1.
Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:
a)
името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;
б)
целите на обработването;
в)
описание на категориите субекти на данни и на категориите лични данни;
г)
категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
д)
когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;
е)
когато е възможно, предвидените срокове за изтриване на различните категории данни;
ж)
когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.
2.
Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:
a)
името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;
б)
категориите обработване, извършвано от името на всеки администратор;
в)
когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;
г)
когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.
3.
Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.
4.
При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.
5.
Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.