Auszug aus dem Urteil der Abteilung II
i.S. A. gegen Wettbewerbskommission
B 6850/2014 vom 30. November 2016
Datenschutz. Begriff der Verfügung. Geltungsbereich des DSG bei hängigem Verfahren. Aufschub der Auskunft über die Datenbearbeitung aufgrund einer Interessenabwägung.
Art. 5
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
|
1 | Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
a | la costituzione, la modificazione o l'annullamento di diritti o di obblighi; |
b | l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi; |
c | il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi. |
2 | Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24 |
3 | Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
1. Die an einen Gesuchsteller gerichtete Mitteilung, eine gestützt auf Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
|
1 | Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
a | la costituzione, la modificazione o l'annullamento di diritti o di obblighi; |
b | l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi; |
c | il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi. |
2 | Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24 |
3 | Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni. |
2. Erstinstanzliche Verfahren ausgenommen, ist das DSG nicht anwendbar, soweit Personen mit Parteirechten betroffen sind (Art. 2 Abs. 2 Bst. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
3. Konkrete Interessenabwägung führt zur Unzulässigkeit des Aufschubs einer beantragten Auskunft (Art. 9 Abs. 1 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
Protection des données. Notion de décision. Champ d'application de la LPD dans les procédures pendantes. Ajournement de la communication des renseignements concernant le traitement de données sur la base d'une pesée des intérêts en présence.
Art. 5 PA. Art. 2 al. 2 let. c, art. 8 et art. 9 LPD.
1. La communication adressée à un demandeur selon laquelle les renseignements demandés en vertu de l'art. 8 LPD ne peuvent être communiqués pour le moment produit un effet juridique au sens d'un ajournement selon l'art. 9 al. 1 LPD et constitue une décision au sens de l'art. 5 PA (consid. 1.4).
2. A l'exception des procédures de première instance, la LPD ne s'applique pas lorsque les personnes concernées sont titulaires de droits liés à la qualité de partie (art. 2 al. 2 let. c LPD). En cas de demandes d'accès présentées par des tiers, la LPD s'applique également dans les procédures pendantes (consid. 2.2).
3. Suite à la pesée des intérêts en présence, l'ajournement de la communication de renseignements est jugé illicite (art. 9 al. 1 let. b LPD; consid. 5).
Protezione dei dati. Nozione di decisione. Campo d'applicazione della LPD nei procedimenti pendenti. Differimento della comunicazione di informazioni inerenti il trattamento di dati sulla base di una ponderazione degli interessi.
Art. 5 PA. Art. 2 cpv. 2 lett. c, art. 8 e art. 9 LPD.
1. La comunicazione indirizzata a un richiedente secondo cui le informazioni richieste in virtù dell'art. 8 LPD non possono attualmente essere fornite produce un effetto giuridico nel senso di un differimento secondo l'art. 9 cpv. 1 LPD e costituisce una decisione ai sensi dell'art. 5 PA (consid. 1.4).
2. Eccettuati i procedimenti di prima istanza, la LPD non si applica quando sono toccate persone titolari di diritti inerenti alla qualità di parte (art. 2 cpv. 2 lett. c LPD). Nel caso di domande di accesso presentate da terzi, la LPD si applica anche nei procedimenti pendenti (consid. 2.2).
3. La ponderazione degli interessi nel caso concreto porta a riconoscere che il differimento della comunicazione delle informazioni è inammissibile (art. 9 cpv. 1 lett. b LPD; consid. 5).
Mit Verfügung vom 2. Dezember 2013 (« Sanktionsverfügung ») schloss die Wettbewerbskommission (WEKO, nachfolgend auch Vorinstanz) eine am 13. Februar 2006 eröffnete Untersuchung betreffend Abreden über Zuschläge im Bereich Luftfracht ab. Insgesamt elf Parteien wurden wegen Beteiligung an einer unzulässigen Preisabrede mit Sanktionen in unterschiedlicher Höhe belegt und es wurden ihnen bestimmte Verhaltensweisen untersagt. Die WEKO orientierte die Öffentlichkeit mittels einer Medienmitteilung und eines « Presserohstoffes » am 10. Januar 2014 über die Sanktionsverfügung. Mehrere Parteien haben die Sanktionsverfügung beim Bundesverwaltungsgericht angefochten.
Die Frage, ob respektive in welcher Form die WEKO die Sanktionsverfügung publizieren darf, ist Gegenstand einer eigenständigen Verfügung vom 8. September 2014 (« Publikationsverfügung » mit einer teils anonymisierten respektive geschwärzten Fassung der Sanktionsverfügung [« Publikationsversion »] im Anhang). Auch diese wurde von mehreren Parteien mittels Beschwerde beim Bundesverwaltungsgericht angefochten.
A. (nachfolgend: Beschwerdeführerin) ist in der Luftfrachtbranche tätig, war aber nicht Partei in der genannten Untersuchung. Sie gelangte mit Schreiben vom 19. September 2014 an die WEKO und ersuchte sie im Hinblick auf die erwartete Publikation der Sanktionsverfügung um die Bestätigung, dass die Sanktionsverfügung sie, die Beschwerdeführerin, nicht erwähne respektive keine direkten oder indirekten Hinweise auf sie enthalte und sie auch nicht auf andere Weise bei einer Lektüre der Verfügung mit dem untersuchten Verhalten in Bezug gebracht werden könne. Allfällige Hinweise und Andeutungen auf die Beschwerdeführerin seien in einer Publikationsversion zu löschen und diese vorgängig der Veröffentlichung der Beschwerdeführerin zur Stellungnahme vorzulegen.
Das Sekretariat der WEKO teilte mit Schreiben vom 23. September 2014 mit, die gewünschten Bestätigungen könne man nicht abgeben. Es sei fraglich, ob der Beschwerdeführerin ein Anspruch auf Offenlegung der Verfügung vor Publikation zustehe. Die Frage der Publikation sei strittig und nicht rechtskräftig geklärt, weshalb es « zurzeit » nicht möglich sei, die Publikationsversion zugänglich zu machen.
Die Beschwerdeführerin wandte sich am 17. Oktober 2014 wiederum an die WEKO. Sie machte geltend, sie habe Grund zur Annahme, die Sanktionsverfügung enthalte direkte oder indirekte Bezüge oder Hinweise auf die Beschwerdeführerin und damit Daten, welche sie, die Beschwerdeführerin, betreffen oder vom Inhalt der Verfügung insgesamt erkennbar machen. Unter Berufung auf Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
Fall, dass die WEKO die Einsichtnahme verweigern wolle, wurde um den Erlass einer anfechtbaren Verfügung ersucht.
Das Sekretariat der WEKO antwortete darauf mit Einschreibebrief vom 22. Oktober 2014. Nach einem Résumé des Schreibens der Beschwerdeführerin vom 17. Oktober 2014 hält es fest:
« Nach wie vor ist die Frage der Publikation der genannten Verfügung strittig und noch nicht rechtskräftig geklärt. Dabei sind sowohl die Publikation an sich als auch deren Umfang bestritten. Gemäss Artikel 9 Absatz 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio. |
|
1 | Le autorità in materia di concorrenza serbano il segreto d'ufficio. |
2 | Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura. |
3 | Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito. |
4 | Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari. |
Die Beschwerdeführerin erhob Beschwerde gegen diese von ihr als Verfügung qualifizierte Mitteilung. Sie stellte im Wesentlichen die Rechtsbegehren, die Verfügung vom 22. Oktober 2014 sei aufzuheben und die Vorinstanz anzuweisen, ihr, der Beschwerdeführerin, alle Personendaten bekannt zu geben, die über sie in den Akten der Vorinstanz mit Bezug auf die Sanktionsverfügung vorhanden sind, namentlich ihr alle Personaldaten über sie offenzulegen, welche die Vorinstanz in der Sanktionsverfügung bearbeite.
Das Bundesverwaltungsgericht heisst die Beschwerde gut, hebt die Verfügung vom 22. Oktober 2014 auf und weist die Sache zur Neubeurteilung im Sinne der Erwägungen an die Vorinstanz zurück.
Aus den Erwägungen:
1.
1.1 Das Bundesverwaltungsgericht beurteilt gemäss Art. 31
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 31 Principio - Il Tribunale amministrativo federale giudica i ricorsi contro le decisioni ai sensi dell'articolo 5 della legge federale del 20 dicembre 196819 sulla procedura amministrativa (PA). |
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
|
1 | Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
a | la costituzione, la modificazione o l'annullamento di diritti o di obblighi; |
b | l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi; |
c | il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi. |
2 | Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24 |
3 | Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni. |
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 32 Eccezioni - 1 Il ricorso è inammissibile contro: |
|
1 | Il ricorso è inammissibile contro: |
a | le decisioni in materia di sicurezza interna o esterna del Paese, neutralità, protezione diplomatica e altri affari esteri, in quanto il diritto internazionale pubblico non conferisca un diritto al giudizio da parte di un tribunale; |
b | le decisioni in materia di diritto di voto dei cittadini nonché di elezioni e votazioni popolari; |
c | le decisioni in materia di salario al merito del personale federale, in quanto non concernano la parità dei sessi; |
d | ... |
e | le decisioni nel settore dell'energia nucleare concernenti: |
e1 | le autorizzazioni di massima per impianti nucleari, |
e2 | l'approvazione del programma di smaltimento, |
e3 | la chiusura di depositi geologici in profondità, |
e4 | la prova dello smaltimento; |
f | le decisioni in materia di rilascio o estensione di concessioni di infrastrutture ferroviarie; |
g | le decisioni dell'autorità indipendente di ricorso in materia radiotelevisiva; |
h | le decisioni in materia di rilascio di concessioni per case da gioco; |
i | le decisioni in materia di rilascio, modifica o rinnovo della concessione della Società svizzera di radiotelevisione (SSR); |
j | le decisioni in materia di diritto ai sussidi di una scuola universitaria o di un altro istituto accademico. |
2 | Il ricorso è inoltre inammissibile contro: |
a | le decisioni che, in virtù di un'altra legge federale, possono essere impugnate mediante opposizione o ricorso dinanzi a un'autorità ai sensi dell'articolo 33 lettere c-f; |
b | le decisioni che, in virtù di un'altra legge federale, possono essere impugnate mediante ricorso dinanzi a un'autorità cantonale. |
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 33 Autorità inferiori - Il ricorso è ammissibile contro le decisioni: |
|
a | del Consiglio federale e degli organi dell'Assemblea federale in materia di rapporti di lavoro del personale federale, compreso il rifiuto dell'autorizzazione a procedere penalmente; |
b | del Consiglio federale concernenti: |
b1 | la destituzione di un membro del Consiglio della banca o della direzione generale o di un loro supplente secondo la legge del 3 ottobre 200325 sulla Banca nazionale, |
b10 | la revoca di un membro del consiglio d'amministrazione del Servizio svizzero di assegnazione delle tracce o l'approvazione della risoluzione del rapporto di lavoro del direttore da parte del consiglio d'amministrazione secondo la legge federale del 20 dicembre 195743 sulle ferrovie; |
b2 | la revoca di un membro del consiglio di amministrazione dell'Autorità federale di vigilanza sui mercati finanziari o l'approvazione dello scioglimento del rapporto di lavoro del direttore da parte del consiglio di amministrazione secondo la legge del 22 giugno 200726 sulla vigilanza dei mercati finanziari, |
b3 | il blocco di valori patrimoniali secondo la legge del 18 dicembre 201528 sui valori patrimoniali di provenienza illecita, |
b4 | il divieto di determinate attività secondo la LAIn30, |
b4bis | il divieto di organizzazioni secondo la LAIn, |
b5 | la revoca di un membro del Consiglio d'istituto dell'Istituto federale di metrologia secondo la legge federale del 17 giugno 201133 sull'Istituto federale di metrologia, |
b6 | la revoca di un membro del consiglio di amministrazione dell'Autorità federale di sorveglianza dei revisori o l'approvazione dello scioglimento del rapporto di lavoro del direttore da parte del consiglio di amministrazione secondo la legge del 16 dicembre 200535 sui revisori, |
b7 | la revoca di un membro del Consiglio dell'Istituto svizzero per gli agenti terapeutici secondo la legge del 15 dicembre 200037 sugli agenti terapeutici, |
b8 | la revoca di un membro del consiglio di amministrazione dell'istituto secondo la legge del 16 giugno 201739 sui fondi di compensazione, |
b9 | la revoca di un membro del consiglio d'Istituto dell'Istituto svizzero di diritto comparato secondo la legge federale del 28 settembre 201841 sull'Istituto svizzero di diritto comparato, |
c | del Tribunale penale federale in materia di rapporti di lavoro dei suoi giudici e del suo personale; |
cbis | del Tribunale federale dei brevetti in materia di rapporti di lavoro dei suoi giudici e del suo personale; |
cquater | del procuratore generale della Confederazione in materia di rapporti di lavoro dei procuratori pubblici federali da lui nominati e del personale del Ministero pubblico della Confederazione; |
cquinquies | dell'autorità di vigilanza sul Ministero pubblico della Confederazione in materia di rapporti di lavoro del personale della sua segreteria; |
cter | dell'autorità di vigilanza sul Ministero pubblico della Confederazione in materia di rapporti di lavoro dei membri del Ministero pubblico della Confederazione eletti dall'Assemblea federale plenaria; |
d | della Cancelleria federale, dei dipartimenti e dei servizi dell'Amministrazione federale loro subordinati o aggregati amministrativamente; |
e | degli stabilimenti e delle aziende della Confederazione; |
f | delle commissioni federali; |
g | dei tribunali arbitrali costituiti in virtù di contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti o dalle sue aziende; |
h | delle autorità o organizzazioni indipendenti dall'Amministrazione federale che decidono nell'adempimento di compiti di diritto pubblico loro affidati dalla Confederazione; |
i | delle autorità cantonali, in quanto una legge federale preveda che le loro decisioni sono impugnabili mediante ricorso dinanzi al Tribunale amministrativo federale. |
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 37 Principio - La procedura dinanzi al Tribunale amministrativo federale è retta dalla PA56, in quanto la presente legge non disponga altrimenti. |
1.2 1.3(...)
1.4 Vom Ausnahmefall der Rechtsverweigerungs- und Rechtsverzögerungsbeschwerde (Art. 46a
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 46a - Può essere interposto ricorso se l'autorità adita nega o ritarda ingiustamente l'emanazione di una decisione impugnabile. |
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 31 Principio - Il Tribunale amministrativo federale giudica i ricorsi contro le decisioni ai sensi dell'articolo 5 della legge federale del 20 dicembre 196819 sulla procedura amministrativa (PA). |
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 44 - La decisione soggiace a ricorso. |
Vorliegend ist umstritten, ob es sich bei der Mitteilung vom 22. Oktober 2014 um eine Verfügung handle, also, ob ein Anfechtungsobjekt vorliege.
1.4.1 Art. 5 Abs. 1
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
|
1 | Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
a | la costituzione, la modificazione o l'annullamento di diritti o di obblighi; |
b | l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi; |
c | il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi. |
2 | Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24 |
3 | Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni. |
Lehre und Rechtsprechung umschreiben die Verfügung als individuellen, an den Einzelnen gerichteten Hoheitsakt, durch den eine konkrete verwaltungsrechtliche Rechtsbeziehung rechtsgestaltend oder feststellend in verbindlicher und erzwingbarer Weise geregelt wird (so Häfelin/Müller/Uhlmann, Allgemeines Verwaltungsrecht, 7. Aufl. 2016, Rz. 849 und 851 m.w.H.; vgl. auch Moser/Beusch/Kneubühler, a.a.O., Rz. 2.3; statt Vieler: BGE 139 V 143 E. 1.2; 139 V 72 E. 2.2.1; 135 II 38 E. 4.3,
je m.w.H.). Als konkrete Prüfkriterien gelten folglich folgende fünf Elemente: (1.) hoheitliche, einseitige Anordnung einer Behörde, (2.) individuell-konkrete Anordnung, (3.) Anwendung von (Bundes-)Verwaltungsrecht, (4.) auf Rechtswirkung ausgerichtete Anordnung und (5.) Verbindlichkeit und Erzwingbarkeit (Häfelin/Müller/Uhlmann, a.a.O., Rz. 855ff.; Uhlmann, a.a.O., Art. 5 N.19).
Massgeblich ist ein materieller, nicht ein formeller Verfügungsbegriff. Es bestehen zwar Erwartungen an die Form einer Verfügung (Art. 35
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 35 - 1 Le decisioni scritte, anche se notificate in forma di lettera, devono essere designate come tali, motivate, e indicare il rimedio giuridico. |
|
1 | Le decisioni scritte, anche se notificate in forma di lettera, devono essere designate come tali, motivate, e indicare il rimedio giuridico. |
2 | L'indicazione del rimedio giuridico deve menzionare il rimedio giuridico ordinario ammissibile, l'autorità competente e il termine per interporlo. |
3 | L'autorità può rinunciare a indicare i motivi e il rimedio giuridico allorché la decisione sia interamente conforme alle domande delle parti e nessuna parte chieda la motivazione. |
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 38 - Una notificazione difettosa non può cagionare alle parti alcun pregiudizio. |
1.4.2 Die Mitteilung vom 22. Oktober 2014 erfolgte durch die WEKO (resp. deren Sekretariat) als verantwortliches Organ im Sinne von Art. 16 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 16 Principi - 1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati. |
|
1 | Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati. |
2 | In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da: |
a | un trattato internazionale; |
b | clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT; |
c | garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT; |
d | clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o |
e | norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata. |
3 | Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 5 Definizioni - Nella presente legge s'intende per: |
|
a | dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile; |
b | persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento; |
c | dati personali degni di particolare protezione: |
c1 | i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali, |
c2 | i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia, |
c3 | i dati genetici, |
c4 | i dati biometrici che identificano in modo univoco una persona fisica, |
c5 | i dati concernenti perseguimenti e sanzioni amministrativi e penali, |
c6 | i dati concernenti le misure d'assistenza sociale; |
d | trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati; |
e | comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili; |
f | profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona; |
g | profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica; |
h | violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate; |
i | organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali; |
j | titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento; |
k | responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
genannten Kriterien sind somit klarerweise erfüllt. Keine selbstständige Bedeutung hat neben dem in der folgenden Ziffer zu klärenden Kriterium der Rechtswirkung jenes der Verbindlichkeit und Erzwingbarkeit; dies umso mehr, als die vorliegende Mitteilung ihrem Inhalt nach nicht zwangsweise vollstreckbar ist (Uhlmann, a.a.O., Art. 5 N.128 130).
1.4.3 Die Vorinstanz bestreitet, dass die Mitteilung auf die Erzielung einer Rechtswirkung ausgerichtet sei.
Das Handeln der Behörde erzeugt Rechtswirkung, wenn es einen der in Art. 5 Abs. 1 Bst. a
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
|
1 | Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti: |
a | la costituzione, la modificazione o l'annullamento di diritti o di obblighi; |
b | l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi; |
c | il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi. |
2 | Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24 |
3 | Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni. |
1.4.3.1 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 1 Scopo - Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento. |
|
1 | I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento. |
2 | Il registro del titolare del trattamento contiene almeno: |
a | l'identità del titolare del trattamento; |
b | lo scopo del trattamento; |
c | una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati; |
d | le categorie di destinatari; |
e | se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata; |
f | se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8; |
g | se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2. |
3 | Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g. |
4 | Gli organi federali notificano i loro registri all'IFPDT. |
5 | Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 16 Principi - 1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati. |
|
1 | Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati. |
2 | In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da: |
a | un trattato internazionale; |
b | clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT; |
c | garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT; |
d | clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o |
e | norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata. |
3 | Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento. |
|
1 | Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento. |
2 | Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti: |
a | l'identità e i dati di contatto del titolare del trattamento; |
b | i dati personali trattati in quanto tali; |
c | lo scopo del trattamento; |
d | la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata; |
e | le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata; |
f | se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione; |
g | se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4. |
3 | I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata. |
4 | Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento. |
5 | Nessuno può rinunciare preventivamente al diritto d'accesso. |
6 | Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato. |
7 | Di norma l'informazione è fornita entro 30 giorni. |
Widmer, in: Datenschutzrecht, 2015, Rz. 5.2).
Die Modalitäten des Auskunftsrechts gestalten sich bei Privatpersonen wie auch Bundesorganen im Grundsatz analog (Art. 1 f
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio. |
|
1 | Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio. |
2 | La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri: |
a | tipo di dati trattati; |
b | scopo, tipo, portata e circostanze del trattamento. |
3 | Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri: |
a | cause del rischio; |
b | pericolo sostanziale; |
c | provvedimenti adottati o previsti per minimizzare il rischio; |
d | probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti. |
4 | Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri: |
a | lo stato della tecnica; |
b | le spese di implementazione. |
5 | La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati. |
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 13 Modalità dell'obbligo di informare - Il titolare del trattamento comunica alla persona interessata le informazioni sull'ottenimento di dati personali in forma precisa, trasparente, comprensibile e facilmente accessibile. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
a.a.O., Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio. |
|
1 | Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio. |
2 | La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri: |
a | tipo di dati trattati; |
b | scopo, tipo, portata e circostanze del trattamento. |
3 | Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri: |
a | cause del rischio; |
b | pericolo sostanziale; |
c | provvedimenti adottati o previsti per minimizzare il rischio; |
d | probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti. |
4 | Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri: |
a | lo stato della tecnica; |
b | le spese di implementazione. |
5 | La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
1.4.3.2 Die Beschwerdeführerin stellte am 17. Oktober 2014 ein unmissverständliches Auskunftsgesuch im Sinne von Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
Aus der geschilderten gesetzlichen Ordnung ergibt sich zudem, dass auch die in Form eines Aufschubs erklärte Einschränkung innert einer (hier klar eingehaltenen) Frist von 30 Tagen begründet mitzuteilen, das heisst zu entscheiden, ist. Einen formlosen Aufschub (etwa in Form eines « Verwaltungsschreibens ») lässt die in diesem Punkt lückenlose Regelung nicht zu.
1.4.4 Die Mitteilung der Vorinstanz erfüllt zusammengefasst alle Strukturmerkmale einer Verfügung. Es liegt somit ein taugliches Anfechtungsobjekt vor.
1.5 Auf die Beschwerde ist folglich einzutreten.
2. Die Anrufung des Auskunftsrechts gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
2.1 Als Bundesorgan verstehen sich Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
2.2 Die Vorinstanz beruft sich - wenn auch in anderem Zusammenhang - auf die rechtshängigen Beschwerden gegen die Publikationsverfügung. Folglich ist zu klären, ob der Ausnahmetatbestand von Art. 2 Abs. 2 Bst. d
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
Hintergrund dieser Ausnahmebestimmung ist, dass der Persönlichkeitsschutz durch die Spezialbestimmungen der entsprechenden Verfahren hinreichend gesichert und geregelt ist; es sollen sich nicht zwei Gesetze mit zum Teil gleicher Zielrichtung überlagern (BGE 138 III 425 E. 4.3). Voraussetzung für das Greifen der Ausnahmebestimmung ist, dass der Schutz des Verfahrensgesetzes gleichwertig demjenigen des DSG sei (Maurer-Lambrou/Kunz, in: BSK DSG/BGÖ, a.a.O., Art. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
Institute sind die Anspruchsträgerschaft und der Umfang der Einsicht: Auf das Akteneinsichtsrecht kann sich berufen, wer einen durchsetzbaren Anspruch auf Verfahrensteilnahme als Partei hat und es erstreckt sich auf sämtliche verfahrensbezogenen Akten in der Sache der betreffenden Partei (Waldmann/Oeschger, a.a.O., Art. 26 N. 48, 58 und 60); das Auskunftsrecht gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
Die Ausnahmebestimmung des Art. 2 Abs. 2 Bst. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
2.3 Zusammengefasst bearbeitet die Vorinstanz als Bundesorgan Personendaten im Sinne von Art. 2 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
|
1 | La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di: |
a | privati; |
b | organi federali. |
2 | Non si applica al trattamento di dati personali da parte: |
a | di persone fisiche per uso esclusivamente personale; |
b | delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni; |
c | dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera. |
3 | Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado. |
4 | I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge. |
3. Das Auskunftsrecht bezieht sich auf Daten, die in einer Datensammlung enthalten sind. Unter diesem Begriff versteht sich jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 Bst. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
|
1 | La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero. |
2 | Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5. |
4. Die Beschwerdeführerin kann - zumal die Modalitäten zur Geltendmachung des Auskunftsrechts (vgl. E. 1.4.3.1) eingehalten sind - somit bei der Vorinstanz ein Gesuch um Auskunft stellen und hat, vorbehältlich gültiger Einschränkung, Anspruch auf die Auskunft, ob Daten über sie bearbeitet werden und, bejahendenfalls, auf Mitteilung aller über sie in der Datensammlung vorhandenen Personendaten, einschliesslich der verfügbaren Angaben über deren Herkunft, des Zwecks und der Rechtsgrundlagen der Bearbeitung sowie der Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger (Art. 8 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
5. Zu prüfen bleibt, ob die Vorinstanz die Auskunft zu Recht einschränkte.
5.1 Nach Art. 9 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
Die Einschränkung des Auskunftsrechts erfordert eine Abwägung der Interessen im konkreten Einzelfall. Die gebotene Interessenabwägung kann dazu führen, dass der um Auskunft Ersuchende seine Interessen darlegen muss, obschon das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
und 14 f.; Widmer, a.a.O., Rz. 5.41f.; Epiney/Fasnacht, a.a.O., § 11 N. 47).
5.2 Die Beschwerdeführerin beruft sich in der Schilderung ihrer Interessen auf den Zweck des Auskunftsrechts als Institut zur Durchsetzung des Persönlichkeitsschutzes, das den betroffenen Personen die Kontrolle der Rechtmässigkeit der Datenbearbeitung und die Durchsetzung ihrer Ansprüche ermöglichen solle. Sie müsse davon ausgehen, in der Sanktionsverfügung erwähnt zu sein. Das Auskunftsrecht ermögliche ihr zu kontrollieren, ob die Grundsätze der Datenverarbeitung gemäss Art. 4
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati. |
|
1 | L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati. |
2 | Non sono sottoposti alla vigilanza dell'IFPDT: |
a | l'Assemblea federale; |
b | il Consiglio federale; |
c | i tribunali della Confederazione; |
d | il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale; |
e | le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale. |
Die Vorinstanz hatte sich in der angefochtenen Verfügung darauf berufen, die Frage der Publikation der Sanktionsverfügung sei noch nicht rechtskräftig entschieden, wobei die Publikation an sich wie auch deren Umfang bestritten sei. Art. 9 Abs. 1
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli LCart Art. 9 Annuncio di progetti di concentrazione - 1 I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione: |
|
1 | I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione: |
a | le imprese partecipanti abbiano realizzato congiuntamente una cifra d'affari di almeno 2 miliardi di franchi o una cifra d'affari in Svizzera di almeno 500 milioni di franchi; e |
b | almeno due delle imprese partecipanti abbiano realizzato in Svizzera una cifra d'affari di almeno 100 milioni di franchi ognuna. |
2 | ...16 |
3 | Nel caso delle compagnie di assicurazione, al posto della cifra d'affari si tiene conto del totale lordo dei premi annui; nel caso delle banche e degli altri intermediari finanziari assoggettati alle regole sulla compilazione dei conti previste nella legge dell'8 novembre 193417 sulle banche, si tiene conto dei ricavi lordi.18 |
4 | A prescindere dai capoversi 1 e 3, è dato obbligo di annuncio se risulta da una procedura fondata sulla presente legge e passata in giudicato che un'impresa partecipante alla concentrazione occupa in Svizzera una posizione dominante sul mercato e che la concentrazione concerne questo mercato oppure un mercato situato a monte o a valle o che le è prossimo. |
5 | Mediante decreti federali di obbligatorietà generale non sottoposti al referendum l'Assemblea federale può: |
a | adeguare alle circostanze gli importi stabiliti dai capoversi 1-3; |
b | vincolare a speciali esigenze l'obbligo dell'annuncio per le concentrazioni di imprese in determinati settori economici. |
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli LCart Art. 9 Annuncio di progetti di concentrazione - 1 I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione: |
|
1 | I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione: |
a | le imprese partecipanti abbiano realizzato congiuntamente una cifra d'affari di almeno 2 miliardi di franchi o una cifra d'affari in Svizzera di almeno 500 milioni di franchi; e |
b | almeno due delle imprese partecipanti abbiano realizzato in Svizzera una cifra d'affari di almeno 100 milioni di franchi ognuna. |
2 | ...16 |
3 | Nel caso delle compagnie di assicurazione, al posto della cifra d'affari si tiene conto del totale lordo dei premi annui; nel caso delle banche e degli altri intermediari finanziari assoggettati alle regole sulla compilazione dei conti previste nella legge dell'8 novembre 193417 sulle banche, si tiene conto dei ricavi lordi.18 |
4 | A prescindere dai capoversi 1 e 3, è dato obbligo di annuncio se risulta da una procedura fondata sulla presente legge e passata in giudicato che un'impresa partecipante alla concentrazione occupa in Svizzera una posizione dominante sul mercato e che la concentrazione concerne questo mercato oppure un mercato situato a monte o a valle o che le è prossimo. |
5 | Mediante decreti federali di obbligatorietà generale non sottoposti al referendum l'Assemblea federale può: |
a | adeguare alle circostanze gli importi stabiliti dai capoversi 1-3; |
b | vincolare a speciali esigenze l'obbligo dell'annuncio per le concentrazioni di imprese in determinati settori economici. |
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio. |
|
1 | Le autorità in materia di concorrenza serbano il segreto d'ufficio. |
2 | Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura. |
3 | Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito. |
4 | Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari. |
5.3 Die von der Beschwerdeführerin geltend gemachten Interessen erscheinen als gewichtig. Die Beschwerdeführerin hat ein berechtigtes Interesse daran, kontrollieren zu können, ob ihre Personendaten bearbeitet wurden und, wenn ja, ob dies den Grundsätzen des Art. 4
