GDPR zahtijeva od svih tvrtki koje na značajnoj bazi obrađuju osobne podatke ili obrađuju osjetljive osobne podatke u bilo kojem obliku da o tim aktivnostima vode evidenciju.
Ne postoje fiksna pravila vezana uz sam izgled ili oblik zapisa, no propisano je da moraju sadržavati barem sljedeće:
- Kontaktne podatke predstavnika unutar tvrtke
- Svrhu obrate, temeljito objašnjenu
- Kategorije ispitanika i kategorije osobnih podataka
- Posebne kategorije osobnih podataka, ako postoje
- Podatke o prijenosu podataka u treće zemlje i dokumentaciju o zaštitnim mjerama
- Rokove za brisanje podataka
- Pregled sigurnosnih tehničkih i organizacijskih mjera
- Dodatne podatke, ako se smatraju potrebnima
Tvrtke s manje od 250 zaposlenika izuzete su od većine obveza za vođenje evidencije. Saznajte više ovdje.