Evidencija ličnih podataka je svaki strukturirani skup ličnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili prostornom temelju i bez obzira na to da li je sadržan u elektronskim bazama ličnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.

Voditelji obrade ličnih podataka kao i izvršitelji obrade ličnih podataka imaju obavezu voditi evidenciju aktivnosti obrade pod uvjetima iz čl. 30 Opće uredbe o zaštiti podataka. Opća uredba ne propisuje poseban obrazac evidencije aktivnosti obrade. Evidencija aktivnosti obrade pomaže u praćenju usklađenosti s Općom uredbom o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronski oblik. Evidencija aktivnosti obrade ne dostavlja se nadzornom tijelu (Agenciji za zaštitu ličnih podataka), već se daje nadzornom tijelu na uvid prilikom obavljanja nadzornih aktivnosti. 

Ta evidencija sadržava sve sljedeće informacije:

  • ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
  • svrhe obrade;
  • opis kategorija ispitanika i kategorija ličnih podataka;
  • kategorije primatelja kojima su lični podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
  • ako je primjenjivo, prijenose ličnih podataka u treću zemlju ili međunarodnu organizaciju
  • ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
  • ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera

Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

  • ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
  • kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
  • ako je primjenjivo, prijenos ličnih podataka u treću zemlju ili međunarodnu organizaciju
  • dokumentaciju o odgovarajućim zaštitnim mjerama;
  • ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera