Bearbeitungs-Reglement
Der Verantwortliche und dessen Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:
- besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
- ein Profiling mit hohem Risiko durchführen.
Das Reglement muss folgende Angaben enthalten:
- interne Organisation;
- Daten- und Kontrollverfahren;
- Massnahmen zur Gewährleistung der Datensicherheit.
Das Bearbeitungsreglement ist als Dokumentation oder Handbuch zu gestalten.
Das Reglement muss regelmässig aktualisiert und der Datenschutzberaterin oder dem Datenschutzberater zur Verfügung gestellt werden.