BGE-123-II-534 - 1997-11-26 - ATF - Droit administratif et droit international public - Art. 8 LPD; art. 98 LAA; droit d'une assurée d'être renseignée sur ses données personnelles détenues par l'assurance-accidents.

Urteilskopf

123 II 534

54. Urteil der II. öffentlichrechtlichen Abteilung vom 26. November 1997 i.S. ELVIA Schweizerische Versicherungs-Gesellschaft gegen K. und Eidgenössische Datenschutzkommission (Verwaltungsgerichtsbeschwerde)
Regeste (de):

Art. 8 DSG; Art. 98 UVG; Auskunftsrecht einer Versicherten über ihre bei der Unfallversicherung vorhandenen Personendaten.

Zuständigkeiten des Bundesgerichts bzw. des Eidgenössischen Versicherungsgerichts für Verwaltungsgerichtsbeschwerden bezüglich datenschutzrechtlicher Ansprüche gegen einen Unfallversicherer (E. 1).

Der in Art. 8 DSG enthaltene Anspruch auf Auskunft über Personendaten besteht unabhängig von versicherungsrechtlichen Ansprüchen und kann selbständig geltend gemacht werden (E. 2).

Die Modalitäten der Auskunft richten sich nach Datenschutzgesetz, nicht nach Art. 98 UVG bzw. Art. 123 UVV (E. 3).

Regeste (fr):

Art. 8 LPD; art. 98 LAA; droit d'une assurée d'être renseignée sur ses données personnelles détenues par l'assurance-accidents.

Compétences du Tribunal fédéral, respectivement du Tribunal fédéral des assurances, pour les recours de droit administratif relatifs aux prétentions en matière de protection des données contre un assureur-accidents (consid. 1).

Le droit d'être renseigné sur ses données personnelles prévu à l'art. 8 LPD est indépendant des prétentions fondées sur le droit des assurances et peut être invoqué seul (consid. 2).

Les modalités d'information sont régies par la loi fédérale sur la protection des données et non par l'art. 98 LAA, respectivement l'art. 123 OLAA (consid. 3).

Regesto (it):

Art. 8 LPD; art. 98 LAINF; diritto di un'assicurata di essere informata sui suoi dati personali detenuti dall'assicurazione infortuni.

Competenze del Tribunale federale, segnatamente del Tribunale federale delle assicurazioni, per i ricorsi di diritto amministrativo concernenti pretese in materia di protezione dei dati contro l'assicuratore infortuni (consid. 1).

Il diritto di essere informato in merito ai propri dati personali previsto dall'art. 8 LPD non dipende da pretese fondate sul diritto delle assicurazioni e può essere invocato in modo indipendente (consid. 2).

Le modalità d'informazione sono disciplinate dalla legge federale sulla protezione dei dati, non dall'art. 98 LAINF, rispettivamente, dall'art. 123 OAINF (consid. 3).

Sachverhalt ab Seite 535

BGE 123 II 534 S. 535

K. ist bei der ELVIA-Versicherung (nachfolgend: ELVIA) obligatorisch gegen Unfall versichert. Am 13. Februar 1989 erlitt sie einen Unfall, in dessen Folge sie Leistungen der ELVIA ausbezahlt erhielt. Mit mehreren Schreiben verlangte K. von der ELVIA im Laufe des Jahres 1995, ihr alle sie betreffenden Akten zur Einsicht oder in Fotokopie zuzustellen. Die ELVIA lehnte dies ab, bot aber K. an, die Akten am Hauptsitz der ELVIA in Zürich oder auf dem Schadenzentrum in Solothurn einzusehen oder aber einen Arzt oder einen bevollmächtigten Rechtsvertreter zu nennen, dem die Fotokopien der Akten zugesandt werden könnten. Diesen Standpunkt bekräftigte die ELVIA schliesslich mit einer Verfügung vom 13. Oktober 1995. K. erhob dagegen Beschwerde an die Eidgenössische Datenschutzkommission. Diese hiess mit Entscheid vom 12. September 1996 die Beschwerde gut und wies die ELVIA an, K. Kopien ihrer im Zusammenhang mit dem Unfall vom 13. Februar 1989 bestehenden, seit 1. Januar 1995 angelegten Akten zuzustellen. Die ELVIA erhebt Verwaltungsgerichtsbeschwerde an das Bundesgericht mit dem Antrag, den Entscheid der Datenschutzkommission aufzuheben und die Sache zum Erlass eines Nichteintretensentscheides an die Vorinstanz zurückzuweisen, eventualiter festzustellen, dass kein Anspruch auf Zustellung von Fotokopien der Akten bestehe. Das Bundesgericht und das Eidgenössische Versicherungsgericht kamen in einem gemäss Art. 96 Abs. 2 OG durchgeführten Meinungsaustausch überein, dass das Bundesgericht zur Beurteilung der Verwaltungsgerichtsbeschwerde zuständig sei. K. und die Eidgenössische Datenschutzkommission beantragen, die Beschwerde abzuweisen. Das Bundesgericht weist die Verwaltungsgerichtsbeschwerde ab
Erwägungen

aus folgenden Erwägungen:

1. a) Gegen Entscheide der Eidgenössischen Datenschutzkommission,
BGE 123 II 534 S. 536

die sich auf den verwaltungsrechtlichen Teil des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (Datenschutzgesetz, DSG; SR 235.1) stützen, ist die Verwaltungsgerichtsbeschwerde an das Bundesgericht zulässig (Art. 97 und Art. 98 lit. e OG in Verbindung mit Art. 5 VwVG und Art. 25 Abs. 5 bzw. Art. 33 Abs. 1 DSG), sofern kein Ausschlussgrund gemäss den Art. 99 -102 OG vorliegt. Der angefochtene Entscheid stützt sich auf Art. 8 DSG in seiner Anwendung durch ein Bundesorgan im Sinne von Art. 2 Abs. 1 lit. b bzw. Art. 3 lit. h DSG. Die Verwaltungsgerichtsbeschwerde ist daher zulässig. b) Verwaltungsgerichtsbeschwerden gegen Verfügungen auf dem Gebiet der Sozialversicherung werden durch das Eidgenössische Versicherungsgericht beurteilt (Art. 128 OG). Die vorliegende Streitsache steht zwar in einem gewissen Zusammenhang mit Leistungen einer Sozialversicherung. Indessen statuiert Art. 8 DSG, auf den sich die Beschwerdegegnerin wie auch die Vorinstanz stützen, einen eigenständigen persönlichkeitsrechtlichen Anspruch auf Mitteilung von Personendaten; dieser Anspruch verfolgt zwar ähnliche Ziele wie die verfahrensrechtlichen Akteneinsichtsrechte, kann aber auch unabhängig davon geltend gemacht werden (vgl. ALEXANDER DUBACH, Das Recht auf Akteneinsicht, Diss. Bern 1990, S. 208 ff., besonders S. 227; ders., in URS MAURER/NEDIM PETER VOGT, Kommentar zum Schweizerischen Datenschutzgesetz, Basel 1995, N. 15 und 55 zu Art. 8). Datenschutzrechtliche Fragen können sich als Querschnittproblem im Rahmen eines bestimmten Verfahrens stellen, das hauptsächlich andere, beispielsweise sozialversicherungsrechtliche, Ansprüche zum Gegenstand hat. In diesem Fall sind die datenschutzrechtlichen Aspekte zusammen mit den jeweiligen spezialgesetzlich geregelten Fragen in den entsprechenden Verfahren zu beurteilen (vgl. BGE 122 I 153; BGE 120 II 118 E. 2 S. 119 f.; BGE 115 V 297 E. 1b S. 298; RENATA JUNGO in MAURER/VOGT, a.a.O., N. 14 zu Art. 33). Sie können aber auch als selbständige Sachentscheide unabhängig von einem anderen Verfahren aufgeworfen werden und unterliegen dann der Beschwerde an die Eidgenössische Datenschutzkommission, deren Entscheide mit Verwaltungsgerichtsbeschwerde an das Bundesgericht weitergezogen werden können (vgl. BGE 122 II 204 E. 1 S. 207; JUNGO, a.a.O., N. 13 zu Art. 33). Vorliegend hat die Beschwerdegegnerin das Akteneinsichtsbegehren nicht im Rahmen von irgendwelchen sozialversicherungsrechtlichen Leistungsbegehren gestellt. Zuständig ist somit nicht das Eidgenössische Versicherungsgericht.
BGE 123 II 534 S. 537

c) Die Beschwerdeführerin ist nach Art. 103 lit. a OG zur Verwaltungsgerichtsbeschwerde legitimiert, da sie durch den angefochtenen Entscheid nicht bloss als in einem Rechtsmittelverfahren unterlegene Vorinstanz, sondern als Trägerin eines schutzwürdigen eigenen Interesses berührt ist (vgl. BGE 123 II 371 E. 2c/d S. 374 f., mit Hinweisen; Urteil vom 30. September 1996 i.S. Kanton Zug, SVR 1997 BVG 68 207, E. I.2; BGE 114 Ib 94, nicht publ. E. 2c).
2. a) Die Beschwerdeführerin beanstandet mit ihrem Hauptantrag, dass die Eidgenössische Datenschutzkommission auf die Beschwerde eingetreten sei; gegen Verfügungen der Unfallversicherer sei gemäss Art. 105 Unfallversicherungsgesetz (UVG; SR 832.20) Einsprache zu erheben, was die Beschwerdegegnerin nicht getan habe. Nach Art. 46 lit. b VwVG in Verbindung mit Art. 25 Abs. 4 DSG sei daher die Beschwerde an die Eidgenössische Datenschutzkommission unzulässig.
b) Gemäss Art. 105 Abs. 1 UVG kann Einsprache erhoben werden gegen Verfügungen "nach diesem Gesetz". Das betrifft namentlich Verfügungen über Leistungen und Forderungen gemäss Art. 99 UVG. Die Beschwerdegegnerin hat indessen keine Leistungen nach Unfallversicherungsgesetz, sondern Akteneinsicht beantragt, wobei sie sich nicht auf das Unfallversicherungsgesetz, sondern auf Art. 8 DSG stützte. Die Beschwerdeführerin hat freilich das Begehren auf Akteneinsicht nicht nach Art. 8 DSG, sondern nach Art. 98 UVG bzw. Art. 122 und 123 der Verordnung vom 20. Dezember 1982 über die Unfallversicherung (UVV; SR 832.202) beurteilt, da sie der Ansicht war, diese Bestimmungen gingen als lex specialis den Vorschriften des Datenschutzgesetzes vor. c) Das Datenschutzgesetz und die Verordnung vom 14. Juni 1993 zum Datenschutzgesetz (VDSG; SR 235.11) sind jünger als das Unfallversicherungsgesetz und die Unfallversicherungsverordnung. Ein jüngerer Erlass geht grundsätzlich einem älteren auch dann vor, wenn der ältere nicht formell aufgehoben oder abgeändert wird (lex posterior derogat legi priori). Dass beim Erlass des Datenschutzgesetzes die Bestimmungen des Unfallversicherungsgesetzes und der Unfallversicherungsverordnung über die Akteneinsicht nicht geändert wurden, begründet daher entgegen der Ansicht der Beschwerdeführerin noch keinen Vorrang der unfallversicherungsrechtlichen Vorschriften. d) Ein älteres Spezialgesetz kann unter Umständen einem jüngeren allgemeinen Gesetz vorgehen. Ob das der Fall ist, kann nicht nach einer allgemeinen Regel beurteilt werden. Vielmehr ist aufgrund
BGE 123 II 534 S. 538

einer Auslegung des neueren Gesetzes zu bestimmen, ob dadurch das ältere ausser Kraft gesetzt werden sollte oder nicht (BGE 115 Ib 88 E. 2c S. 92; BGE 96 I 485 E. 5 S. 491; PETER FORSTMOSER/WALTER R. SCHLUEP, Einführung in das Recht, Bern 1992, S. 355).
e) Das in Art. 98 UVG geregelte Akteneinsichtsrecht steht im Zusammenhang mit den verfahrensrechtlichen Bestimmungen betreffend die Leistungen der Unfallversicherer (Achter Titel 1. Kapitel UVG). Es fliesst aus dem Anspruch auf rechtliches Gehör, welcher aufgrund von Art. 4 BV allen am Verfahren Beteiligten zusteht und durch verfahrensrechtliche Vorschriften konkretisiert wird (ALEXANDRA RUMO-JUNGO, Bundesgesetz über die Unfallversicherung, 2. Aufl. Zürich 1995, S. 328 f.; GHÉLEW/RAMELET/RITTER, Commentaire de la loi sur l'assurance-accidents, Lausanne 1992, S. 265; vgl. BGE 122 I 153 E. 3 S. 158; BGE 115 V 297 E. 2 S. 299 ff.; ULRICH MEYER, Datenschutz in der Sozialversicherung, in RAINER J. SCHWEIZER (Hrsg.), Rechtsfragen des Informatikeinsatzes, Zürich 1992, S. 43-70, 54 f.). Zwar gilt gemäss der Praxis des Bundesgerichts das auf Art. 4 BV bzw. auf das Grundrecht der persönlichen Freiheit abgestützte Akteneinsichtsrecht auch ausserhalb eines formellen Verfahrens, jedoch nur bei Nachweis eines besonderen schutzwürdigen Interesses (BGE 113 Ia 1 E. 4a S. 4, 257 E. 4d S. 264 f.). Insoweit ist das Akteneinsichtsrecht mit ähnlichen persönlichkeitsbezogenen Überlegungen begründet wie das datenschutzrechtliche Auskunftsrecht gemäss Art. 8 DSG (DUBACH, a.a.O. (1990), S. 177 ff., 210 f.). Dieses ist jedoch einerseits gegenüber dem verfahrensrechtlichen Akteneinsichtsrecht enger, indem es sich nicht auf alle für das Verfahren wesentlichen Akten erstreckt, sondern nur auf die Daten über die betreffende Person (Botschaft zum Datenschutzgesetz, BBl 1988 II 413ff., 453; DUBACH, a.a.O. (1995), S. 135 N. 15 zu Art. 8). Andererseits geht es aber auch weiter, indem es - unter Vorbehalt des Rechtsmissbrauchsverbots - ohne jeglichen Interessennachweis auch ausserhalb eines Verwaltungsverfahrens geltend gemacht werden kann (nicht publiziertes Urteil des Bundesgerichts vom 6. Oktober 1995 i.S. D., E. 4a; DUBACH, a.a.O. (1995), N. 15 und 23 f. zu Art. 8; WALTER SCHMID, Die Beschaffung und Bekanntgabe von Personendaten durch die IV-Stelle im Verwaltungsverfahren, Diss. St. Gallen 1994, S. 313). Es knüpft nicht daran an, dass eine Behörde eine Verfügung vorbereitet, welche die Interessen einer bestimmten Person berührt, sondern einzig daran, dass die Behörde eine Datensammlung mit Daten über die betroffene Person besitzt. Es besteht insbesondere auch unabhängig

BGE 123 II 534 S. 539

von unfallversicherungsrechtlichen Ansprüchen. Das datenschutzrechtliche Auskunftsrecht kann sich daher teilweise mit dem verfahrensrechtlichen Akteneinsichtsrecht überschneiden, doch haben beide Rechte auch ihren besonderen Anwendungsbereich, der vom anderen Anspruch nicht beschlagen wird. Unter diesen Umständen kann nicht davon ausgegangen werden, dass die verfahrensrechtliche Regelung von Art. 98 UVG eine spezialgesetzliche Regelung darstellt, welche der jüngeren Regelung von Art. 8 DSG vorgeht. f) Insoweit Art. 8 DSG eine eigenständige Bedeutung hat, die von konkreten unfallversicherungsrechtlichen Leistungsansprüchen unabhängig ist, sind Streitigkeiten darüber nicht im Verfahren nach Art. 105 ff . UVG, sondern im datenschutzrechtlich vorgesehenen Verfahren zu entscheiden. Das gilt jedenfalls dann, wenn - wie vorliegend - das Auskunftsbegehren unabhängig von einer konkreten unfallversicherungsrechtlichen Streitigkeit gestellt wurde (JUNGO, a.a.O., N. 13 und 14 zu Art. 33). Entgegen der Annahme der Beschwerdeführerin geht es dabei nicht um einen aus den unfallversicherungsrechtlichen Normen fliessenden Anspruch, sondern um einen rein datenschutzrechtlichen. Wird von der betroffenen Person ein auf das Datenschutzgesetz gestützter Antrag gestellt, kann das zuständige Bundesorgan den datenschutzrechtlich vorgesehenen Rechtsmittelweg nicht dadurch vereiteln, dass es den geltend gemachten Anspruch anstatt nach Datenschutzgesetz nach anderen Rechtsgrundlagen beurteilt. Dass die Beschwerdeführerin das von der Beschwerdegegnerin gestellte Auskunftsbegehren fälschlicherweise nach Art. 98 UVG beurteilt hat, führt daher nicht dazu, dass die Beschwerdegegnerin die in Art. 105 UVG vorgesehene Einsprache hätte erheben müssen. Die Eidgenössische Datenschutzkommission ist deshalb mit Recht auf die Beschwerde eingetreten. Der Hauptantrag der Beschwerdeführerin ist somit unbegründet.
3. Die Beschwerdeführerin stellt sich in ihrem Eventualantrag auf den Standpunkt, sie sei nicht verpflichtet, der Beschwerdegegnerin Fotokopien ihrer Akten zuzustellen. a) Streitig ist vorliegend nicht das Recht der Beschwerdegegnerin auf Einsicht in ihre Akten, sondern sind nur die Modalitäten derselben. Nach Art. 8 Abs. 5 DSG ist die Auskunft in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie zu erteilen. Die Beschwerdeführerin stützt sich demgegenüber auf Art. 123 UVV, wonach die Akten in der Regel am Sitz des Versicherers oder bei seiner regionalen Vertretung einzusehen sind, sowie auf ein Kreisschreiben
BGE 123 II 534 S. 540

des Bundesamtes für Sozialversicherung aus dem Jahre 1991 über die Aktenführung und Akteneinsicht in der obligatorischen Unfallversicherung. b) Art. 122 und 123 UVV regeln das Verfahren der in Art. 98 UVG statuierten Akteneinsicht. Insoweit jedoch das datenschutzrechtliche Auskunftsrecht gemäss Art. 8 DSG unabhängig vom verfahrensrechtlichen Akteneinsichtsrecht besteht und diesem gegenüber eine selbständige Bedeutung hat (vorne E. 2e), können für dessen Modalitäten nicht die Regelung der Unfallversicherungsverordnung und ebensowenig das Kreisschreiben des Bundesamtes für Sozialversicherung anwendbar sein. Soweit sich der datenschutzrechtliche und der verfahrensrechtliche Anspruch überschneiden, legt das Datenschutzgesetz als lex posterior einen datenschutzrechtlichen Mindeststandard fest, der jedenfalls insoweit der unfallversicherungsrechtlichen Regelung vorgeht, als er nicht in direktem Widerspruch dazu steht (MARC BUNTSCHU in MAURER/VOGT, a.a.O., N. 9 zu Art. 2; vgl. für die analoge Situation im Bereich der Invalidenversicherung SCHMID, a.a.O., S. 34). Dass der Bundesrat gemäss Art. 8 Abs. 5 DSG Ausnahmen von der schriftlichen Auskunft vorsehen kann, ändert daran nichts: die verfahrensrechtlich orientierten Bestimmungen von Art. 122 und 123 UVV können weder von ihrem Regelungsgegenstand noch von der Entstehungsgeschichte her als Ausnahmen von dem mit dem Datenschutzgesetz neu eingeführten Auskunftsrecht verstanden werden. Für dessen Ausübung sind vielmehr die datenschutzrechtlichen Vorschriften massgebend (Art. 8 -10 DSG; Art. 1 und 2 VDSG). Dafür spricht auch, dass gemäss Art. 9 Abs. 1 lit. a DSG die Verweigerung der Auskunfterteilung nur zulässig ist, wenn ein formelles Gesetz dies vorsieht. Damit wollte der Gesetzgeber ausschliessen, dass das Auskunftsrecht durch Vorschriften auf Verordnungsstufe eingeschränkt werden kann. c) Die Beschwerdeführerin ist - wie sie nicht bestreitet - hinsichtlich ihrer Tätigkeit als UVG-Versicherer ein Bundesorgan im Sinne von Art. 3 lit. h DSG (BUNTSCHU, a.a.O., N. 28 zu Art. 2 ). Sie hat daher gemäss Art. 8 Abs. 5 DSG "in der Regel" schriftlich, in Form eines Ausdrucks oder einer Fotokopie Auskunft zu erteilen. Art. 1 Abs. 2 VDSG wiederholt diese Bestimmung. Eine ausdrückliche Abweichung von dieser "Regel" ist nur in Art. 1 Abs. 3 VDSG vorgesehen, wonach "im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin" die betroffene Person ihre Daten auch an Ort und Stelle einsehen "kann". Diese
BGE 123 II 534 S. 541

Bestimmung ist nach ihrem Wortsinn so zu verstehen, dass die Einsicht an Ort und Stelle nur dann eine schriftliche Auskunft ersetzen kann, wenn die betroffene Person dem zustimmt (ebenso DUBACH, a.a.O. (1995), N. 26 zu Art. 8 ). Ob über diese ausdrückliche Regelung von Art. 1 Abs. 3 VDSG hinaus noch weitere Abweichungen von der "Regel" der schriftlichen Auskunft zulässig sind, kann offenbleiben. Jedenfalls müssten dafür besondere Umstände angerufen werden, welche eine schriftliche Auskunfterteilung als ungeeignet erscheinen lassen. Die Beschwerdeführerin macht jedoch keine derartigen Umstände geltend. Dass die Auskunfterteilung für den Inhaber der Datensammlung einen bisweilen erheblichen Verwaltungsaufwand mit sich bringt, ist kein besonderer Umstand, sondern trifft generell für alle Inhaber von Datensammlungen zu und kann kein Grund sein, die gesetzlich vorgesehene Regel in ihr Gegenteil zu verkehren. Es erlaubt indessen nach Art. 2 Abs. 1 lit. b VDSG eine Kostenbeteiligung der antragstellenden Person. d) Die Beschwerdeführerin verhält sich im übrigen auch widersprüchlich, wenn sie der Beschwerdegegnerin anbietet, die Fotokopien einem bevollmächtigten Arzt oder Rechtsvertreter, nicht aber ihr direkt zuzustellen. Die Zustellung von Fotokopien an einen Vertreter verursacht nicht weniger Aufwand als die Zustellung direkt an die betroffene Person. Es ist kein sachlicher Grund ersichtlich, weshalb wohl ein Rechtsvertreter, nicht aber die betroffene Person selber Fotokopien erhalten soll. Zwar ist es zulässig, Originalakten nur an Rechtsanwälte, nicht aber direkt an die Parteien herauszugeben (BGE 122 I 109 E. 2b S. 112; BGE 108 Ia 5 E. 3 S. 8). Der Grund dafür liegt darin, dass die einer besonderen Disziplinaraufsicht unterstehenden Rechtsanwälte besser als andere Private Gewähr dafür bieten, dass ausgehändigte Akten vollständig und unverändert an die Behörde zurückgelangen und nicht an unbefugte Dritte herausgegeben werden (BGE 108 Ia 5 E. 3 S. 8). Diese Überlegungen entfallen jedoch, wenn es um Fotokopien geht, die nur Personendaten der betroffenen Person enthalten. Für die Zustellung der Akten den Beizug eines Rechtsanwalts zu verlangen, wäre vorliegend eine rein schikanöse und mit dem Gesetz nicht vereinbare Erschwerung des Auskunftsrechts. Entsprechendes gilt für die angebotene Alternative, die Kopien einem Arzt zuzustellen.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 5
¹	Sont considérées comme décisions les mesures prises par les autorités dans des cas d'espèce, fondées sur le droit public fédéral et ayant pour objet:
^a	de créer, de modifier ou d'annuler des droits ou des obligations;
^b	de constater l'existence, l'inexistence ou l'étendue de droits ou d'obligations;
^c	de rejeter ou de déclarer irrecevables des demandes tendant à créer, modifier, annuler ou constater des droits ou obligations.
²	Sont aussi considérées comme des décisions les mesures en matière d'exécution (art. 41, al. 1, let. a et b), les décisions incidentes (art. 45 et 46), les décisions sur opposition (art. 30, al. 2, let. b, et 74), les décisions sur recours (art. 61), les décisions prises en matière de révision (art. 68) et d'interprétation (art. 69).25
³	Lorsqu'une autorité rejette ou invoque des prétentions à faire valoir par voie d'action, sa déclaration n'est pas considérée comme décision.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
¹	Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
²	La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
^a	l'identité et les coordonnées du responsable du traitement;
^b	les données personnelles traitées en tant que telles;
^c	la finalité du traitement;
^d	la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
^e	les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
^f	le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
^g	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
³	Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
⁴	Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
⁵	Nul ne peut renoncer par avance au droit d'accès.
⁶	Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
⁷	En règle générale, les renseignements sont fournis dans un délai de 30 jours.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
¹	La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
^a	des personnes privées;
^b	des organes fédéraux.
²	Elle ne s'applique pas:
^a	aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
^b	aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
^c	aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
³	Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
⁴	Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 46
¹	Les autres décisions incidentes notifiées séparément peuvent faire l'objet d'un recours:
^a	si elles peuvent causer un préjudice irréparable, ou
^b	si l'admission du recours peut conduire immédiatement à une décision finale qui permet d'éviter une procédure probatoire longue et coûteuse.
²	Si le recours n'est pas recevable en vertu de l'al. 1 ou qu'il n'a pas été utilisé, les décisions incidentes en question peuvent être attaquées avec la décision finale dans la mesure où elles influent sur le contenu de celle-ci.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 10 Conseiller à la protection des données - 1 Les responsables du traitement privés peuvent nommer un conseiller à la protection des données.
¹	Les responsables du traitement privés peuvent nommer un conseiller à la protection des données.
²	Le conseiller à la protection des données est l'interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il a notamment les tâches suivantes:
^a	former et conseiller le responsable du traitement privé dans le domaine de la protection des données;
^b	concourir à l'application des prescriptions relatives à la protection des données.
³	Les responsables du traitement privés peuvent se prévaloir de l'exception prévue à l'art. 23, al. 4, lorsque les conditions suivantes sont réunies:
^a	le conseiller à la protection des données exerce sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d'instruction de celui-ci;
^b	il n'exerce pas de tâches incompatibles avec ses tâches de conseiller à la protection des données;
^c	il dispose des connaissances professionnelles nécessaires;
^d	le responsable du traitement publie les coordonnées du conseiller à la protection des données et les communique au PFPDT.
⁴	Le Conseil fédéral règle la désignation de conseillers à la protection des données par les organes fédéraux.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 1 Principes - 1 Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
¹	Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
²	Le besoin de protection des données personnelles est évalué en fonction des critères suivants:
^a	le type de données traitées;
^b	la finalité, la nature, l'étendue et les circonstances du traitement.
³	Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:
^a	les causes du risque;
^b	les principales menaces;
^c	les mesures prises ou prévues pour réduire le risque;
^d	la probabilité et la gravité d'une violation de la sécurité des données, malgré les mesures prises ou prévues.
⁴	Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:
^a	l'état des connaissances;
^b	les coûts de mise en oeuvre.
⁵	Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 2 Objectifs - En fonction du besoin de protection, le responsable du traitement et le sous-traitant prennent des mesures techniques et organisationnelles pour que les données traitées:
^a	ne soient accessibles qu'aux personnes autorisées (confidentialité);
^b	soient disponibles en cas de besoin (disponibilité);
^c	ne puissent être modifiées sans droit ou par mégarde (intégrité);
^d	soient traitées de manière à être traçables (traçabilité).

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
¹	Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
^a	seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
^b	aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
²	Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
³	Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
⁴	Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 8 Évaluation du niveau de protection adéquat des données d'un État, d'un territoire, d'un secteur déterminé dans un État, ou d'un organisme international - 1 Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l'annexe 1.
¹	Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l'annexe 1.
²	Pour évaluer si un État, un territoire, un secteur déterminé dans un État, ou un organisme international garantit un niveau de protection adéquat, les critères suivants sont en particulier pris en compte:
^a	les engagements internationaux de l'État ou de l'organisme international, notamment en matière de protection des données;
^b	l'état de droit et le respect des droits de l'homme;
^c	la législation applicable, notamment en matière de protection des données, de même que sa mise en oeuvre et la jurisprudence y relative;
^d	la garantie effective des droits des personnes concernées et des voies de droit;
^e	le fonctionnement effectif d'une ou de plusieurs autorités indépendantes chargées de la protection des données dans l'État concerné, ou auxquelles un organisme international est soumis, et disposant de pouvoirs et de compétences suffisants.
³	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est consulté lors de chaque évaluation. Les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données peuvent être prises en compte.
⁴	L'adéquation du niveau de protection est réévaluée périodiquement.
⁵	Les évaluations doivent être publiées.
⁶	Lorsque l'évaluation visée à l'al. 4 ou que d'autres informations indiquent que le niveau de protection adéquat n'est plus garanti, l'annexe 1 est modifiée sans effet sur les communications de données déjà effectuées.