VPB-67.70 - 2000-12-08 - Commission fédérale de la protection des données et de la transparence (CFPDT) - Art. 8 Abs. 2 DSG. Auskunftsrecht. Gegenstand. Beweislast für die Richtigkeit der Auskunft und Mitwirkungspflicht.

VPB 67.70

(Entscheid des Präsidenten der Eidgenössischen Datenschutzkommission vom 8. Dezember 2000)

Art. 8 Abs. 2 DSG. Auskunftsrecht. Gegenstand. Beweislast für die Richtigkeit der Auskunft und Mitwirkungspflicht.

- Zuständigkeit der Eidgenössischen Datenschutzkommission bei behaupteter Rechtsverweigerung (E. 1).

- Nach Art. 8 Abs. 2 DSG besteht kein Rechtsanspruch, Auskunft über sämtliche technisch möglichen Datenabfragen eines Bundesorgans zu erhalten. Der Auskunftsanspruch erstreckt sich einzig auf Personendaten der um Auskunft ersuchenden Person, und er besteht nur gegenüber dem Inhaber einer Datensammlung (E. 2).

- Das DSG setzt voraus, dass die vom Inhaber einer Datensammlung zu erteilende Auskunft der Wahrheit entspricht. Dafür, dass der Inhaber einer Datensammlung wahrheitsgemässe Auskunft erteilt hat, ist er im Streitfall auch beweispflichtig. Indessen vermag die blosse Behauptung des Beschwerdeführers, die ihm erteilte Auskunft sei unvollständig oder unwahr, für sich allein keine Grundlage dafür zu bieten, dass dies tatsächlich so ist (E. 4.a).

Art. 8 al. 2 LPD. Droit d'accès. Objet. Fardeau de la preuve concernant l'exactitude de la donnée et obligation de collaborer.

- Compétence de la Commission fédérale de la protection des données en cas de recours pour déni de justice (consid. 1).

- L'art. 8 al. 2 LPD ne confère pas le droit d'accéder à toutes les possiblités techniques d'un organe de la Confédération de consulter des données. Le droit d'accès s'étend aux seules données personnelles de la personne demandant l'accès et n'existe qu'envers le maître d'un fichier (consid. 2).

- La LPD présuppose que les renseignements fournis par le maître d'un fichier soient corrects. En cas de litige, le maître d'un fichier doit prouver qu'il a fourni des renseignements conformes à la réalité. La simple affirmation du recourant que les renseignements qui lui ont été fournis sont incomplets ou inexacts ne constitue cependant pas un fondement suffisant pour admettre qu'il en soit effectivement ainsi (consid. 4.a).

Art. 8 cpv. 2 LPD. Diritto d'accesso. Oggetto. Onere della prova per quanto concerne l'esattezza dell'informazione e obbligo di collaborare.

- Competenza della Commissione federale della protezione dei dati in caso di ricorso per denegata giustizia (consid. 1).

- Secondo l'art. 8 cpv. 2 LPD non vi è alcun diritto d'accesso a tutte le possibilità tecniche di un organo federale di raccogliere dati. Il diritto d'accesso si estende unicamente a dati personali delle persone che chiedono informazioni e può essere fatto valere solo nei confronti del detentore della raccolta di dati (consid. 2).

- La LPD parte dal presupposto che le informazioni fornite dal detentore di una raccolta di dati sono corrette. In caso di litigio, detto detentore deve dimostrare la veridicità dell'informazione fornita. Tuttavia, la semplice affermazione del ricorrente, secondo cui l'informazione fornitagli è incompleta o inesatta, non costituisce una base sufficiente per ritenere che ciò sia effettivamente il caso (consid. 4.a).

Zusammenfassung des Sachverhalts:

A. Am 14. Oktober 1999 reichte J. bei der Eidgenössischen Datenschutzkommission (EDSK) eine auf Art. 8 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) gestützte Beschwerde gegen die Abteilung Grenzwachtkorps (GWK) der Oberzolldirektion (OZD) ein.

