1. Les États membres prévoient que les responsables du traitement tiennent un registre de toutes les catégories d'activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
a) |
le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement et du délégué à la protection des données; |
b) |
les finalités du traitement; |
c) |
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; |
d) |
une description des catégories de personnes concernées et des catégories de données à caractère personnel; |
e) |
le cas échéant, le recours au profilage; |
f) |
le cas échéant, les catégories de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale; |
g) |
une indication de la base juridique de l'opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées; |
h) |
dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données à caractère personnel; |
i) |
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 29, paragraphe 1. |
2. Les États membres prévoient que chaque sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
a) |
le nom et les coordonnées du ou des sous-traitants, de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du délégué à la protection des données; |
b) |
les catégories de traitements effectués pour le compte de chaque responsable du traitement; |
c) |
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, lorsqu'il en est expressément chargé par le responsable du traitement, y compris l'identification de ce pays tiers ou de cette organisation internationale; |
d) |
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 29, paragraphe 1. |
3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite, y compris la forme électronique.
Le responsable du traitement et le sous-traitant mettent ces registres à la disposition de l'autorité de contrôle, sur demande.