1. Каждый контроллер и, в соответствующем случае, представитель контроллера регистрирует совершаемые действия по обработке, находящиеся в его подчинении. Указанный регистр содержит всю следующую информацию:
- имя и фамилию или название и контактную информацию контроллера и, в соответствующем случае, всех совместных контроллеров, представителя контроллера и специалиста по защите персональных данных;
- цели обработки;
- описание категорий субъектов данных и категорий персональных данных;
- те категории получателей, которым были или будут разглашены персональные данные, в том числе получатели в третьих странах или международных организациях;
- в соответствующем случае, информацию об отправке персональных данных третьей стране или международной организации, включая идентификацию третьей страны или международной организации, и, в случае отправки, указанной во второй части пункта 1 статьи 49, – документацию на соответствующие гарантии;
- при возможности, – предусмотренные сроки для уничтожения различных категорий данных;
- при возможности, – общее описание технических и организационных мер безопасности, указанных в пункте 1 статьи 32.
2. Каждый процессор, и, в соответствующем случае, представитель процессора поддерживают весь регистр категорий действий по обработке, совершённых от имени контроллера, включая следующую информацию:
- имена и фамилии или названия и контактную информацию процессора или процессоров и имя и фамилию или название и контактную информацию каждого его контроллера, от имени которого действует процессор, и, в соответствующем случае, имя и фамилию или название и контактную информацию контроллера или представителя процессора и специалиста по защите данных;
- категории обработки, осуществляемой от имени каждого контроллера;
- в соответствующем случае, информацию об отправке персональных данных третьей стране или международной организации, включая идентификацию третьей страны или международной организации, и в случае отправки, указанной во второй части пункта 1 статьи 49, – документацию на соответствующие гарантии;
- при возможности, общее описание технических и организационных мер безопасности, указанных в пункте 1 статьи 32.
3. Указанную в пункте 1 и 2 регистрацию проводят письменном виде, в том числе в электронном формате.
4. Контроллер или процессор, и, в соответствующем случае, их представитель контроллера или процессора, по требованию обеспечивает доступность к регистру надзорному учреждению.
5. Обязанности, указанные в пунктах 1 и 2, не применяются в отношении предприятия или организации, на которых занято менее 250 человек, за исключением, когда осуществляемая их обработка может создать риск для прав и свобод субъектов данных, обработка не носит нерегулярный характер или включает в себя особые категории данных, указанных в статье 9, или персональные данные о наказуемости и нарушениях, упомянутых в Cтатье 10.