De AVG regelt in artikel 30 het “register van de verwerkingsactiviteiten” en legt vast dat de verwerkingsverantwoordelijke en de verwerker de verwerkingsactiviteiten die worden uitgevoerd onder zijn verantwoordelijkheid moeten registreren.
Het register is een document met inventaris en analysedoeleinden, die de realiteit van de verwerking van uw persoonsgegevens moet weerspiegelen. Dat register bevat alle volgende gegevens:
- De naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
- De verwerkingsdoeleinden;
- Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens (bijvoorbeeld: identiteit, familie, economische en financiële situatie, bankgegevens, verbindingsgegevens, lokalisatiegegevens, etc.);
- De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
- Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie;
- Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
- Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
De verplichting om een register van de verwerkingsactiviteiten te bewaren heeft betrekking op alle entiteiten, zowel publiek als privaat, ongeacht hun grootte, mits ze persoonsgegevens verwerken. Het register moet worden gehouden door de verwerkingsverantwoordelijke of de verwerker zelf.
In het geval van verwerkers vraagt de AVG niet enkel meer verantwoordelijkheid voor de verwerkingsverantwoordelijke, maar ook voor de betrokken verwerkers. Daarom is deze verplichting ook van toepassing op verwerkers. Elke verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit houdt in:
- De naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
- De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
- Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;
- Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.