Lexipedia

171.110

Ordinaziun tar la Lescha chantunala davart la protecziun da datas

(Ordinaziun chantunala davart la protecziun da datas, OCPD)

dals 16-09-2025 (versiun dals 01-01-2026)

Preambel

Sa basond sin l'art. 45 al. 1 da la Constituziun chantunala[1] sco er sin l'art. 6 al. 3 e l'art. 23 al. 1 da la Lescha chantunala davart la protecziun da datas[2]

relaschada da la Regenza ils 16 da settember 2025

1. Disposiziuns generalas

Art. 1 Cumprova che las disposiziuns davart la protecziun da datas vegnian observadas

La cumprova che las disposiziuns davart la protecziun da datas vegnian observadas, vegn furnida da l'organ public cun documentar almain ils suandants puncts en connex cun las activitads d'elavuraziun:

  1. ils process da l'elavuraziun da datas;
  2. las persunas responsablas;
  3. las basas giuridicas per l'elavuraziun da datas;
  4. las ristgas per la protecziun da datas e las mesiras prendidas.

L'organ public po furnir la cumprova en spezial tras:

  1. urdens da gestiun ed autras determinaziuns generalas davart process da gestiun e davart l'organisaziun dal manaschi;
  2. directivas davart l'elavuraziun da datas e davart il tractament da datas persunalas, inclusiv la stizzada e l'archivaziun;
  3. concepts davart la segirezza da las infurmaziuns e davart la protecziun da datas sco er valitaziuns da las consequenzas per la protecziun da datas;
  4. concepts per la consultaziun d'infurmaziuns e da meds d'informatica;
  5. rapports davart il tractament da violaziuns da la segirezza da las datas ch'èn d'annunziar;
  6. ulteriurs documents e meds auxiliars davart l'elavuraziun da datas segira.

Art. 2 Mesiras tecnicas ed organisatoricas 1. Finamiras da protecziun

Cun mesiras organisatoricas e tecnicas commensuradas procuran ils organs publics, che las datas persunalas:

  1. sajan accessiblas mo a persunas autorisadas (confidenzialitad);
  2. sajan disponiblas, cura ch'ellas vegnan duvradas (disponibladad);
  3. na possian betg vegnir modifitgadas nunautorisadamain u nunvulidamain (integritad);
  4. vegnian elavuradas en moda transparenta (transparenza).

Art. 3 2. Commensurabladad

La commensurabladad da las mesiras tecnicas ed organisatoricas sa drizza en spezial tenor ils suandants criteris:

  1. il basegn da protecziun da las datas elavuradas, che resulta da l'intent, dal gener, da la dimensiun e las circumstanzas da l'elavuraziun da datas;
  2. la valitaziun da las ristgas pussaivlas per las persunas pertutgadas;
  3. il stadi da la tecnica.

I sto vegnir controllà periodicamain, sche las mesiras èn adequatas e commensuradas; en cas da basegn ston las mesiras vegnir adattadas.

Art. 4 3. Mesiras

Per garantir la segirezza da las datas èsi pussaivel da prender en spezial las suandantas mesiras tecnicas ed organisatoricas:

  1. restricziuns d'access a stabiliments: persunas nunautorisadas na dastgan betg survegnir access a stabiliments, nua che datas impersunalas e persunalas vegnan elavuradas;
  2. controllas d'utilisaziun: persunas nunautorisadas na dastgan betg survegnir la pussaivladad d'utilisar meds d'informatica, cun ils quals datas impersunalas e persunalas vegnan elavuradas;
  3. controllas dals purtaders da datas: persunas nunautorisadas dastgan betg survegnir la pussaivladad da leger, copiar, modifitgar u allontanar purtaders da datas;
  4. restricziuns da consultaziun: la consultaziun sto vegnir restrenschida a quellas datas impersunalas e persunalas, che las persunas autorisadas dovran per ademplir lur incumbensa;
  5. restricziuns d'elavuraziun: l'elavuraziun nunautorisada da datas impersunalas e persunalas vegn impedida;
  6. controlla d'endataziuns: en connex cun l'utilisaziun da meds d'informatica stoi esser pussaivel da controllar posteriuramain, tge datas impersunalas e persunalas ch'èn vegnidas elavuradas da tge temp e da tge persuna;
  7. identificaziun da las retschavidras e dals retschaviders: las persunas, a las qualas datas impersunalas e persunalas vegnan communitgadas, ston pudair vegnir identifitgadas;
  8. garanzia da la cuntinuitad: i vegnan prendidas mesiras, per che funcziuns impurtantas possian puspè vegnir ademplidas uschè svelt sco pussaivel en cas d'ina interrupziun da meds d'informatica;
  9. garanzia da la successiun da las generaziuns: i vegnan prendidas mesiras, per che datas impersunalas e persunalas possian vegnir mantegnidas duraivlamain en cas da midadas tecnologicas en connex cun l'applicaziun da meds d'informatica.

Art. 5 4. Protocollaziun

Tar l'elavuraziun automatisada da datas persunalas protocolleschan ils organs publics almain l'arcunaziun, la modificaziun, la lectura, la communicaziun, la stizzada e la destrucziun da las datas, sche las mesiras preventivas na garanteschan betg la protecziun da datas e sch'in tal sistem è disponibel sin il martgà.

La protocollaziun sto infurmar davart l'identitad da la persuna che ha elavurà las datas, davart il gener, davart il di e las uras da l'elavuraziun ed eventualmain er davart l'identitad da la retschavidra u dal retschavider da las datas.

2. Elavuraziun da datas persunalas

Art. 6 Emprovas da pilot 1. Indispensabladad

Ina fasa da test è indispensabla per realisar in'elavuraziun da datas en la pratica, sch'ina da las suandantas cundiziuns è ademplida:

  1. per ademplir ina incumbensa dovri novaziuns tecnicas, ma l'emprim èsi necessari d'evaluar lur consequenzas;
  2. per ademplir ina incumbensa dovri mesiras organisatoricas u tecnicas considerablas, ma l'emprim èsi necessari d'examinar lur efficacitad; quai en spezial en il rom da la collavuraziun cun organs d'autras instituziuns publicas e cun organisaziuns che vegnan stgaffidas tras instituziuns publicas;
  3. l'adempliment d'ina incumbensa pretenda, che las datas persunalas sajan accessiblas en la procedura d'invista.

Art. 7 2. Procedura

L'organ public che fa l'emprova da pilot, sa procura la posiziun dal post da surveglianza.

El metta a disposiziun al post da surveglianza tut ils documents ch'èn necessaris per giuditgar l'approvabladad da l'emprova da pilot, en spezial:

  1. ina descripziun generala da l'emprova da pilot;
  2. in rapport che cumprova, ch'i dovra in'elavuraziun per ademplir las incumbensas previsas da la lescha e ch'ina fasa da test è indispensabla avant l'entrada en vigur da la lescha;
  3. ina descripziun da las mesiras da segirezza e da protecziun da datas;
  4. il sboz d'ina ordinaziun che regla ils detagls da l'elavuraziun, u il concept d'ina ordinaziun.

La posiziun sto vegnir suttamessa a la Regenza, avant ch'ella decida davart ina dumonda da permissiun.

Art. 8 Elavuraziun per incumbensa 1. Cuntegn minimal dals contracts

Sche la lescha na prevesa betg ch'ina elavuratura incumbensada u in elavuratur incumbensà elavuria las datas, sto in contract reglar almain ils suandants puncts:

  1. object e dimensiun da las incumbensas delegadas;
  2. observanza dal secret d'uffizi sco er d'obligaziuns spezialas da mantegnair il secret;
  3. responsabladads;
  4. mesiras tecnicas ed organisatoricas per mantegnair la protecziun da datas e la segirezza da las datas;
  5. lieu da l'elavuraziun da datas;
  6. controlla da l'adempliment da l'incumbensa;
  7. engaschament da terzas persunas;
  8. sancziuns previsas, en cas che las obligaziuns vegnan violadas;
  9. durada dal contract e premissas per schliar il contract sco er las consequenzas respectivas, en spezial la retratga e la stizzada da las datas;
  10. dretg applitgabel e dretgira cumpetenta.

Art. 9 2. Engaschament da terzas persunas

L'approvaziun preliminara da l'organ public, che permetta a l'elavuratura incumbensada u a l'elavuratur incumbensà d'engaschar terzas persunas per l'elavuraziun da datas, po esser da natira specifica u generala.

En cas d'ina approvaziun generala infurmescha l'elavuratura incumbensada u l'elavuratur incumbensà l'organ public responsabel davart mintga midada ch'è previsa en connex cun l'engaschament u il remplazzament d'autras terzas persunas. L'organ public responsabel po refusar questa midada.

Art. 10 Communicaziun transcunfinala da datas persunalas

Per giuditgar, sche la legislaziun d'in stadi che retschaiva datas garantescha ina protecziun commensurada, po l'organ public sa basar sin il giudicament che la Confederaziun ha fatg areguard la commensurabladad da la protecziun da datas d'in stadi, d'in territori, d'in sectur specific en in stadi u d'in organ internaziunal tenor l'artitgel 8 da l'Ordinaziun davart la protecziun da datas[3].

Sch'il post da surveglianza è vegnì infurmà davart las garanzias tenor l'artitgel 12 alinea 3 da la Lescha chantunala davart la protecziun da datas[4], vala l'obligaziun d'infurmaziun sco ademplida per tut las ulteriuras communicaziuns che vegnan fatgas sut las medemas garanzias, premess che las categorias da retschavidras e retschaviders, l'intent da l'elavuraziun e las categorias da datas na sajan betg vegnidas midadas essenzialmain.

L'obligaziun d'infurmaziun vala medemamain sco ademplida, sche las datas vegnan transmessas sin basa da contracts da model u da clausulas contractualas da standard ch'èn vegnidas formuladas u renconuschidas da l'Incumbensà federal per la protecziun da datas e per la transparenza, e sch'il post da surveglianza è vegnì infurmà da l'organ public responsabel en furma generala davart l'utilisaziun da quests contracts da model u da questas clausulas contractualas da standard.

Art. 11 Publicaziun en furma electronica en il rom da l'activitad d'infurmaziun uffiziala

Sche datas persunalas vegnan rendidas accessiblas al public cun agid da servetschs d'infurmaziun e da communicaziun automatisads, na vala quai betg sco transmissiun a l'exteriur.

Art. 12 Elavuraziun da datas per intents che na sa refereschan betg a persunas

Sche datas persunalas duain vegnir communitgadas per in intent che na sa referescha betg a persunas, sto la retschavidra u il retschavider far almain las suandantas indicaziuns:

  1. designaziun da la retschavidra u dal retschavider;
  2. curta descripziun dal project;
  3. circumscripziun da las datas persunalas necessarias;
  4. proceder e gener da l'elavuraziun da datas;
  5. indicaziuns davart las mesiras ch'èn da prender per proteger las datas persunalas.

L'organ public fa dar la retschavidra u il retschavider ina decleraziun d'obligaziun, che las prescripziuns da l'artitgel 13 alinea 1 litera a da la Lescha chantunala davart la protecziun da datas[5] vegnian ademplidas. Per la communicaziun da datas persunalas po l'organ public prevair ulteriuras cundiziuns per proteger las datas persunalas.

3. Obligaziuns da l'organ public responsabel

3.1. Prescripziuns generalas

Art. 13 Realisaziun da la consultaziun preliminara

Al post da surveglianza ston vegnir preschentads almain quels documents ch'èn vegnids elavurads en il rom da la valitaziun da las consequenzas per la protecziun da datas. Il post da surveglianza po pretender ulteriurs documents, sche quels èn necessaris per giuditgar la ristga per ils dretgs fundamentals.

D'ina consultaziun preliminara poi vegnir desistì, sche la cooperaziun dal post da surveglianza a l'organisaziun dal project vegn garantida en autra moda.

La consultaziun preliminara è terminada, sch'il post da surveglianza ha declerà che l'applicaziun saja nunproblematica u sch'el ha fatg ina recumandaziun tenor l'artitgel 36 da la Lescha chantunala davart la protecziun da datas[6].

Art. 14 Tegnair en salv la valitaziun da las consequenzas per la protecziun da datas e la consultaziun preliminara

L'organ public sto tegnair en salv la valitaziun da las consequenzas per la protecziun da datas ed ils resultats da la consultaziun preliminara durant almain 2 onns suenter la terminaziun da l'activitad d'elavuraziun.

Art. 15 Annunzia da violaziuns da la segirezza da las datas 1. Modalitads da l'obligaziun d'annunzia e documentaziun

Il post da surveglianza metta a disposiziun in formular per annunziar violaziuns da la segirezza da las datas.

Sche l'organ public na po betg annunziar tut las indicaziuns a medem temp, furnescha el uschè svelt sco pussaivel las indicaziuns mancantas.

L'organ public sto documentar la violaziun da la segirezza da las datas. La documentaziun sto cuntegnair ils fatgs che stattan en connex cun ils incidents, lur consequenzas e las mesiras prendidas. Ella è da tegnair en salv durant almain 2 onns suenter l'annunzia.

Art. 16 2. Infurmaziun da la persuna pertutgada

Sche l'organ public è obligà d'infurmar la persuna pertutgada davart ina violaziun da la segirezza da las datas, communitgescha el, en ina lingua simpla e chapaivla, almain il suandant a la persuna pertutgada:

  1. il gener da la violaziun;
  2. las consequenzas, inclusiv las ristgas pussaivlas, per las persunas pertutgadas;
  3. las mesiras ch'èn vegnidas prendidas u ch'èn previsas per eliminar il sbagl e per reducir las consequenzas, inclusiv las ristgas pussaivlas;
  4. il num e las datas da contact d'ina persuna da referiment.

Sch'ina infurmaziun individuala davart la violaziun da la segirezza da las datas para dad esser sproporziunada pervia dal grond dumber da persunas pertutgadas, po l'infurmaziun vegnir publitgada en furma adequata.

3.2. Prescripziuns spezialas

Art. 17 Organs publics pertutgads

Las obligaziuns da questa part valan per ils organs publics designads en l'artitgel 22 e l'artitgel 23 da la Lescha chantunala davart la protecziun da datas[7] sco er per:

  1. l'Uffizi per l'execuziun giudiziala;
  2. la Polizia chantunala;
  3. la Procura publica;
  4. la Polizia da la citad da Cuira.

Auters organs publics pon realisar voluntarmain las prescripziuns spezialas tenor l'artitgel 22 e l'artitgel 23 da la Lescha chantunala davart la protecziun da datas. Sch'els fan quai, ston els resguardar las disposiziuns da quest chapitel.

Art. 18 Glista da las activitads d'elavuraziun

Ils organs publics pertutgads actualiseschan regularmain la glista da las activitads d'elavuraziun.

Midadas ston vegnir annunziadas al post da surveglianza.

Exceptads da l'obligaziun d'annunzia èn organs publics che mainan voluntarmain la glista da las activitads d'elavuraziun.

Art. 19 Consulenta u consulent per dumondas da la protecziun da datas

Ils organs publics pertutgads designeschan almain ina persuna sco consulenta u consulent per dumondas da la protecziun da datas, che ha las enconuschientschas specificas necessarias.

Plirs organs publics pertutgads pon nominar cuminaivlamain ina consulenta u in consulent per dumondas da la protecziun da datas.

Il num e las datas da contact da la consulenta u dal consulent per dumondas da la protecziun da datas ston vegnir communitgads al post da surveglianza ed èn da publitgar.

Il post da surveglianza scolescha periodicamain las consulentas ed ils consulents per dumondas da la protecziun da datas.

4. Dretgs da las persunas pertutgadas

Art. 20 Modalitads da la dumonda

La persuna pertutgada po far valair ses dretgs en scrit u a bucca tar l'organ public responsabel.

L'organ public responsabel sto prender mesiras commensuradas per identifitgar la persuna pertutgada. Quella è obligada da cooperar.

Art. 21 Concessiun dal dretg d'infurmaziun

L'organ public responsabel renda accessiblas las datas persunalas, uschenavant sco pussaivel, en la furma ch'è vegnida creada per il diever uffizial. L'infurmaziun po vegnir dada sin via electronica, sche la transmissiun è protegida suffizientamain cunter la consultaziun tras terzas persunas nunautorisadas.

En enclegientscha cun l'organ public responsabel po la persuna pertutgada prender invista da sias datas al lieu. L'infurmaziun po vegnir dada a bucca, sche la persuna pertutgada è perencletga.

Art. 22 Opposiziun

L'organ public responsabel, che ha survegnì l'opposiziun, conferma en furma adequata che l'opposiziun saja vegnida fatga. El procura che auters organs publics, che retschaivan dad el las datas persunalas pertutgadas, vegnian infurmads davart l'opposiziun.

Sche la persuna pertutgada pretenda che l'opposiziun vegnia abolida, communitgescha ella quai en scrit a l'organ public responsabel.

Art. 23 Excepziuns da la gratuitadad

Sforzs sproporziunads èn en spezial avant maun, sche:

  1. la persuna pertutgada fa repetidamain ina dumonda en la medema chaussa;
  2. la persuna pertutgada n'ademplescha betg sia obligaziun da cooperaziun, malgrà l'intimaziun da l'organ responsabel; u
  3. l'elavuraziun da la dumonda chaschuna gronds custs materials u dovra bler temp.

Avant che dar las infurmaziuns, sto l'organ public responsabel communitgar a la persuna pertutgada l'autezza dals custs. Sche la persuna pertutgada na conferma betg la dumonda entaifer 10 dis, vala ella sco retratga.

5. Disposiziuns finalas

Art. 24 Disposiziuns transitoricas

Sistems d'informatica existents, che na prevesan betg ina protocollaziun tenor l'artitgel 5, pon vegnir duvrads vinavant fin a la fin da lur ciclus da vita. Cura ch'els vegnan remplazzads tras novs sistems, sto vegnir observà l'artitgel 5.

Cunvegnas existentas davart in'elavuraziun per incumbensa restan valaivlas fin a lur scadenza. Sch'ellas vegnan prolungadas u adattadas, ston ellas observar l'artitgel 8 e l'artitgel 9.

Egress

2025-050

Tabella da las modificaziuns - tenor conclus

Conclus Entrada en vigur Element Modificaziun Publicaziun en la CUL
16-09-2025 01-01-2026 relasch emprima versiun 2025-050

Tabella da las modificaziuns - tenor element

Element Conclus Entrada en vigur Modificaziun Publicaziun en la CUL
relasch 16-09-2025 01-01-2026 emprima versiun 2025-050