Fiecare entitate care prelucrează date personale și, după caz, reprezentantul acesteia, trebuie să păstreze o evidență a tuturor activităților de prelucrare desfășurate sub responsabilitatea lor.
Registrul activităților de prelucrare se poate redacta atât în format material, cât și electronic, cu respectarea conținutului imperativ prevăzut de GDPR.
Registrul trebuie să evidențieze toate tipurile de activități de prelucrare a datelor personale desfășurate de organizație, iar pentru fiecare tip de activitate trebuie completată o filă specială de registru.
Evidența activităților de prelucrare permite astfel operatorului să aibă o viziune de ansamblu a tipurilor de prelucrări efectuate, a persoanelor vizate, a categoriilor de date prelucrate, a scopurilor prelucrărilor, a duratei de conservare și a măsurilor de securitate implementate.
Plecând de la datele din registrul activităților de prelucrare, operatorul poate identifica riscurile pentru drepturile și libertățile persoanelor fizice și decide elaborarea unei evaluări a impactului asupra protecției datelor sau implementarea unor măsuri de securitate suplimentare.
În plus, registrul permite operatorului să analizeze dacă datele prelucrate corespund scopului declarat în momentul colectării, dacă este respectat principiul limitării datelor și a duratei de prelucrare și dacă măsurile de securitate sunt adecvate.
