De um modo geral, todas as organizações devem manter um registo das suas atividades de tratamento. Este é um inventário de todas as operações de tratamento e pode ajudá-lo a comprrender melhor as suas responsabilidades ao abrigo do RGPD e possíveis riscos.

Cada uma destas operações de tratamento deve ser descrita no registo com as seguintes informações:

• a finalidade do tratamento (por exemplo, fidelização do cliente);
• as categorias de dados tratados (por exemplo, para a folha de pagamento: nome, nome próprio, data de nascimento, salário, etc.);
• quem tem acesso aos dados (os destinatários — por exemplo: o serviço responsável pelo recrutamento, o serviço informático, a gestão, os prestadores de serviços, os parceiros, etc.);
• quando aplicável, informações relacionadas com transferências de dados pessoais para fora do Espaço Económico Europeu (EEE),
• sempre que possível, o período de conservação (período durante o qual os dados são úteis do ponto de vista operacional e do ponto de vista arquivístico).
• sempre que possível, uma descrição geral das medidas de segurança.

O registo das atividades de tratamento é da responsabilidade do gestor da sua organização.

Este registo deve estar disponível para a autoridade de proteção de dados do país do EEE onde opera, se solicitado.

Não é necessário que as organizações que empregam menos de 250 pessoas mencionem atividades puramente ocasionais no seu registo (por exemplo, dados tratados para eventos pontuais, como a abertura de uma loja).

Mais informações:

• Estar em conformidade