Законодавство Нідерландів

Стаття 30

чинна

Контролер та процесор

Загальний регламент захисту даних (GDPR) · Глава 4 · Редакція діє з None

Оригінал

1. Кожен контролер та, у відповідних випадках, представник контролера веде реєстр операцій з обробки даних, що здійснюються під їхньою відповідальністю. Цей реєстр містить усі нижченаведені відомості:

а) найменування та контактні дані контролера, а також будь-яких спільних контролерів, і, у відповідних випадках, представника контролера та особи, відповідальної за захист даних;

b) цілі обробки;

c) опис категорій суб’єктів даних та категорій персональних даних;

d) категорії одержувачів, яким персональні дані були або будуть розкриті, у тому числі одержувачі у третіх країнах або міжнародні організації;

е) у разі застосування — передачу персональних даних до третьої країни або міжнародної організації, включаючи зазначення цієї третьої країни або міжнародної організації, а у випадках передачі, передбачених статтею 49, частиною 1, другим абзацом — документи щодо належних гарантій;

f) якщо це можливо, передбачувані строки, протягом яких різні категорії даних мають бути видалені;

g) якщо це можливо, загальний опис технічних та організаційних заходів безпеки, зазначених у статті 32, пункт 1.

2. Обробник, а також, у відповідних випадках, представник обробника, веде реєстр усіх категорій діяльності з обробки, здійсненої ним від імені контролера. Цей реєстр містить такі дані:

а) найменування та контактні дані обробників, а також кожного контролера, від імені якого діє обробник, і, у відповідних випадках, представника контролера або обробника, а також відповідального за захист даних;

b) категорії операцій з обробки, що здійснюються за дорученням кожного контролера;

c) у разі застосування — передачу персональних даних до третьої країни або міжнародної організації із зазначенням такої третьої країни або міжнародної організації, а у випадках передачі, передбачених статтею 49, частиною 1, другим абзацом, — документи щодо належних гарантій;

d) якщо це можливо, загальний опис технічних та організаційних заходів безпеки, як це передбачено у статті 32, пункт 1.

3. Реєстр, зазначений у частинах 1 та 2, складається у письмовій формі, у тому числі в електронній формі.

4. На вимогу контролер або процесор, а також, у відповідних випадках, представник контролера або процесора, надають реєстр у розпорядження наглядового органу.

5. Зобов’язання, зазначені у частинах 1 та 2, не застосовуються до підприємств або організацій, у яких працює менше 250 осіб, за винятком випадків, коли ймовірно, що здійснювана ними обробка створює ризик для прав і свобод суб’єктів даних, обробка не є випадковою, або обробка стосується спеціальних категорій даних, як зазначено у статті 9, частина 1, чи персональних даних, пов’язаних із судимостями за кримінальні правопорушення та кримінальними правопорушеннями, як зазначено у статті 10.

1. Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

b) de verwerkingsdoeleinden;

c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

a) de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;

b) de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

3. Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.

4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.

5. De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.