A GDPR 30. cikk rendelkezése alapján minden adatkezelő nyilvántartást kell, hogy vezessen az adatkezelési tevékenységeiről. (Tartalmaz ugyan kivételeket a rendelet, de a kivételek kivételei miatt végül nem igazán marad olyan adatkezelő, aki ténylegesen mentesülhetne a nyilvántartás vezetésének kötelezettsége alól.)
A nyilvántartást írásban kell vezetni, ebbe beletartozik az elektronikus forma is. Léteznek erre kifejlesztett szoftverek, de a legtöbb esetben a célnak egy excel tábla is tökéletesen megfelel.
Legalább a következő információkat tartalmaznia kell a nyilvántartásnak:
- az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
- az adatkezelés céljai;
- az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
- olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
- a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk;
- ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
- ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.
Egy jól elkészített és naprakészen tartott adatkezelési nyilvántartás kiinduló alapja lehet minden további dokumentumnak: pl. az adatkezelési tájékoztatóknak, hozzájáruló nyilatkozatoknak.
Az adatkezelési nyilatkozatot nem kell közzétenni, de az adatvédelmi hatóság megkeresése esetén annak rendelkezésére kell bocsátani.