Orientations en matière de protection des données – Question 7
Comment préparer un registre des activités de traitement des données?
S’applique au scénario 2 [le/la représentant(e) agit en tant que responsable unique du traitement des données], sauf en ce qui concerne l’utilisation du service d’échange de fichiers de la Commission.
La tenue du registre est une obligation légale, en particulier en cas de traitement de données sensibles.
Un registre des activités de traitement est un document écrit, qui doit notamment comprendre:
- le nom et les coordonnées du responsable du traitement des données, ainsi que du délégué à la protection des données, le cas échéant;
- les catégories de personnes concernées et les catégories de données à caractère personnel traitées;
- les finalités du traitement et les références de l’initiative concernée;
- les destinataires des données à caractère personnel, c’est-à-dire les personnes auxquelles les données ont été ou seront communiquées (ici: uniquement les autorités nationales compétentes chargées de la vérification et de la certification des déclarations de soutien);
- les dates et les moyens de ces transferts;
- les délais prévus pour l’effacement des données;
- une description générale des mesures de sécurité techniques et organisationnelles telles que le chiffrement, les moyens permettant de rétablir les données et de tester l’efficacité des procédures, les mesures garantissant la confidentialité, l’intégrité, la disponibilité, la résilience et la sécurité physique (voir les questions sur la sécurité dans le cadre de la collecte sur papier et de la présentation aux États membres des déclarations de soutien pour vérification).
IMPORTANT:
Vous ne devez pas produire de registre distinct couvrant les opérations de traitement réalisées dans le cadre de la responsabilité conjointe du traitement avec la Commission, car celles-ci sont déjà couvertes par le registre des activités de traitement établi par la Commission (voir le scénario 1) et l’utilisation du service d’échange de fichiers de la Commission (dans le scénario 2). Vous devez fournir un lien vers le registre de la Commission dans votre documentation/sur votre site web.
Références: