Член 30

Регистри на дейностите по обработване

  • Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:
    • a) името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;
    • б) целите на обработването;
    • в) описание на категориите субекти на данни и на категориите лични данни;
    • г) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
    • д) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;
    • е) когато е възможно, предвидените срокове за изтриване на различните категории данни;
    • ж) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.
  • Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:
    • a) името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;
    • б) категориите обработване, извършвано от името на всеки администратор;
    • в) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;
    • г) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.
  • Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.
  • При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.
  • Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.