Evidencija ličnih podataka je svaki struktuirani skup ličnih podataka koji je dostupan prema posebnom kriterijimu, bilo centralizovan, decentralizovan ili podeljen na funkcionalnom ili geografskom osnovu i bez obzira na to da li je sadržan u računskim bazama ličnih podataka ili se vodi primenom drugih tehničkih sredstava ili ručno.

Rukovodioci obrade ličnih podataka kao i neposredni izvršioci obrade ličnih  podataka, imaju obavezu da vode evidenciju toka aktivnosti obrade pod uslovima iz čl. 30, opšte uredbe o zaštiti podataka. Opšta uredba ne propisuje poseban obrazac evidencije aktivnosti obrade. Evidencija aktivnosti obrade pomaže u praćenju usklađenosti  sa Opštom uredbom o zaštiti podataka te mora da bude u pisanom obliku, uključujući i elektronski oblik. Evidencija aktivnosti obrade ne dostavlja se nadzornom telu (Agenciji za zaštitu lićnih podataka), već se daje kontrolnom telu na uvid prilikom obavljanja kontrolnih aktivnosti.

Ta evidencija sadržava  sledeće informacije:

  • Ime, prezime i kontaktne podatke rukovodioca obrade i, ako je primenljivo, zajedničkog rukovodioca obrade, predstavnika rukovodioca obrade i službenika za zaštitu podataka;
  • svrhe obrade;
  • opis kategorija učesnika i kategorija ličnih podataka;
  • kategorije učesnika kojima su lični podaci otkriveni ili će im biti otkriveni, uključujući učesnike u trećim zemljama ili međunarodnim organizacijama;
  • ako je primenljivo, prenos ličnih podataka u treću zemlju ili međunarodnu organizaciju
  • ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
  • ako je moguće, opšti opis tehničkih i organizacionih sigurnosnih mera

Svaki rukovodilac obrade i predstavnik izvršioca obrade, ako je primenljivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za rukovodioca obrade, koja sadržava:

  • ime,prezime i kontaktne podatke jednog ili više izvršioca obrade i svakog rukovodioca obrade u čije ime izvršioc obrade deluje te, ako je primenljivo, predstavnika rukovodioca obrade ili izvršioca obrade te službenika za zaštitu podataka;
  • kategorije obrade koje se obavljaju u ime svakog rukovodioca obrade;
  • ako je primenljivo, prenos ličnih podataka u treću zemlju ili međunarodnu organizaciju
  • dokumentaciju o odgovarajućim zaštitnim merama;
  • ako je moguće, opšti opis tehničkih i organizacionih sigurnosnih mera