- Каждый контроллер и, где это применимо, представитель контроллера должен вести учет действий по обработке, находящихся в его ведении. Эта запись должна содержать всю следующую информацию:
- (a) имя и контактные данные контролера и, если применимо, совместного контролера, представителя контролера и ответственного за защиту данных;
- (b) цели обработки;
- (c) описание категорий субъектов данных и категорий персональных данных;
- (d) категории получателей, которым персональные данные были или будут раскрыты, включая получателей в третьих странах или международных организациях;
- (e) где это применимо, передачи персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передачи, упомянутой во втором подпараграфе Статьи 49(1), документальное подтверждение соответствующих гарантий;
- (f) где это возможно, предусмотренные сроки стирания различных категорий данных;
- (g) где это возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).
- Каждый обработчик и, где это применимо, представитель обработчика должен вести учет всех категорий действий по обработке, выполняемых от имени контроллера, содержащий:
- (a) имя и контактные данные обработчика или обработчиков, а также каждого контролера, от имени которого действует обработчик, и, если применимо, представителя контролера или обработчика, а также ответственного за защиту данных;
- (b) категории обработки, выполняемые от имени каждого контроллера;
- (c) где это применимо, передачи персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передачи, упомянутой во втором подпараграфе Статьи 49(1), документацию о соответствующих гарантиях;
- (d) где это возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).
- Записи, упомянутые в параграфах 1 и 2, должны быть в письменном виде, в том числе в электронной форме.
- Контроллер или процессор и, если применимо, представитель контроллера или процессора должны предоставить запись контролирующему органу по запросу.
- Обязательства, упомянутые в параграфах 1 и 2, не распространяются на предприятие или организацию, в которой работает менее 250 человек, за исключением случаев, когда осуществляемая ими обработка может привести к риску для прав и свобод субъектов данных, обработка не является эпизодической, или обработка включает специальные категории данных, упомянутые в Статье 9(1), или персональные данные, относящиеся к судимостям и преступлениям, упомянутым в Статье 10.
Статья 30