1 Le responsable du traitement privé et son sous-traitant privé établissent un règlement pour les traitements automatisés en cas:
- de traitement de données sensibles à grande échelle, ou
- de profilage à risque élevé.
2 Le règlement comprend en particulier des informations sur l’organisation interne, sur les procédures de traitement et de contrôle des données, ainsi que sur les mesures visant à garantir la sécurité des données.
3 Le responsable du traitement privé et son sous-traitant privé actualisent régulièrement le règlement. S’ils ont nommé un conseiller à la protection des données, ils mettent le règlement à sa disposition.
