BGE-125-II-473 - 1999-09-01 - ATF - Droit administratif et droit international public - Art. 4 Cst.; art. 8 LPD et art. 9 LPD; droit de consulter des documents internes. Le droit d'accès aux données ménagé par

Urteilskopf

125 II 473

47. Auszug aus dem Urteil der I. öffentlichrechtlichen Abteilung vom 1. September 1999 i.S. A. gegen Schweizerische Unfallversicherungsanstalt und Eidgenössische Datenschutzkommission (Verwaltungsgerichtsbeschwerde)
Regeste (de):

Art. 4 BV; Art. 8 DSG und Art. 9 DSG; Anspruch auf Einsicht in interne Akten.

Das datenschutzrechtliche Auskunftsrecht gemäss Art. 8 DSG deckt sich nicht mit dem verfahrensrechtlichen Akteneinsichtsrecht gemäss Art. 4 BV (E. 4a).

Der Auskunftsanspruch gemäss Art. 8 DSG erstreckt sich auch auf interne Akten in einem Verwaltungsverfahren (E. 4b).

Voraussetzungen der Verweigerung der Akteneinsicht gemäss Art. 9 DSG. Die Einsicht in interne Akten in einem Verwaltungsverfahren darf nicht generell, d.h. ohne nähere Prüfung der fraglichen Dokumente verweigert werden (E. 4c).

Regeste (fr):

Art. 4 Cst.; art. 8 LPD et art. 9 LPD; droit de consulter des documents internes.

Le droit d'accès aux données ménagé par l'art. 8 LPD ne se recoupe pas avec le droit procédural de consulter le dossier déduit de l'art. 4 Cst. (consid. 4a).

Le droit d'accès aux données visé par l'art. 8 LPD s'étend aussi aux documents internes d'une procédure administrative (consid. 4b).

Conditions auxquelles peut être refusée la communication des renseignements demandés selon l'art. 9 LPD. La consultation de documents internes d'une procédure administrative ne peut pas être refusée globalement sans un examen spécifique des documents litigieux (consid. 4c).

Regesto (it):

Art. 4 Cost.; art. 8 LPD e art. 9 LPD; diritto di consultare documenti interni.

Il diritto d'accesso ai dati giusta l'art. 8 LPD non coincide con il diritto procedurale di consultare l'incarto dedotto dall'art. 4 Cost. (consid. 4a).

Il diritto d'accesso ai dati giusta l'art. 8 LPD si estende anche ai documenti interni in un procedimento amministrativo (consid. 4b).

Condizioni alle quali può essere rifiutata, secondo l'art. 9 LPD, l'informazione richiesta. La consultazione di documenti interni in un procedimento amministrativo non può essere rifiutata in modo generale, cioè senza un loro esame specifico (consid. 4c).

Sachverhalt ab Seite 474

BGE 125 II 473 S. 474

A. erlitt am 4. März 1994 als Beifahrer einen Verkehrsunfall, in dessen Folge er bei der Kreisagentur Zürich der Schweizerischen Unfallversicherungsanstalt (SUVA) Versicherungsleistungen beanspruchte. Im Verlaufe der versicherungsrechtlichen Abklärungen ersuchte der Rechtsvertreter von A. um Zustellung der Akten samt eines Röntgenbilderverzeichnisses. Die Kreisagentur entsprach dem Gesuch, wies aber darauf hin, dass kein Verzeichnis der Röntgenbilder geführt werde. Der Rechtsvertreter des Verunfallten hielt die unterbreiteten Akten für unvollständig und verlangte daher am 5. Dezember 1997 die Zustellung der internen Akten. Der Hauptsitz der SUVA in Luzern teilte ihm darauf am 12. Januar 1998 mit, dass interne Akten grundsätzlich nicht ediert würden. Am 19. Januar 1998 erhob A. bei der Eidgenössischen Datenschutzkommission (EDSK) Beschwerde und verlangte Einsicht in sämtliche, insbesondere auch in die internen Akten. Die EDSK ging davon aus, das Schreiben der SUVA vom 12. Januar 1998 enthalte Anordnungen, welche das datenschutzrechtliche Auskunftsrecht beträfen, und stelle somit eine Verfügung im Sinn von Art. 5 Abs. 2 VwVG dar. Sie trat daher auf die Beschwerde ein, wies diese aber mit Entscheid vom 15. Mai 1998 ab. Die von A. gegen den Entscheid der EDSK erhobene Verwaltungsgerichtsbeschwerde heisst das Bundesgericht teilweise gut
Erwägungen

aus folgender Erwägung:

4. a) In der Sache ist streitig, ob dem Beschwerdeführer auch über die verwaltungsinternen Akten des unfallversicherungsrechtlichen Verfahrens Auskunft zu erteilen sei. Nach der Praxis des Bundesgerichts und des Eidgenössischen Versicherungsgerichts besteht weder nach der Akteneinsichtsordnung des Verwaltungsverfahrensgesetzes noch jener des Unfallversicherungsgesetzes noch auf Grund des verfassungsmässigen Mindestschutzes nach Art. 4 BV ein Anspruch auf Einsicht in verwaltungsinterne Akten (BGE 115 V 297 E. 2g S. 303 ff.; BGE 113 Ia 1 E. 4c/cc S. 9 f., 286 E. 2d S. 288 f.). Als verwaltungsinterne Akten gelten dabei Unterlagen, denen für die Behandlung eines Falles kein Beweischarakter zukommt, welche vielmehr ausschliesslich der verwaltungsinternen Meinungsbildung dienen und somit für den verwaltungsinternen Gebrauch bestimmt sind (z.B. Entwürfe, Anträge, Notizen, Mitberichte, Hilfsbelege usw.). Mit dem Ausschluss des Einsichtsrechts in diese Akten soll verhindert werden, dass die
BGE 125 II 473 S. 475

interne Meinungsbildung der Verwaltung über die entscheidenden Aktenstücke und die erlassenen begründeten Verfügungen hinaus vollständig vor der Öffentlichkeit ausgebreitet wird. In der Literatur ist die Unterscheidung zwischen internen und anderen Akten allerdings umstritten (vgl. JÖRG PAUL MÜLLER, Grundrechte in der Schweiz, 3. Aufl., Bern 1999, S. 529 f.; GEORG MÜLLER, Kommentar BV, N. 109 zu Art. 4 BV; ALFRED KÖLZ/ISABELLE HÄNER, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 2. Aufl., Zürich 1998, Rz. 296; RENÉ A. RHINOW/HEINRICH KOLLER/CHRISTINA KISS, Öffentliches Prozessrecht und Justizverfassungsrecht des Bundes, Basel/Frankfurt a.M. 1996, Rz. 345; ALEXANDER DUBACH, Das Recht auf Akteneinsicht, Diss. Bern, Zürich 1990, S. 19 und 27). Nach Ansicht der SUVA ist das Auskunftsrecht gemäss Art. 8 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) der gleichen (generellen) Beschränkung unterworfen wie das Akteneinsichtsrecht gemäss Art. 4 BV. Dem kann nicht ohne weiteres zugestimmt werden. Das datenschutzrechtliche Auskunftsrecht und das verfahrensrechtliche Akteneinsichtsrecht sind selbständige Ansprüche, die hinsichtlich Umfang und Voraussetzungen nicht deckungsgleich sind, d.h. je ihren besonderen Anwendungsbereich haben, der vom anderen Anspruch nicht beschlagen wird (BGE 123 II 534 E. 2e S. 538 f.; DUBACH, a.a.O., S. 208 ff.). Die Ausnahmen vom datenschutzrechtlichen Auskunftsrecht sind in den Art. 9 und 10 DSG abschliessend normiert. Sie stimmen nicht unbedingt mit den Einschränkungen des Akteneinsichtsrechts überein, welche die Rechtsprechung z.B. aus Gründen der Funktionsfähigkeit der Verwaltung zulässt. Im Folgenden ist daher aus datenschutzrechtlicher Sicht zu prüfen, ob und gegebenenfalls inwieweit der Beschwerdeführer einen Anspruch hat, über die umstrittenen internen Akten informiert zu werden. b) Gemäss Art. 8 Abs. 2 lit. a DSG erstreckt sich das Auskunftsrecht auf alle über eine Person in einer Datensammlung vorhandenen Daten, d.h. auf alle Angaben, die sich auf diese Person beziehen (Art. 3 lit. a DSG) und ihr zugeordnet werden können (Art. 3 lit. g DSG; vgl. hierzu das Urteil der Datenschutzkommission vom 21. November 1997, VPB 62/1998 Nr. 57 E. 4 S. 539). Es spielt dabei keine Rolle, ob es sich um Tatsachenfeststellungen oder um Werturteile handelt (URS BELSER in: Kommentar zum Schweize--rischen Datenschutzgesetz, hrsg. URS MAURER/NEDIM PETER VOGT,
BGE 125 II 473 S. 476

Basel/Frankfurt a.M. 1995, N. 5 zu Art. 3). Unerheblich ist auch die Art der Speicherung. Schliesslich kommt es auch nicht auf die Bezeichnung der Datensammlung durch den Inhaber an. Das Auskunftsrecht kann nicht dadurch unterlaufen werden, dass z.B. neben der «offiziellen» Datensammlung auch eine «inoffizielle» geführt wird (ALEXANDER DUBACH in: Kommentar zum Schweizerischen Datenschutzgesetz, N. 34 zu Art. 8; Stellungnahme des Eidgenössischen Datenschutzbeauftragten vom 21. November 1997, VPB 62/1998 Nr. 59 Ziff. 3.2 S. 552). Somit erstreckt sich der Auskunftsanspruch gemäss Art. 8 DSG auch auf Akten, die zwar von der Verwaltung als «intern» bezeichnet werden, die aber Angaben über den Gesuchsteller enthalten und diesem zugeordnet werden können. Dieses Ergebnis findet seine Rechtfertigung darin, dass erst das Auskunftsrecht den Betroffenen in die Lage versetzt, seine übrigen Datenschutzrechte wahrzunehmen. Gemäss Art. 4 DSG muss die Bearbeitung von Personendaten verhältnismässig sein (Abs. 2) und sie darf nur zum Zweck erfolgen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Abs. 3). Das Datenschutzgesetz verbietet daher das Sammeln von Personendaten «auf Vorrat» und verlangt, dass nur diejenigen Daten erhoben und gespeichert werden, die eine Behörde zur Erfüllung ihrer Aufgabe objektiv benötigt. Das Auskunftsrecht ermöglicht dem Betroffenen, die Einhaltung der materiellen Grund- sätze des Datenschutzes zu überprüfen und seine Rechte wahrzunehmen, so z.B. die Berichtigung unrichtiger Daten (Art. 5 Abs. 2 DSG), die Sperrung der Bekanntgabe gewisser Daten (Art. 20 Abs. 1 DSG) oder die Anonymisierung und Vernichtung nicht benötigter Daten zu verlangen (Art. 21 DSG). Diese Rechte muss der Betroffene gerade auch bezüglich interner, ihm im Verwaltungsverfahren nicht ohne weiteres zugänglicher Akten ausüben können, namentlich wenn diese - wie die internen Akten der SUVA - besonders schützenswerte Personendaten enthalten (z.B. über medizinische Befunde). Im vorliegenden Fall stellt die SUVA nicht in Frage, dass die umstrittenen als «intern» bezeichneten Akten sich auf den Beschwerdeführer beziehen. Folglich ist dieser grundsätzlich berechtigt, Auskunft über diese Akten zu erhalten. Davon ging im Übrigen auch die EDSK aus. Es fragt sich damit einzig, ob Gründe vorliegen, die eine Einschränkung des datenschutzrechtlichen Auskunftsrechts rechtfertigen.
BGE 125 II 473 S. 477

c) Nach Art. 9 Abs. 1 DSG kann der Inhaber der Datensammlung die Auskunft verweigern, einschränken oder aufschieben, soweit ein formelles Gesetz dies vorsieht (lit. a) oder dies wegen überwiegender Interessen eines Dritten erforderlich ist (lit. b). Für eidgenössische Datensammlungen kommen gemäss Abs. 2 zusätzliche Einschränkungsgründe in Betracht: Ein Bundesorgan kann die Auskunft insoweit einschränken, als dies überwiegende öffentliche Interessen - insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft - gebieten (lit. a); im Weiteren ist eine Begrenzung zulässig, soweit die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Frage stellen würde (lit. b). aa) Die EDSK ging in ihrem Entscheid davon aus, in einem hängigen erstinstanzlichen Verwaltungsverfahren könne die Bekanntgabe interner Aufzeichnungen und Mitteilungen die Arbeitsabläufe und die unabhängige Meinungsbildung der Verwaltung in empfindlicher Weise stören. Sie hielt es für zulässig, gemäss Art. 9 Abs. 2 lit. b DSG die Auskunft über solche Akten zu verweigern. Dieser Auffassung ist insoweit zuzustimmen, als die Meinungsbildung der Behörden einen ungezwungenen, offenen Meinungsaustausch voraussetzt, der durch ein unbeschränktes Auskunftsrecht auch während des laufenden erstinstanzlichen Verfahrens verunmöglicht werden könnte. Müsste jede Besprechungsnotiz, jeder Aktenvermerk über das weitere Vorgehen oder noch abzuklärende Fragen und jede vorläufige Stellungnahme dem Versicherten auf Anfrage bekannt gegeben werden, könnte dies den Ablauf des Verfahrens erheblich stören und die sachgerechte Aufgabenerfüllung der Verwaltung in Frage stellen. In diesem Sinn lässt sich gestützt auf die erwähnte Bestimmung, die einen Sonderfall der Geheimhaltung aus überwiegendem öffentlichen Interesse regelt, eine gewisse Beschränkung des Auskunftsrechts rechtfertigen. Allerdings muss eine solche Einschränkung - angesichts der grossen Bedeutung des Auskunftsrechts für den Datenschutz (vgl. BBl 1988 II 452) - auf das zeitlich und sachlich unbedingt Notwendige begrenzt werden. bb) In zeitlicher Hinsicht rechtfertigt sich eine Verweigerung der Auskunft nur solange, als das erstinstanzliche Verfahren noch hängig ist. Dies scheint auch die Ansicht der EDSK zu sein. Sobald der Meinungsbildungsprozess der Verwaltung abgeschlossen ist, besteht kein zwingender Grund mehr für die Einschränkung des Auskunftsrechts. In diesem Zeitpunkt muss die Behörde vielmehr entscheiden, ob sie die vorläufigen Stellungnahmen, Entwürfe,
BGE 125 II 473 S. 478

Anträge etc. selber noch benötigt und aufbewahren will oder nicht. Im Fall der Aufbewahrung unterliegen diese Dokumente dem Auskunftsanspruch, sofern sie Personendaten enthalten. cc) In sachlicher Hinsicht ist die Verweigerung der Auskunft auf das zum Schutz der verwaltungsinternen Meinungsbildung Notwendige zu beschränken. Wie bereits dargelegt wurde, kann die im Zusammenhang mit dem verfahrensrechtlichen Akteneinsichtsrecht entwickelte Abgrenzung zwischen externen und internen Akten nicht ohne weiteres als Mass- stab für die Begrenzung des Auskunftsrechts nach Art. 8 DSG dienen. Das Recht auf Einsicht in die Akten eines hängigen Verfahrens soll den Verfahrensbeteiligten die Kenntnisnahme der Entscheidgrundlagen ermöglichen, eine wirksame und sachbezogene Stellungnahme erlauben und die Akzeptanz der Entscheidung fördern (vgl. JÖRG PAUL MÜLLER, a.a.O, S. 525). Die Akteneinsicht erstreckt sich grundsätzlich auf alle Akten, die geeignet sind, Grundlage für die spätere Entscheidung zu bilden, d.h. entscheidrelevant sind oder sein könnten (BGE 121 I 225 E. 2a S. 227 mit Hinweisen). Um den Umfang des Akteneinsichtsrechts zu bestimmen, kommt es auf die Bedeutung eines Aktenstückes für die verfügungswesentliche Sachverhaltsfeststellung an (BGE 115 V 297 E. 2g/bb S. 303). Dagegen erstreckt sich der datenschutzrechtliche Auskunftsanspruch nach den vorstehenden Erwägungen (E. 4b) auf alle personenbezogenen Daten einer Behörde, ohne Rücksicht auf die Entscheidungserheblichkeit für ein konkretes Verfahren. Unter datenschutzrechtlichen Gesichtspunkten ist also ausschliesslich die Art und der Inhalt eines Dokuments von Bedeutung und nicht seine Entscheidrelevanz und Klassifikation als interne Akte durch die SUVA. So unterliegen z.B. Angaben über den Versicherten, welche der SUVA durch Dritte zugetragen wurden, dem uneingeschränkten Auskunftsrecht, auch wenn sie für die bevorstehende Verfügung ohne Beweiswert sind und daher in einer internen Akte geführt werden. Es ist demnach im Einzelnen zu prüfen, ob die Bekanntgabe eines Dokumentes während des hängigen erstinstanzlichen Verfahrens dessen Ablauf gefährdet und ob das öffentliche Geheimhaltungsinteresse das private Interesse auf Information überwiegt (vgl. BGE 125 II 225 E. 4 S. 228). dd) Im vorliegenden Fall vermutet der Beschwerdeführer, dass sich die interne Datensammlung nicht auf Entwürfe, Anträge und dergleichen beschränkt, sondern darin auch andere Dokumente abgelegt sind. Dieser Verdacht ist nicht völlig abwegig. Wie der
BGE 125 II 473 S. 479

Eidgenössische Datenschutzbeauftragte in einer publizierten Stellungnahme vom 21. November 1997 zuhanden des Bundesamtes für Sozialversicherung festgestellt hat, lädt der offene, nicht abschliessende Begriff der internen Akten die Verwaltung geradezu ein, interne Akten anzulegen, welche die datenschutzrechtlichen Grundsätze der Verhältnismässigkeit, der Transparenz und der Zweckbindung verletzen (VPB 62/1998 Nr. 59 Ziff. 3.4 S. 553). Im Lichte der dargelegten Grundsätze durfte sich die EDSK nicht mit der Versicherung begnügen, es handle sich bei sämtlichen Dokumenten um interne Akten, worüber während eines hängigen Verfahrens keine Auskunft gegeben werden müsse. Es hätte vielmehr im Einzelnen überprüft werden müssen, ob die Vorenthaltung der fraglichen Akten für die Dauer des Verfahrens vor der SUVA gerechtfertigt war oder nicht (vgl. BGE 125 II 225 E. 4 S. 228). In diesem Punkt ist die Verwaltungsgerichtsbeschwerde daher gutzuheissen. Es kann nicht Aufgabe des Bundesgerichts sein, im vorliegenden Fall die unterlassene Prüfung nachzuholen. Die Sache ist daher zu neuer Beurteilung dieser Frage an die EDSK zurückzuweisen. Bei ihrem neuen Entscheid wird die EDSK auch dem Umstand Rechnung tragen müssen, dass das unfallversicherungsrechtliche Verfahren inzwischen abgeschlossen worden ist.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
¹	Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
^a	seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
^b	aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
²	Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
³	Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
⁴	Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
¹	Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
^a	seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
^b	aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
²	Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
³	Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
⁴	Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 5
¹	Sont considérées comme décisions les mesures prises par les autorités dans des cas d'espèce, fondées sur le droit public fédéral et ayant pour objet:
^a	de créer, de modifier ou d'annuler des droits ou des obligations;
^b	de constater l'existence, l'inexistence ou l'étendue de droits ou d'obligations;
^c	de rejeter ou de déclarer irrecevables des demandes tendant à créer, modifier, annuler ou constater des droits ou obligations.
²	Sont aussi considérées comme des décisions les mesures en matière d'exécution (art. 41, al. 1, let. a et b), les décisions incidentes (art. 45 et 46), les décisions sur opposition (art. 30, al. 2, let. b, et 74), les décisions sur recours (art. 61), les décisions prises en matière de révision (art. 68) et d'interprétation (art. 69).25
³	Lorsqu'une autorité rejette ou invoque des prétentions à faire valoir par voie d'action, sa déclaration n'est pas considérée comme décision.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 10 Conseiller à la protection des données - 1 Les responsables du traitement privés peuvent nommer un conseiller à la protection des données.
¹	Les responsables du traitement privés peuvent nommer un conseiller à la protection des données.
²	Le conseiller à la protection des données est l'interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il a notamment les tâches suivantes:
^a	former et conseiller le responsable du traitement privé dans le domaine de la protection des données;
^b	concourir à l'application des prescriptions relatives à la protection des données.
³	Les responsables du traitement privés peuvent se prévaloir de l'exception prévue à l'art. 23, al. 4, lorsque les conditions suivantes sont réunies:
^a	le conseiller à la protection des données exerce sa fonction de manière indépendante par rapport au responsable du traitement et sans recevoir d'instruction de celui-ci;
^b	il n'exerce pas de tâches incompatibles avec ses tâches de conseiller à la protection des données;
^c	il dispose des connaissances professionnelles nécessaires;
^d	le responsable du traitement publie les coordonnées du conseiller à la protection des données et les communique au PFPDT.
⁴	Le Conseil fédéral règle la désignation de conseillers à la protection des données par les organes fédéraux.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
¹	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
²	Il ne peut exercer aucune surveillance sur:
^a	l'Assemblée fédérale;
^b	le Conseil fédéral;
^c	les tribunaux fédéraux;
^d	le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
^e	les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 5 Définitions - On entend par:
^a	données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;
^b	personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;
^c	données personnelles sensibles (données sensibles):
^c1	les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
^c2	les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
^c3	les données génétiques,
^c4	les données biométriques identifiant une personne physique de manière univoque,
^c5	les données sur des poursuites ou sanctions pénales et administratives,
^c6	les données sur des mesures d'aide sociale;
^d	traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;
^e	communication: le fait de transmettre des données personnelles ou de les rendre accessibles;
^f	profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
^g	profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;
^h	violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
ⁱ	organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;
^j	responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
^k	sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 20 Exceptions au devoir d'informer et restrictions - 1 Le responsable du traitement est délié du devoir d'information au sens de l'art. 19 si l'une des conditions suivantes est remplie:
¹	Le responsable du traitement est délié du devoir d'information au sens de l'art. 19 si l'une des conditions suivantes est remplie:
^a	la personne concernée dispose déjà des informations correspondantes;
^b	le traitement des données personnelles est prévu par la loi;
^c	le responsable du traitement est une personne privée et il est lié par une obligation légale de garder le secret;
^d	les conditions de l'art. 27 sont remplies.
²	Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le devoir d'information ne s'applique pas non plus dans les cas suivants:
^a	l'information est impossible à donner;
^b	elle nécessite des efforts disproportionnés.
³	Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si l'une des conditions suivantes est remplie:
^a	les intérêts prépondérants d'un tiers l'exigent;
^b	l'information empêche le traitement d'atteindre son but;
^c	lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies:
^c1	ses intérêts prépondérants l'exigent,
^c2	il ne communique pas les données à un tiers;
^d	lorsque le responsable du traitement est un organe fédéral:
^d1	si un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l'exige, ou
^d2	si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.
⁴	Les entreprises appartenant au même groupe ne sont pas considérées comme des tiers au sens de l'al. 3, let. c, ch. 2.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 21 Devoir d'informer en cas de décision individuelle automatisée - 1 Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d'un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l'affecte de manière significative (décision individuelle automatisée).
¹	Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d'un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l'affecte de manière significative (décision individuelle automatisée).
²	Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la décision individuelle automatisée soit revue par une personne physique.
³	Les al. 1 et 2 ne s'appliquent pas dans les cas suivants:
^a	la décision individuelle automatisée est en relation directe avec la conclusion ou l'exécution d'un contrat entre le responsable du traitement et la personne concernée et la demande de cette dernière est satisfaite;
^b	la personne concernée a expressément consenti à ce que la décision soit prise de manière automatisée.
⁴	Si la décision individuelle automatisée émane d'un organe fédéral, ce dernier doit la qualifier comme telle. L'al. 2 ne s'applique pas lorsque la personne concernée ne doit pas être entendue avant la décision conformément à l'art. 30, al. 2, de la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)6 ou en vertu d'une autre loi fédérale.