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati. |
|
1 | L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati. |
2 | Non sono sottoposti alla vigilanza dell'IFPDT: |
a | l'Assemblea federale; |
b | il Consiglio federale; |
c | i tribunali della Confederazione; |
d | il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale; |
e | le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento. |
|
1 | Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento. |
2 | Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti: |
a | l'identità e i dati di contatto del titolare del trattamento; |
b | i dati personali trattati in quanto tali; |
c | lo scopo del trattamento; |
d | la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata; |
e | le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata; |
f | se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione; |
g | se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4. |
3 | I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata. |
4 | Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento. |
5 | Nessuno può rinunciare preventivamente al diritto d'accesso. |
6 | Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato. |
7 | Di norma l'informazione è fornita entro 30 giorni. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
Die Vorinstanz macht als überwiegendes Interesse den Schutz des Instituts der aufschiebenden Wirkung geltend. Den in der angefochtenen Verfügung enthaltenen Verweis auf Art. 25 Abs. 1
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio. |
|
1 | Le autorità in materia di concorrenza serbano il segreto d'ufficio. |
2 | Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura. |
3 | Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito. |
4 | Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
|
1 | Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se: |
a | questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e |
b | nessun obbligo legale o contrattuale di serbare il segreto lo vieta. |
2 | Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. |
3 | Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento. |
4 | Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento. |
Die aufschiebende Wirkung eines Rechtsmittels bewirkt, dass die in der angefochtenen Verfügung angeordnete Rechtsfolge vorläufig nicht eintritt. Es bleibt der rechtliche und tatsächliche Zustand vor deren Erlass bestehen, die angefochtene Verfügung ist in ihrer Wirksamkeit und Vollstreckung gehemmt (Hansjörg Seiler, in: Praxiskommentar VwVG, a.a.O., Art. 55 N. 8ff.; Kiener/Rütsche/Kuhn, Öffentliches Verfahrensrecht, 2. Aufl. 2015, Rz. 1319ff.). Die Publikationsverfügung hat zum Gegenstand, dass die WEKO die Sanktionsverfügung publizieren darf, insbesondere in der von ihr vorgesehenen Publikationsversion. Als « Publizieren » versteht sich im gegebenen Kontext die Veröffentlichung auf der Website der WEKO (< https://www.weko.admin.ch/ >), wie sie regelmässig unter der Rubrik « Aktuelles »/«Letzte Entscheide » erfolgt, und in der von der WEKO herausgegebenen RPW, die ebenso voraussetzungslos für jedermann auf der Website der WEKO (in der Rubrik « Dokumentation ») zugänglich ist. Mit der aufschiebenden Wirkung ist die Frage einer solchen Publikation in der Schwebe. Eine Bekanntgabe der Verfügung an Dritte mit höherer Zugangshürde ist nicht Gegenstand der Publikationsverfügung (und der anschliessenden
Beschwerdeverfahren), ebenso wenig eine Sperre der Auskunft Dritter über ihre eigenen Personendaten. Über diese Fragen wird denn auch in den Beschwerdeverfahren nicht entschieden werden. Aus der aufschiebenden Wirkung in den Verfahren betreffend die Publikationsverfügung folgt damit nichts für die Frage der Auskunft gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
Als berechtigtes Interesse, das gegen eine Auskunft sprechen könnte, fallen vorliegend einzig Geheimhaltungsinteressen der von der Untersuchung betroffenen Unternehmungen in Betracht. Die Frage, wie diesen gerecht werden kann, stellt sich nach Rechtskraft der Entscheide über die Publikationsverfügung gleichermassen wie bereits jetzt. Um diesen Interessen gerecht zu werden, ist ein Aufschub der Auskunft somit kein geeignetes Mittel. Es ist das das Auskunftsrecht am wenigsten einschränkende Vorgehen zu wählen. Die Frage, wie den Interessen weiterer Beteiligter begegnet werden kann - ob mit einer inhaltlichen Einschränkung oder mit der Gestaltung der Auskunft (insb. auch bezüglich der Angaben gemäss Art. 8 Abs. 2 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
|
1 | Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. |
2 | I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. |
3 | Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati. |
5.4 Die Einschränkung der Auskunft in der gewählten Form des Aufschubes ist folglich aufzuheben.