damit das Vorgehen, wie es vom Departement im Meinungsaustauschverfahren vorgezeichnet worden ist. Das Departement hat im Streitfall darüber zu entscheiden, ob es nach Massgabe von Art. 24 Abs. 3 DSG seine Zuständigkeit beansprucht. Auf diese Weise ist sichergestellt, dass die Mitglieder der Datenschutzkommission nicht zu Geheimnisträgern in diesem Bereich werden, was nichts mit mangelnder Vertrauenswürdigkeit ihrer Mitglieder zu tun hat, sondern einzig damit, dass Geheimnisse um so besser gewahrt sind, je weniger Personen davon Kenntnis haben. Den Betroffenen entsteht daraus kein Nachteil. Sie können den Entscheid des Departements, wenn er zu ihren Ungunsten ausfällt, beim Bundesgericht anfechten, das ihn nicht nur materiell, sondern auch darauf hin überprüfen kann, ob das Departement zuständigerweise entschieden hat; nötigenfalls kann das Bundesgericht den Entscheid wegen fehlender Zuständigkeit des Departements aufheben und die Sache an die Datenschutzkommission überweisen.
4. Die Verwaltungsgerichtsbeschwerde ist damit teilweise (im Sinne des Eventualbegehrens des Eidgenössischen Justiz- und Polizeidepartements) gutzuheissen, die angefochtene Zwischenverfügung der Eidgenössischen Datenschutzkommission aufzuheben und die Sache an das Eidgenössische Justiz- und Polizeidepartement zu überweisen, damit dieses prüfe, ob es selbst gestützt auf Art. 24 Abs. 3 DSG zur materiellen Behandlung der von P. erhobenen Beschwerde zuständig sei.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 24 Notifica di violazioni della sicurezza dei dati - 1 Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
¹	Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
²	Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.
³	Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.
⁴	Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l'IFPDT.
⁵	Il titolare del trattamento può limitare o differire l'informazione della persona interessata o rinunciarvi se:
^a	sussiste uno dei motivi di cui all'articolo 26 capoversi 1 lettera b o 2 lettera b oppure un obbligo legale di serbare il segreto;
^b	l'informazione è impossibile o richiede un onere sproporzionato; o
^c	l'informazione è garantita in modo equivalente con una comunicazione pubblica.
⁶	Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all'obbligo di notifica soltanto con il suo consenso.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 24 Notifica di violazioni della sicurezza dei dati - 1 Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
¹	Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
²	Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.
³	Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.
⁴	Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l'IFPDT.
⁵	Il titolare del trattamento può limitare o differire l'informazione della persona interessata o rinunciarvi se:
^a	sussiste uno dei motivi di cui all'articolo 26 capoversi 1 lettera b o 2 lettera b oppure un obbligo legale di serbare il segreto;
^b	l'informazione è impossibile o richiede un onere sproporzionato; o
^c	l'informazione è garantita in modo equivalente con una comunicazione pubblica.
⁶	Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all'obbligo di notifica soltanto con il suo consenso.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 24 Notifica di violazioni della sicurezza dei dati - 1 Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
¹	Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
²	Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.
³	Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.
⁴	Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l'IFPDT.
⁵	Il titolare del trattamento può limitare o differire l'informazione della persona interessata o rinunciarvi se:
^a	sussiste uno dei motivi di cui all'articolo 26 capoversi 1 lettera b o 2 lettera b oppure un obbligo legale di serbare il segreto;
^b	l'informazione è impossibile o richiede un onere sproporzionato; o
^c	l'informazione è garantita in modo equivalente con una comunicazione pubblica.
⁶	Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all'obbligo di notifica soltanto con il suo consenso.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 8 - 1 L'autorità che si reputa incompetente trasmette senz'indugio la causa a quella competente.
¹	L'autorità che si reputa incompetente trasmette senz'indugio la causa a quella competente.
²	L'autorità che dubita di essere competente provoca senza indugio uno scambio d'opinioni con quella che potrebbe esserlo.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 9 - 1 L'autorità che si reputa competente accerta la sua competenza con una decisione, qualora una parte la contesti.
¹	L'autorità che si reputa competente accerta la sua competenza con una decisione, qualora una parte la contesti.
²	L'autorità che si reputa incompetente prende una decisione d'inammissibilità, qualora una parte ne affermi la competenza.
³	I conflitti di competenza tra autorità, eccetto quelli con il Tribunale federale, il Tribunale amministrativo federale o le autorità cantonali, sono decisi dall'autorità comune di vigilanza o, se non ve n'è una, dal Consiglio federale.25

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
¹	Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
^a	la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
^b	l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
^c	il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
²	Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
³	Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 45 - 1 È ammissibile il ricorso contro le decisioni incidentali notificate separatamente e concernenti la competenza o domande di ricusazione.
¹	È ammissibile il ricorso contro le decisioni incidentali notificate separatamente e concernenti la competenza o domande di ricusazione.
²	Tali decisioni non possono più essere impugnate ulteriormente.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
¹	Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
²	Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
^a	l'identità e i dati di contatto del titolare del trattamento;
^b	i dati personali trattati in quanto tali;
^c	lo scopo del trattamento;
^d	la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
^e	le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
^f	se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
^g	se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
³	I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
⁴	Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
⁵	Nessuno può rinunciare preventivamente al diritto d'accesso.
⁶	Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
⁷	Di norma l'informazione è fornita entro 30 giorni.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 21 Obbligo di informare sulle decisioni individuali automatizzate - 1 Il titolare del trattamento informa la persona interessata di ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per lei effetti giuridici o conseguenze significative (decisione individuale automatizzata).
¹	Il titolare del trattamento informa la persona interessata di ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per lei effetti giuridici o conseguenze significative (decisione individuale automatizzata).
²	Il titolare del trattamento dà su richiesta alla persona interessata la possibilità di esprimere un parere. Se la persona interessata lo esige, la decisione individuale automatizzata va riesaminata da una persona fisica.
³	I capoversi 1 e 2 non si applicano se:
^a	la decisione individuale automatizzata è in relazione diretta con la conclusione o l'esecuzione di un contratto tra il titolare del trattamento e la persona interessata e la richiesta di quest'ultima è soddisfatta; o
^b	la persona interessata ha dato il suo espresso consenso a che la decisione sia presa in maniera automatizzata.
⁴	Se la decisione individuale automatizzata è presa da un organo federale, questi la designa come tale. Il capoverso 2 non si applica nei casi in cui in virtù dell'articolo 30 capoverso 2 della legge federale del 20 dicembre 19686 sulla procedura amministrativa (PA) o di un'altra legge federale l'organo federale non è tenuto a sentire la persona interessata prima di prendere la decisione.