Gemeinde- und Kantonsverwaltungen, die öffentlichen Schulen, die Hochschulen, die Polizei und die Spitäler sind öffentliche Organe.
Sie erfüllen ihre Aufgaben gemäss Verfassung und Gesetzen. Dazu bearbeiten sie Personendaten, das heisst sie beschaffen, speichern und verwenden diese und geben sie unter Umständen auch weiter.
Auch private Organisationen, die eine Aufgabe eines öffentlichen Organs erfüllen, werden im Bereich dieser Aufgabe als öffentliche Organe behandelt. Ein Beispiel dafür ist eine Privatklinik, die auf der Spitalliste des Kantons steht.
Die Datenbearbeitung muss nach den folgenden Grundsätzen erfolgen.
Öffentliche Organe dürfen Ihre Personendaten nur bearbeiten, wenn eine rechtliche Bestimmung dies erlaubt.
Öffentliche Organe dürfen Ihre Personendaten nur bearbeiten, wenn dies zur Erfüllung der gesetzlichen Aufgaben geeignet und erforderlich ist. Das bedeutet, dass ein öffentliches Organ Personendaten nicht einfach bearbeiten darf, nur weil es gesetzlich erlaubt ist. Die Datenbearbeitung muss auch noch geeignet und nötig sein, um die Aufgaben zu erfüllen. Wenn die Aufgaben also erledigt werden können, ohne Ihre Personendaten zu bearbeiten, dann dürfen sie auch nicht bearbeitet werden.
Ihre Personendaten dürfen nur zu dem Zweck bearbeitet werden, zu dem sie erhoben worden sind. Zu einem anderen Zweck dürfen sie nur weiterverwendet werden, wenn eine rechtliche Bestimmung die neue Verwendung ausdrücklich vorsieht oder wenn Sie in den neuen Bearbeitungszweck eingewilligt haben.
Für Sie muss erkennbar sein, dass ein öffentliches Organ Daten über Sie beschafft und was der Zweck dieser Datenbearbeitung ist. Dies gilt als erfüllt, wenn die Beschaffung der Personendaten gesetzlich vorgesehen ist. Beschafft das öffentliche Organ besondere Daten über Sie, ist es verpflichtet, Sie über den Zweck dieser Datenbearbeitung zu informieren. Besondere Personendaten sind beispielsweise Gesundheitsdaten oder Daten über religiöse Aktivitäten.
Ein öffentliches Organ, das Personendaten über Sie bearbeitet, muss diese schützen. Dafür muss es angemessene organisatorische und technische Massnahmen ergreifen. Dies geschieht zum Beispiel dadurch, dass nur Personen Zugriff auf Daten haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Elektronische Informationen sind durch Passwörter, Verschlüsselung usw. zu schützen.
Ein öffentliches Organ darf Personendaten über Sie bekannt geben, wenn
Das öffentliche Organ darf nur die Personendaten bekannt geben, die für den Zweck geeignet und erforderlich sind. Es darf also nicht mehr Personendaten bekannt geben als absolut notwendig.
Das öffentliche Organ muss vor jeder Datenweitergabe prüfen, ob eine andere rechtliche Bestimmung oder ein überwiegendes öffentliches oder privates Interesse dagegen spricht. Dann muss es die Bekanntgabe der Daten ganz oder teilweise verweigern oder aufschieben.
Eine solche rechtliche Bestimmung ist beispielsweise die Schweigepflicht. Ein öffentliches Interesse liegt zum Beispiel vor, wenn die Wirkung von Untersuchungs-, Sicherheits- oder Aufsichtsmassnahmen gefährdet wäre. Ein privates Interesse liegt vor, wenn die Auskunft andere Personen in ihrer Privatsphäre beeinträchtigt.