Registrar i publicar les activitats de tractament

Només s’exclouen d’aquesta obligació les entitats de menys de 250 treballadors que duen a terme tractaments sense risc per als drets i les llibertats de les persones, o amb un risc ocasional, sempre que no tractin categories especials de dades o dades personals relatives a condemnes i infraccions penals.

Les entitats del sector públic, responsables i encarregades del tractament, han de fer públic un inventari de les seves activitats del tractament accessible per mitjans electrònics, on s’indiqui:

• Nom i dades de contacte del responsable i, si escau, del corresponsable, així com del delegat de protecció de dades, si n’hi ha.
• Finalitats del tractament.
• Base jurídica del tractament.
• Descripció de categories de persones interessades i categories de dades personals tractades.
• Categories de destinataris.
• Transferències internacionals de dades.
• Quan sigui possible, els terminis previstos per suprimir les dades.
• Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

Com s’ha d’organitzar el registre d’operacions de tractament?

El registre es pot organitzar al voltant d’operacions de tractament concretes, vinculades a una finalitat bàsica comuna de totes elles (per exemple, de gestió de clients, de gestió comptable o de gestió de recursos humans i nòmines), o bé d’acord amb altres criteris diferents.