Każdy administrator prowadzi i jest odpowiedzialny za rejestr kategorii czynności przetwarzania danych osobowych.
W rejestrze czynności przetwarzania danych osobowych zamieszcza się następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych
- cele przetwarzania
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków
Obowiązek udostępnienia rejestru
Administrator lub podmiot przetwarzający oraz przedstawiciel administratora lub podmiotu przetwarzającego (jeżeli istnieje) mają obowiązek udostępnić rejestr na każde żądanie organu nadzorczego. Organ nadzorczy dokonuje kontroli tych rejestrów w celu monitorowania operacji przetwarzania.
Wyłączone z obowiązku prowadzenia rejestru są podmioty zatrudniające mniej niż 250 osób. Wyłączenie to nie ma zastosowania jeżeli przetwarzanie, którego dokonują:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego
- obejmuje szczególne dane wrażliwe, genetyczne lub biometryczne lub
- obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa