Evidencija osobnih podataka je svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.

Voditelji obrade osobnih podataka kao i izvršitelji obrade osobnih podataka imaju obavezu voditi evidenciju aktivnosti obrade pod uvjetima iz čl. 30 Opće uredbe o zaštiti podataka. Opća uredba ne propisuje poseban obrazac evidencije aktivnosti obrade. Evidencija aktivnosti obrade pomaže u praćenju usklađenosti s Općom uredbom o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Evidencija aktivnosti obrade ne dostavlja se nadzornom tijelu (Agenciji za zaštitu osobnih podataka), već se daje nadzornom tijelu na uvid prilikom obavljanja nadzornih aktivnosti.

Ta evidencija sadržava sve sljedeće informacije:

  • ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditeljaobrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
  • svrhe obrade;
  • opis kategorija ispitanika i kategorija osobnih podataka;
  • kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
  • ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju;
  • ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
  • ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera.

Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

  • ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čijeime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
  • kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
  • ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju;
  • dokumentaciju o odgovarajućim zaštitnim mjerama;
  • ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera.