Im Rahmen ihres Aktionsplans um die Konformität mit den Anforderungen des GIDA zu erreichen, müssen die Behörden ein Bearbeitungsregister der Personendaten führen.

Um in der Lage zu sein, die Auswirkungen des GIDA auf die Tätigkeit der Behörde zu messen und diese Anforderung zu erfüllen, müssen die Behörden zunächst Folgendes genau ermitteln:

• die verschiedenen Bearbeitungen von Personendaten;
• die Kategorien der bearbeiteten Personendaten;
• die Ziele, die mit den Datenbearbeitungsvorgängen verfolgt werden;
• die Akteure (intern oder extern), die diese Daten bearbeiten. Die Behörden müssen insbesondere die Auftragsbearbeiter klar identifizieren, damit die Verträge mit ihnen aktualisiert werden können;
• die Datenströme, indem die Herkunft und der Bestimmungsort der Daten angegeben werden, damit insbesondere die möglichen Übermittlungen von Daten ausserhalb der Schweiz und/oder der Europäischen Union identifiziert werden können.

Anders gesagt, muss man sich bei jeder Bearbeitung von Personendaten die folgenden Fragen stellen:

• Wer ist der Verantwortliche für die Datenbearbeitung?
• Welche Kategorien von Personendaten werden bearbeitet, und die besonders schützenswerten Daten identifizieren?
• Welche Arten von Daten werden bearbeitet?
• Was ist der Zweck bzw. sind die Zwecke der Bearbeitung?
• Wo werden die Daten gehostet und werden Übermittlungen ins Ausland vorgenommen?
• Wie lange muss ich die Daten aufbewahren?
• Welche technischen und organisatorischen Massnahmen werden getroffen, um die Sicherheit dieser Daten zu gewährleisten?

Unsere Behörde wird in Kürze auf dieser Seite eine Vorlage für das Datenmapping zur Verfügung stellen, die von den Behörden frei übernommen werden kann.