VPB-64.68 - 1998-04-30 - Commission fédérale de la protection des données et de la transparence (CFPDT) - Art. 2 Abs. 2 Bst. c, Art. 34 und 35 DSG. Behauptete unbefugte Weitergabe von Personendaten. Unzulässigkeit der Beschwerde...

VPB 64.68

(Entscheid des Präsidenten der Eidgenössischen Datenschutzkommission vom 30. April 1998)

Art. 2 Abs. 2 Bst. c, Art. 34 und 35 DSG. Behauptete unbefugte Weitergabe von Personendaten. Unzulässigkeit der Beschwerde an die Eidgenössische Datenschutzkommission.

Die speziellen Bestimmungen des anwendbaren Strafprozessrechts gehen dem Datenschutzrecht auch dann vor, wenn materieller Gegenstand des Strafverfahrens eine behauptete Straftat im Sinne von Art. 34 oder 35 DSG ist.

Art. 2 al. 2 let. c, art. 34 et 35 LPD. Allégation d'une communication non autorisée de données personnelles. Irrecevabilité du recours à la Commission fédérale de la protection des données.

Les dispositions spéciales du droit de procédure pénale applicable priment le droit de la protection des données même si la procédure pénale a pour objet de fond une prétendue infraction au sens des art. 34 ou 35 LPD.

Art. 2 cpv. 2 lett. c, art. 34 e 35 LPD. Allegazione di una comunicazione non autorizzata di dati personali. Irricevibilità di un ricorso alla Commissione federale della protezione dei dati.

Le disposizioni speciali del diritto di procedura penale applicabile hanno la priorità sul diritto della protezione dei dati anche se l'oggetto materiale della procedura penale è un reato ai sensi degli art. 34 e 35 LPD.

A. Frau M. erlitt am 12. April 1988 einen Strassenverkehrsunfall. Für die Folgen des Unfallereignisses war die Versicherungsgesellschaft A. als Versicherer gemäss dem Bundesgesetz vom 20. März 1981 über die Unfallversicherung (UVG, SR 832.20) zuständig. Die Haftpflichtansprüche richteten sich gegen den Halter des Kollisionsfahrzeuges bzw. gegen dessen Haftpflichtversicherer und wurden offenbar schliesslich durch Vergleich erledigt. Der Vertreter der Beschwerdeführerin reichte am 17. Januar 1997 Strafanzeige gegen die Versicherungsgesellschaft A. und gegen einen Mitarbeiter von deren Generalagentur ein. Er machte geltend, nach Erlass der rechtskräftigen Rentenverfügung seien die Geheimhaltungspflichten nach dem UVG und dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) verletzt worden. Mit Verfügung vom 16. Mai 1997 ordnete die Bezirksanwaltschaft Zürich die Einstellung des Verfahrens bezüglich des Vorwurfs eines Vergehens gegen das UVG an. Gleichzeitig stellte sie die Akten dem Polizeirichteramt Zürich zu, damit dieses abklärte, ob ein allfälliger Verstoss gegen Art. 34 DSG vorliege. Gegen die Einstellungsverfügung erhob der Vertreter der Beschwerdeführerin Rekurs beim Einzelrichter in Strafsachen
des Bezirkes Zürich. Dieser wies mit Verfügung vom 9. Oktober 1997 den Rekurs ab. Dagegen erhob die Anzeigenerstatterin am 27. November 1997 Nichtigkeitsbeschwerde an das Obergericht des Kantons Zürich. Die III. Strafkammer des Obergerichts wies mit Beschluss vom 6. Februar 1998 die Nichtigkeitsbeschwerde ab.

B. Gegen dieses Urteil der III. Strafkammer des Obergerichts erhob Rechtsanwalt Dr. B. namens von Frau M. «Beschwerde» an die Eidgenössische Datenschutzkommission (EDSK). Beantragt wurde:

1. Es sei der Beschluss des Obergerichts des Kantons Zürich vom 6.2.1998 aufzuheben;

2. es sei die Sache zur Durchführung der strafrechtlichen Untersuchung an die Staatsanwaltschaft des Kantons Zürich bzw. der Bezirksanwaltschaft des Kantons Zürich zurückzuweisen;

3. unter Kosten- und Entschädigungsfolgen zulasten der Beschwerdegegner und Beschwerdegegnerinnen (Versicherungsgesellschaft A., Staatsanwaltschaft sowie Obergericht des Kantons Zürich).

Begründungsweise wird geltend gemacht, dass neben der vom Obergericht im genannten Urteil als Rechtsmittel angegebenen eidgenössischen Nichtigkeitsbeschwerde gemäss Art. 268 ff. des Bundesgesetzes vom 15. Juni 1934 über die Bundesstrafrechtspflege (SR 312.0) auch zusätzlich die (Verwaltungs-) Beschwerde an die EDSK nach Art. 33 Abs. 1 DSG zulässig sei, da es sich beim angefochtenen Beschluss um einen letztinstanzlichen kantonalen Entscheid handle, der sich auf öffentliche Vorschriften des Bundes über den Datenschutz stütze. Die vollständige Weitergabe aller medizinischen Akten durch den UVG-Versicherer an den Haftpflichtversicherer habe die Art. 4 , 5 und 7 DSG verletzt. Das DSG gehe als späteres Gesetz den datenschutzrechtlichen Vorschriften des UVG über die Bekanntgabe vor. Obwohl das Obergericht in seinem zweiten Entscheid die Untersuchung der allfälligen Verletzung des DSG an den Einzelrichter des Bezirksgerichts Zürich zurückgewiesen habe, werde gegen das Urteil des Obergerichts vom selben Tag bei der EDSK Beschwerde geführt, da damit materiell auch über die von den Zürcher Behörden abgespaltene zweite Frage entschieden werden könne.

Aus den Erwägungen:

1. (...)

2.a. Eine Verletzung des Bundesdatenschutzrechts kann auf verschiedenen Wegen verfolgt werden.

aa. Es kann eine Verletzung der Strafbestimmungen von Art. 34 und 35 DSG vorliegen. Eine Verletzung von Art. 34 Abs. 1 DSG wird auf Antrag, eine solche von Art. 34 Abs. 2 DSG officialiter (Gunter Arzt, Kommentar zum Schweizerischen Datenschutzgesetz, Basel / Frankfurt am Main 1995, N. 35 zu Art. 34 ) durch die zuständige kantonale Strafverfolgungsbehörde verfolgt. Eine Verletzung von Art. 35 DSG wird auf Antrag ebenfalls durch die kantonale Behörde untersucht. Die Vorschriften des Verwaltungsstrafrechts finden keine Anwendung (Arzt, a.a.O., N. 54). Der Rechtsmittelweg richtet sich nach kantonalem und eidgenössischem Strafprozessrecht.

Die prozessrechtliche Behandlung einer allfälligen Verletzung weiterer, dem Datenschutz dienender Strafvorschriften des eidgenössischen Rechts, wie besonderen, strafrechtlich bewehrten Geheimhaltungspflichten, ist im vorliegenden Fall nicht zu beurteilen.

bb. Eine Verletzung des Bundesdatenschutzrechts durch eine private bearbeitende Person, welche durch ihre Bearbeitung die Persönlichkeit einer betroffenen Person widerrechtlich verletzt, muss auf dem Zivilrechtswege verfolgt werden. Art. 15 DSG verweist auf die entsprechenden Rechtsmittel.

cc. Als Drittes kann die Anwendung des DSG zu verwaltungsrechtlichen Streitigkeiten führen. Im vorliegenden Fall hat die Versicherungsgesellschaft A. als Unfallversicherer als Bundesorgan Daten bearbeitet (vgl. Art. 2 Abs. 1 Bst. b , die Definition in Art. 3 Bst. h sowie die Art. 16 ff . DSG). Denkbar wäre gewesen, dass die Beschwerdeführerin der Beschwerdegegnerin Versicherungsgesellschaft A. eine nach Art. 19 DSG unbefugte Weitergabe von Personendaten vorgeworfen hätte, worauf sie hätte versuchen können, einen Rechtsschutz nach Art. 25 Abs. 1 DSG zu erreichen. Eine entsprechende Streitigkeit hätte gemäss Art. 25 Abs. 5 DSG vor die EDSK gebracht werden können.

