Перейти до змісту

ГЛАВА IV. Контролер і оператор

Секція 1. Загальні обов'язки

Стаття 30. Записи опрацювання даних

  1. Кожний контролер і, за необхідності, представник контролера повинні вести запис опрацювання даних, що належать до його сфери відповідальності. Такий запис повинен містити всю інформацію про:
    1. особу та контактні дані контролера та, за необхідності, об'єднаного контролера, представника контролера та співробітника з питань захисту даних;
    2. цілі цього Регламенту;
    3. опис категорій суб'єктів даних і категорій персональних даних;
    4. категорії одержувачів, яким персональні дані були або будуть розкриті, в тому числі одержувачі в третіх країнах або міжнародні організації;
    5. за необхідності, передавання персональних даних третій країні або міжнародній організації, в тому числі, ідентифікацію такої третьої країни чи міжнародної організації та, в разі актів передавання, вказаних у другому підпараграфі статті 49(1), документацію відповідних гарантій;
    6. за можливості, - передбачені часові обмеження для стирання різних категорій даних;
    7. за можливості, - загальний опис технічних і організаційних заходів безпеки, вказаних у статті 32(1).
  2. Кожний оператор і, за необхідності, представник оператора повинні вести запис усіх категорій опрацювання, які здійснюють від імені контролера, що містить інформацію про:
    1. особу та контактні дані оператора чи операторів та кожного контролера, від імені якого діє оператор, та, за необхідності, представника контролера або представника оператора та співробітника з питань захисту даних;
    2. категорії опрацювання, що здійснюють від імені кожного контролера;
    3. за необхідності, передавання персональних даних третій країні або міжнародній організації, в тому числі, ідентифікацію такої третьої країни чи міжнародної організації та, в разі актів передавання, вказаних у другому підпараграфі статті 49(1), документацію відповідних гарантій;
    4. за можливості, - загальний опис технічних і організаційних заходів безпеки, вказаних у статті 32(1).
  3. Записи, вказані в параграфах 1 і 2, повинні бути оформлені в письмовій формі, в тому числі, - в електронній.
  4. Контролер або оператор і, за необхідності, представник контролера або оператора, повинні надавати запис на запит наглядового органу.
  5. Обов'язки, вказані в параграфах 1 і 2, не можна застосовувати до підприємства чи організації з кількістю працівників, меншою за 250 осіб, за винятком, якщо здійснюване опрацювання може призвести до виникнення ризику для прав і свобод суб'єктів даних, призначене для окремого випадку, або якщо опрацювання передбачає спеціальні категорії даних, як зазначено в статті 9(1), або персональні дані про судимості і кримінальні злочини, вказані в статті 10.