Der Beschwerdeführer führte aus, er habe um Auskunft ersucht, welche Daten auf der Zollkontrollstelle/Grenzstelle (elektronisch) abrufbar seien. Es bestehe der Verdacht, dass ein (gänzlich unbegründeter) Eintrag über die Glaubwürdigkeit des Passinhabers bestehe. Laut der ihm zugegangenen schriftlichen Antwort verfüge das GWK über keinen Zugang zu in Schweizer Pässen gespeicherten Daten. Er, der Beschwerdeführer, erachte diese Angabe jedoch für falsch. Er betrachtet den genannten Brief der OZD als Anfechtungsobjekt und beantragt die vollumfängliche Angabe der angezeigten Daten, damit er allfällige Unrichtigkeiten berichtigen könne. Das Auskunftsersuchen betreffe sämtliche Daten, über welche die Grenzkontrollstelle verfüge, also Daten, welche abrufbar seien und auf Bildschirm angezeigt werden können.

Ergänzend führte der Beschwerdeführer aus, die Auskunft, die er vom Bundesamt für Polizeiwesen (BAP) erhalten habe, betreffe das automatisierte Fahndungssystem (RIPOL). Die ursprüngliche Frage betreffend das GWK, sei damit nicht beantwortet.

B. In ihrer schriftlichen Stellungnahme vom 15. November 1999 beantragte die OZD, auf die Beschwerde sei nicht einzutreten, eventuell sei sie abzuweisen. Die Beschwerdegegnerin stellte sich in formeller Hinsicht auf den Standpunkt, dass die dem Beschwerdeführer erteilte Auskunft keine Verfügung darstelle, die der Beschwerde unterliegt. Somit fehle es an einem beschwerdefähigen Anfechtungsobjekt.

Zum Materiellen führte die Beschwerdegegnerin aus, dem Beschwerdeführer sei schriftlich mitgeteilt worden, dass das GWK zwar Personenkontrollen durchführe, dass es aber weder über einen Zugang zu in Schweizer Pässen gespeicherten Daten noch über eine Kartei verfüge. Aus diesem Grund sei das Gesuch an das Passbüro des Kantons X zur weiteren Behandlung überwiesen worden. Der dem Beschwerdeführer erteilten Auskunft komme kein Verfügungscharakter zu. Es handle sich dabei um eine inhaltlich richtige Auskunft, die nicht zu beanstanden sei. Art. 25 DSG sehe zwar gewisse Ansprüche auf Unterlassung, Berichtigung oder Feststellung vor, wenn ein schutzwürdiges Interesse bestehe; entsprechende Verfügungen unterlägen der Beschwerde an die EDSK (Art. 25 Abs. 5 DSG). J. habe in seiner Anfrage indessen keine solchen Ansprüche geltend gemacht, sondern sich ausdrücklich auf Art. 8 DSG bezogen. Die ihm erteilte Auskunft stelle denn auch keine Verweigerung der gesetzmässigen Auskunftspflicht dar. Somit handle es sich auch nicht um eine Verfügung im Sinne von Art. 5 Abs. 1 des Bundesgesetzes über das Verwaltungsverfahren vom 20. Dezember 1968 (VwVG, SR 172.021) bzw. um eine solche im Sinne von Art. 25 DSG, weshalb auf die Beschwerde nicht
einzutreten sei.

Den Eventualantrag begründete die Beschwerdegegnerin damit, das GWK führe im Grenzraum Personenkontrollen durch, denen auch Schweizer Bürgerinnen und Bürger unterlägen. Zur Erfüllung seiner Aufgaben habe das GWK partiell Zugriff auf die folgenden Datenbanken des Eidgenössichen Justiz- und Polizeidepartements (EJPD): RIPOL, Zentrales Ausländerregister (ZAR), automatisiertes Personenregistratursystem (AUPER). Beim Grenzübertritt von J. wäre eine Abfrage im RIPOL als Personen- und/oder Sachfahndung möglich gewesen oder allenfalls auch vorgenommen worden. Die Eidgenössische Zollverwaltung (EZV) könne im System aber keine Mutationen vornehmen; zwar könne die OZD dem BAP Angaben für die Eingabe ins RIPOL anmelden; die EZV und die Grenzstellen hätten jedoch nur ein Abfragerecht (unter Hinweis auf die Regelungen in Art. 3 der Verordnung vom 19. Juni 1995 über das automatisierte Fahndungssystem, RIPOL-Verordnung, SR 172.213.61). Schweizer Pässe würden von den kantonalen Passstellen ausgestellt; die EZV verfüge diesbezüglich über keine Befugnisse. Der Verdacht bzw. die Behauptung des Beschwerdeführers, dass die EZV bzw. das GWK Inhaber einer eigenen pass- oder personenbezogenen Datensammlung sei, entspreche somit nicht der
Wahrheit. Zudem wäre eine solche Datensammlung gemäss Art. 11 Abs. 2 DSG auch im Register des Eidgenössischen Datenschutzbeauftragten (EDSB) ersichtlich. Ebenso sprächen auch die technischen Möglichkeiten der EZV gegen eine Datenbank im Sinne des Beschwerdeführers, da die Grenzwachtposten (im Gegensatz zu den Zollämtern des zivilen Teils der EZV) zur Zeit nicht durch ein zollverwaltungsinternes Netzwerk verbunden seien. Die Abteilung Strafsachen der OZD führe zwar eine Strafkartei mit Angaben über die Strafverfolgung wegen Widerhandlungen gegen das Zollgesetz und gegen andere Bundesgesetze, bei denen die EZV Strafverfolgungsbehörde sei. Aufgrund der Abklärungen der Beschwerdegegnerin könne mitgeteilt werden, dass der Beschwerdeführer in dieser Kartei nicht verzeichnet sei.

Der Beschwerdeführer habe nicht dargetan, weshalb die ihm erteilte Auskunft falsch und inwiefern Bundesrecht verletzt worden sein soll. Die Beschwerde erweise sich deshalb als unbegründet, da das DSG in keiner Weise verletzt worden sei.

C. Mit Verfügung vom 31. Januar 2000 forderte der Präsident der EDSK den Beschwerdeführer auf, darzutun, welchen Verdacht ihm gegenüber, eventuell bei welchem Grenzübertritt (wo, wann) er wahrgenommen habe, damit die Beschwerdegegnerin eine konkrete Überprüfung des Vorfalls vor Ort vornehmen und der EDSK vorlegen könne.

Obschon der Beschwerdeführer auf diese Aufforderung hin nicht reagiert hatte, wurde die Beschwerdegegnerin nochmals ersucht, auch über die vom GWK telefonisch abrufbaren Datensammlungen der Kreisdirektionen, der OZD, des BAP und der Bundesanwaltschaft (BA) bezüglich einer allfälligen Speicherung von Daten über den Beschwerdeführer Auskunft zu erteilen.

D. Mit Schreiben vom 15. Juni 2000 teilte die Beschwerdegegnerin diesbezüglich mit, nach Ausführungen der Zollkreisdirektion I Basel sei J. weder beim Zollinspektorat Basel/Weil am Rhein-Autobahn noch beim Grenzwacht-Abschnitt III Riehen, bei der Nachrichtenzentrale Grenzwachtkommando I, beim Grenzwachtkommando Basel oder bei der Sektion Untersuchungsdienst Basel verzeichnet. Die anderen Sektionen der Kreisdirektion führten keine Datensammlungen oder Aufzeichnungen. Neben den bekannten Fahndungsmitteln wie RIPOL, ZAR und AUPER könne jedoch ein Grenzwachtbeamter telefonisch um folgende Auskünfte ersuchen: bei der Sektion Untersuchungsdienst über Einträge in der Strafaktenkartei, bei der OZD über Einträge in der Zentralkartei der verzollten und unverzollten Fahrzeuge sowie beim BAP Journalanfrage via Zentralstellendienste. Das Zollinspektorat Zürich-Flughafen habe mitgeteilt, dass die zivile Stelle der Zollverwaltung Zugriff auf das RIPOL habe. Dieses Instrument werde ausschliesslich für die Sachfahndung benützt. Fragen über eine bestimmte Person würden mit der Kantonspolizei telefonisch besprochen. Dabei gelte es, darauf hinzuweisen, dass die Passkontrolle am Flughafen durch die Kantonspolizei durchgeführt werde. Der
Beschwerdeführer sei im Zollinspektorat Zürich-Flughafen nicht verzeichnet.

Präzisierend sei festzuhalten, bei der Zentralkartei der verzollten und unverzollten Fahrzeuge handle es sich um Daten aus dem Motorfahrzeuginformationssystem (MOFIS). Die OZD habe die Möglichkeit, bestimmte Abfragen betreffend Fahrzeuge vorzunehmen, nicht aber über den Namen eines Halters. Sie könne ebenfalls Mutationen vornehmen bezüglich der Verzollung von Fahrzeugen, sei indessen nicht Betreiberin dieser Datensammlung.

Nach Art. 7 Abs. 1 in Verbindung mit Art. 6 Abs. 1 Bst. c der Verordnung vom 19. November 1997 über kriminalpolizeiliche Zentralstellen im Bundesamt für Polizei (ZentV, AS 1998 34) können die Zentralstellen der Zollverwaltung im Einzelfall Auskunft über Personendaten (aus den Datensammlungen der Zentralstellen) bekanntgeben. Dabei sei klar festzuhalten, dass die Zollverwaltung nicht Datenherrin dieser Datensammlungen sei.

Der Erkennungsdienst könne den betroffenen Behörden erkennungsdienstliche Auskünfte aus dem automatisierten Fingerabdruck-Identifizierungssystem (AFIS) erteilen. Gemäss telefonischer Auskunft des BAP würden im Einzelfall in der Regel den Grenzwachtposten keine Auskünfte aus dem AFIS erteilt; völlig ausgeschlossen sei es indessen nicht. In diesem Zusammenhang lege die Beschwerdegegnerin Wert auf die Feststellung, dass die Grenzwachtposten am AFIS nicht angeschlossen seien, dass sie keine Fingerabdrücke abnähmen und auch keine Möglichkeit hätten, Fingerabdrücke auszuwerten. So gesehen bestehe auch kein Bedarf nach Auskünften aus dem AFIS. Allerdings bestünden Bestrebungen, dass das GWK dem AFIS mittelfristig ebenfalls angeschlossen werde. Die OZD habe im Übrigen überhaupt keine Anhaltspunkte, wonach Zollämter und Grenzwachtposten im Einzelfall um Auskünfte aus allfälligen Datensammlungen der BA ersuchten.

Aus den Erwägungen:

1. Vorweg stellt sich die Frage, ob die dem Beschwerdeführer auf sein Auskunftsbegehren vom GWK erteilte schriftliche Antwort eine anfechtbare Verfügung im Sinne von Art. 33 Abs. 1 Bst. b DSG darstellt. Sie kann indessen offenbleiben. Sinngemäss macht der Beschwerdeführer nämlich geltend, die GWK habe sich geweigert, ihm eine den Anforderungen von Art. 8 DSG genügende Auskunft zu erteilen.

Grundsätzlich kann nach Art. 70 VwVG gegen die Behörde, die eine Verfügung unrechtmässig verweigert oder verzögert, Beschwerde wegen Rechtsverweigerung oder Rechtsverzögerung geführt werden. Diese ist in der Regel an die Aufsichtsbehörde zu richten (vgl. Art. 70 Abs. 1 VwVG). Steht indessen in der Sache selbst der Rechtsmittelweg an das Bundesgericht offen, ist dieser auch dann offen zu halten, wenn - wie in datenschutzrechtlichen Beschwerdeverfahren - eine eidgenössische Rekurskommission als mittlere Instanz eingeschaltet ist (vgl. Urteil EDSK vom 29. November 1996 [Nr. 2 und 3/95], E. Id; A. Kölz/I. Häner, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 2. Aufl., Zürich 1998, Rz. 722). Die EDSK - und nicht etwa der Bundesrat - ist damit zur Behandlung der vorliegenden Beschwerde auch dann sachlich zuständig, wenn diese als Rechtsverweigerungsbeschwerde qualifiziert wird, und es ist darauf einzutreten.

Insoweit stellt sich auch die Frage nicht, ob die Beschwerdefrist von 30 Tagen seit Empfang der Antwort des GWK eingehalten worden ist. Nicht als Eintretensfrage zu prüfen ist, ob der Beschwerdeführer zu Recht behauptet, das GWK habe ihm eine rechtsgenügliche Auskunft im Sinne von Art. 8 DSG verweigert. Dies ist eine Frage der materiellen Begründetheit der Beschwerde.

2. Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob über sie Daten bearbeitet werden. Gemäss Abs. 2 der genannten Bestimmung muss der Inhaber der Datensammlung ihr mitteilen:

a) alle über sie in der Datensammlung vorhandenen Daten;

b) den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.

Nach der genannten Bestimmung besteht aber kein Rechtsanspruch, Auskunft über sämtliche technisch möglichen Datenabfragen eines Bundesorgans zu erhalten. Der Auskunftsanspruch erstreckt sich einzig auf Personendaten der um Auskunft ersuchenden Person, und er besteht nur gegenüber dem Inhaber einer Datensammlung.

3. Aufgrund der dem Beschwerdeführer vom GWK erteilten Auskunft sowie der diversen Stellungnahmen der Beschwerdegegnerin im vorliegenden Verfahren hat sich ergeben, dass diese keine Personendaten des Beschwerdeführers bearbeitet. Der Beschwerdeführer hat darüber hinaus im Verlaufe des Verfahrens mehrfache, detaillierte Auskünfte darüber erhalten, was Zollstellen allgemein abfragen können.

Kommt der Inhaber einer Datensammlung einem an ihn gerichteten Auskunftsbegehren im Rahmen eines Beschwerdeverfahrens vor der EDSK nach, verhält es sich nach deren Praxis gleich, wie wenn er als Vorinstanz die angefochtene Verfügung (mit welcher die Auskunft im Sinne von Art. 9 DSG verweigert, eingeschränkt oder aufgeschoben wurde), in Wiedererwägung gezogen hätte, wozu gemäss Art. 58 Abs. 1 VwVG bis zur Vernehmlassung im Beschwerdeverfahren die Möglichkeit besteht. Da der im Streit liegende Rechtsanspruch so oder anders erfüllt wird, ist das Beschwerdeverfahren insoweit in Anwendung von Art. 58 Abs. 3 VwVG als gegenstandslos abzuschreiben.

4.a. Entgegen der Auffassung des Beschwerdeführers genügen die erteilten Auskünfte der Beschwerdegegnerin dem datenschutzrechtlichen Auskunftsanspruch. Selbstverständlich setzt das DSG voraus, dass die vom Inhaber einer Datensammlung zu erteilende Auskunft der Wahrheit entspricht. Dafür, dass der Inhaber einer Datensammlung wahrheitsgemässe Auskunft erteilt hat, ist er im Streitfall auch beweispflichtig. Indessen vermag die blosse Behauptung des Beschwerdeführers, die ihm erteilte Auskunft sei unvollständig oder unwahr, für sich allein keine Grundlage dafür zu bieten, dass dies tatsächlich so ist.

b. Zwar hat die Beschwerdeinstanz, wie jede Verwaltungsbehörde, grundsätzlich den Sachverhalt von Amtes wegen festzustellen (Art. 12 VwVG). Gemäss Art. 13 VwVG sind die Parteien jedoch verpflichtet, an der Feststellung des Sachverhaltes mitzuwirken:

a) in einem Verfahren, das sie durch ihr Begehren einleiten;

b) in einem anderen Verfahren, soweit sie darin selbständige Begehren stellen;

c) soweit ihnen nach einem anderen Bundesgesetz eine weitergehende Auskunfts- oder Offenbarungspflicht obliegt. Die Behörde braucht auf Begehren im Sinne von Abs. 1 Bst. a oder b nicht einzutreten, wenn die Parteien die notwendige und zumutbare Mitwirkung verweigern.

Trotz mehrfacher Aufforderung hat der Beschwerdeführer der EDSK nicht mitgeteilt, woraus er den Verdacht ableitet, dass das GWK entgegen der ihm erteilten Auskunft Personendaten des Beschwerdeführers bearbeiten soll. Er hat auch nicht angegeben, an welchen Zollstellen er angeblich Schwierigkeiten hatte, so dass dann dort ergänzende Abklärungen hätten durchgeführt werden können. Auf die Beschwerde wäre deshalb, soweit nicht deren Gegenstandslosigkeit festgestellt werden kann, in Anwendung von Art. 13 Abs. 2 VwVG nicht einzutreten. Hierzu ist gemäss Art. 10 Bst. a der Verordnung über Organisation und Verfahren eidgenössischer Rekurs- und Schiedskommissionen vom 3. Februar 1993 (VRSK, SR 173.31) der Präsident als Einzelrichter zuständig.

5. Soweit im übrigen Personendaten in nicht von der Beschwerdegegnerin, sondern von anderen Bundesbehörden geführten Datenbanken in Frage stehen (insbesondere RIPOL), richtet sich ein weiter gehender Auskunftsanspruch gegen den Inhaber derselben (vgl. diesbezüglich Art. 3 Bst. j DSG). Die Beschwerde gegen die OZD bzw. das GWK wäre insoweit unbegründet.

Dokumente der EDSK

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
¹	Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
²	La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
^a	l'identité et les coordonnées du responsable du traitement;
^b	les données personnelles traitées en tant que telles;
^c	la finalité du traitement;
^d	la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
^e	les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
^f	le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
^g	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
³	Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
⁴	Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
⁵	Nul ne peut renoncer par avance au droit d'accès.
⁶	Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
⁷	En règle générale, les renseignements sont fournis dans un délai de 30 jours.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
¹	Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
²	La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
^a	l'identité et les coordonnées du responsable du traitement;
^b	les données personnelles traitées en tant que telles;
^c	la finalité du traitement;
^d	la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
^e	les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
^f	le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
^g	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
³	Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
⁴	Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
⁵	Nul ne peut renoncer par avance au droit d'accès.
⁶	Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
⁷	En règle générale, les renseignements sont fournis dans un délai de 30 jours.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 5
¹	Sont considérées comme décisions les mesures prises par les autorités dans des cas d'espèce, fondées sur le droit public fédéral et ayant pour objet:
^a	de créer, de modifier ou d'annuler des droits ou des obligations;
^b	de constater l'existence, l'inexistence ou l'étendue de droits ou d'obligations;
^c	de rejeter ou de déclarer irrecevables des demandes tendant à créer, modifier, annuler ou constater des droits ou obligations.
²	Sont aussi considérées comme des décisions les mesures en matière d'exécution (art. 41, al. 1, let. a et b), les décisions incidentes (art. 45 et 46), les décisions sur opposition (art. 30, al. 2, let. b, et 74), les décisions sur recours (art. 61), les décisions prises en matière de révision (art. 68) et d'interprétation (art. 69).25
³	Lorsqu'une autorité rejette ou invoque des prétentions à faire valoir par voie d'action, sa déclaration n'est pas considérée comme décision.

SR 361.0 Ordonnance du 26 octobre 2016 sur le système de recherches informatisées de police (Ordonnance RIPOL) - Ordonnance RIPOL Ordonnance-RIPOL Art. 3 Champs de données - Dans RIPOL, les champs de données indiqués ci-dessous ont pour contenu:
^a	publication: la saisie de recherches de personnes ou d'une infraction non élucidée;
^b	document d'identité: les documents d'identification et de légitimation de tous genres;
^c	véhicule: les moyens de locomotion motorisés ou non du trafic routier, aérien, fluvial ou ferroviaire ainsi que les plaques d'immatriculation;
^d	données d'une affaire: les références relatives aux dossiers et au service ou à la personne ayant procédé à l'inscription du signalement;
^e	personnes concernées: les personnes concernées par le cas, telles que les victimes, les représentants légaux, les témoins ou d'autres personnes tierces, détenteurs de véhicules ou auteurs de la découverte d'objets suspects;
^f	personnes: les personnes faisant l'objet d'un signalement dans le RIPOL conformément à l'art. 15, al. 1, LSIP;
^g	objets: les choses mobilières à l'exception des véhicules et des documents d'identité;
^h	infractions non élucidées: elles contiennent la recherche d'objets, les objets, les véhicules, les personnes concernées et le signalement de l'auteur de l'infraction inconnu;
ⁱ	recherche d'objets: elles contiennent en particulier le lieu et la date du délit, le mode opératoire, d'autres renseignements pouvant être utiles à l'élucidation ainsi que des données générales d'une affaire.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 11 Codes de conduite - 1 Les associations professionnelles, sectorielles et économiques, lorsqu'elles sont autorisées de par leurs statuts à défendre les intérêts économiques de leurs membres, de même que les organes fédéraux, peuvent soumettre leur code de conduite au PFPDT.
¹	Les associations professionnelles, sectorielles et économiques, lorsqu'elles sont autorisées de par leurs statuts à défendre les intérêts économiques de leurs membres, de même que les organes fédéraux, peuvent soumettre leur code de conduite au PFPDT.
²	Le PFPDT prend position sur les codes de conduite et publie ses prises de position.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
¹	Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
^a	seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
^b	aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
²	Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
³	Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
⁴	Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 58
¹	L'autorité inférieure peut, jusqu'à l'envoi de sa réponse, procéder à un nouvel examen de la décision attaquée.
²	Elle notifie sans délai une nouvelle décision aux parties et en donne connaissance à l'autorité de recours.
³	L'autorité de recours continue à traiter le recours, dans la mesure où la nouvelle décision de l'autorité inférieure ne l'a pas rendu sans objet; l'art. 57 est applicable lorsque la nouvelle décision repose sur un état de fait notablement modifié ou crée une situation juridique sensiblement différente.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 12 - L'autorité constate les faits d'office et procède s'il y a lieu à l'administration de preuves par les moyens ci-après:
^a	documents;
^b	renseignements des parties;
^c	renseignements ou témoignages de tiers;
^d	visite des lieux;
^e	expertises.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 13
¹	Les parties sont tenues de collaborer à la constatation des faits:
^a	dans une procédure qu'elles introduisent elles-mêmes;
^b	dans une autre procédure, en tant qu'elles y prennent des conclusions indépendantes;
^c	en tant qu'une autre loi fédérale leur impose une obligation plus étendue de renseigner ou de révéler.
^1bis	L'obligation de collaborer ne s'étend pas à la remise d'objets et de documents concernant des contacts entre une partie et son avocat, si celui-ci est autorisé à pratiquer la représentation en justice en vertu de la loi du 23 juin 2000 sur les avocats34.35
²	L'autorité peut déclarer irrecevables les conclusions prises dans une procédure au sens de l'al. 1, let. a ou b, lorsque les parties refusent de prêter le concours nécessaire qu'on peut attendre d'elles.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.