Fiecare operator sau persoană împuternicită trebuie să păstreaze, atât în scris cât și în format electronic, o evidență a activităților de prelucrare. Această evidență trebuie să cuprindă toate informațiile prevăzute la art. 30 alin. (1) din Regulamentul General de Protecție a Datelor 2016/679.
Alegerea modalităților de a păstra evidența prelucrărilor de date rămâne la latitudinea operatorilor, ținând cont de activitatea desfășurată până în prezent în domeniul datelor cu caracter personal.
Evidența prelucrării cuprinde toate următoarele informații:
- numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
- scopurile prelucrării;
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).