dd. Eine Verletzung kann schliesslich auch durch kantonale öffentliche Organe erfolgen, wenn sie nach Art. 37 DSG ersatzweise Bundesdatenschutzrecht als kantonales Datenschutzrecht anwenden oder wenn sie sonst datenschutzrechtliche Vorschriften des Bundesverwaltungsrechts vollziehen.

b. Die vorliegende Beschwerde betrifft keinen letztinstanzlichen kantonalen Entscheid, der nach Art. 33 Abs. 1 Bst. d DSG an die EDSK weitergezogen werden kann, weil kein Streitgegenstand nach Art. 37 bzw. Art. 25 Abs. 1 -3 DSG oder sonst nach Bundesverwaltungsrecht vorliegt. Zudem ist der Entscheid der III. Strafkammer des Obergerichts im Rahmen eines hängigen Strafverfahrens ergangen; die speziellen Bestimmungen des anwendbaren Strafprozessrechts gehen dem Datenschutzrecht vor (Art. 2 Abs. 2 Bst. c DSG). Hieran ändert auch nichts, wenn materieller Gegenstand des Strafverfahrens eine behauptete Straftat im Sinne von Art. 34 oder 35 DSG ist.

Aus allen diesen Gründen kann auf die Beschwerde nicht eingetreten werden.

Dokumente der EDSK

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 34 Bases légales - 1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
¹	Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
²	La base légale doit être prévue dans une loi au sens formel dans les cas suivants:
^a	il s'agit d'un traitement de données sensibles;
^b	il s'agit d'un profilage;
^c	la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.
³	Pour les traitements de données personnelles visés à l'al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies:
^a	le traitement est indispensable à l'accomplissement d'une tâche définie dans une loi au sens formel;
^b	la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
⁴	En dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:
^a	le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés;
^b	la personne concernée a consenti au traitement en l'espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
^c	le traitement est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 34 Bases légales - 1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
¹	Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
²	La base légale doit être prévue dans une loi au sens formel dans les cas suivants:
^a	il s'agit d'un traitement de données sensibles;
^b	il s'agit d'un profilage;
^c	la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.
³	Pour les traitements de données personnelles visés à l'al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies:
^a	le traitement est indispensable à l'accomplissement d'une tâche définie dans une loi au sens formel;
^b	la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
⁴	En dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:
^a	le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés;
^b	la personne concernée a consenti au traitement en l'espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
^c	le traitement est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
¹	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
²	Il ne peut exercer aucune surveillance sur:
^a	l'Assemblée fédérale;
^b	le Conseil fédéral;
^c	les tribunaux fédéraux;
^d	le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
^e	les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 5 Définitions - On entend par:
^a	données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;
^b	personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;
^c	données personnelles sensibles (données sensibles):
^c1	les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
^c2	les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
^c3	les données génétiques,
^c4	les données biométriques identifiant une personne physique de manière univoque,
^c5	les données sur des poursuites ou sanctions pénales et administratives,
^c6	les données sur des mesures d'aide sociale;
^d	traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;
^e	communication: le fait de transmettre des données personnelles ou de les rendre accessibles;
^f	profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
^g	profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;
^h	violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
ⁱ	organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;
^j	responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
^k	sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 7 Protection des données dès la conception et par défaut - 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
¹	Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
²	Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.
³	Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 35 Traitement de données personnelles automatisé dans le cadre d'essais pilotes - 1 Le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou d'autres traitements au sens de l'art. 34, al. 2, let. b et c, si les conditions suivantes sont réunies:
¹	Le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou d'autres traitements au sens de l'art. 34, al. 2, let. b et c, si les conditions suivantes sont réunies:
^a	les tâches qui nécessitent ce traitement sont réglées dans une loi au sens formel déjà en vigueur;
^b	des mesures appropriées sont prises aux fins de réduire au minimum les atteintes aux droits fondamentaux de la personne concernée;
^c	la mise en oeuvre du traitement rend indispensable une phase d'essai avant l'entrée en vigueur de la loi au sens formel, en particulier pour des raisons techniques.
²	Il consulte au préalable le PFPDT.
³	L'organe fédéral responsable transmet, au plus tard deux ans après la mise en oeuvre de l'essai pilote, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.
⁴	Le traitement automatisé de données personnelles doit être interrompu dans tous les cas si aucune loi au sens formel prévoyant la base légale nécessaire n'est entrée en vigueur dans un délai de cinq ans à compter de la mise en oeuvre de l'essai pilote.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 15 - 1 Le représentant tient un registre des activités de traitement du responsable du traitement qui contient les indications mentionnées à l'art. 12, al. 2.
¹	Le représentant tient un registre des activités de traitement du responsable du traitement qui contient les indications mentionnées à l'art. 12, al. 2.
²	Il fournit sur demande au PFPDT les indications contenues dans ce registre.
³	Il fournit sur demande à la personne concernée des renseignements concernant l'exercice de ses droits.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
¹	La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
^a	des personnes privées;
^b	des organes fédéraux.
²	Elle ne s'applique pas:
^a	aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
^b	aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
^c	aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
³	Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
⁴	Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 16 Principes - 1 Des données personnelles peuvent être communiquées à l'étranger si le Conseil fédéral a constaté que l'État concerné dispose d'une législation assurant un niveau de protection adéquat ou qu'un organisme international garantit un niveau de protection adéquat.
¹	Des données personnelles peuvent être communiquées à l'étranger si le Conseil fédéral a constaté que l'État concerné dispose d'une législation assurant un niveau de protection adéquat ou qu'un organisme international garantit un niveau de protection adéquat.
²	En l'absence d'une décision du Conseil fédéral au sens de l'al. 1, des données personnelles peuvent être communiquées à l'étranger si un niveau de protection approprié est garanti par:
^a	un traité international;
^b	les clauses de protection des données d'un contrat entre le responsable du traitement ou le sous-traitant et son cocontractant, préalablement communiquées au PFPDT;
^c	des garanties spécifiques élaborées par l'organe fédéral compétent et préalablement communiquées au PFPDT;
^d	des clauses type de protection des données préalablement approuvées, établies ou reconnues par le PFPDT;
^e	des règles d'entreprise contraignantes préalablement approuvées par le PFPDT ou par une autorité chargée de la protection des données relevant d'un État qui assure un niveau de protection adéquat.
³	Le Conseil fédéral peut prévoir d'autres garanties appropriées au sens de l'al. 2.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 19 Devoir d'informer lors de la collecte de données personnelles - 1 Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d'elle ou non.
¹	Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d'elle ou non.
²	Lors de la collecte, il communique à la personne concernée les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie; il lui communique au moins:
^a	l'identité et les coordonnées du responsable du traitement;
^b	la finalité du traitement;
^c	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises.
³	Si les données personnelles ne sont pas collectées auprès de la personne concernée, il communique en outre les catégories de données traitées à cette personne.
⁴	Lorsque des données personnelles sont communiquées à l'étranger, il communique également à la personne concernée le nom de l'État ou de l'organisme international auquel elles sont communiquées et, le cas échéant, les garanties prévues à l'art. 16, al. 2, ou l'application d'une des exceptions prévues à l'art. 17.
⁵	Si les données personnelles ne sont pas collectées auprès de la personne concernée, il communique à cette personne les informations mentionnées aux al. 2 à 4 au plus tard un mois après qu'il a obtenu les données personnelles. S'il communique les données personnelles avant l'échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
¹	Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
²	La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
^a	l'identité et les coordonnées du responsable du traitement;
^b	les données personnelles traitées en tant que telles;
^c	la finalité du traitement;
^d	la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
^e	les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
^f	le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
^g	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
³	Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
⁴	Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
⁵	Nul ne peut renoncer par avance au droit d'accès.
⁶	Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
⁷	En règle générale, les renseignements sont fournis dans un délai de 30 jours.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 37 Opposition à la communication de données personnelles - 1 La personne concernée qui rend vraisemblable un intérêt digne de protection peut s'opposer à ce que l'organe fédéral responsable communique des données personnelles déterminées.
¹	La personne concernée qui rend vraisemblable un intérêt digne de protection peut s'opposer à ce que l'organe fédéral responsable communique des données personnelles déterminées.
²	L'organe fédéral rejette l'opposition si l'une des conditions suivantes est remplie:
^a	il est juridiquement tenu de communiquer les données personnelles;
^b	le défaut de communication risque de compromettre l'accomplissement de ses tâches.
³	L'art. 36, al. 3, est réservé.