סעיף 30: תיעוד פעילויות עיבוד
1. כל אחד מהמעבדים וכן, לפני העניין, נציגי בעל השליטה, יחזיק תיעוד של פעילויות העיבוד שבאחריותו. תיעוד זה יכלול את כל המידע להלן:
- (א) השם ופרטי הקשר של בעל השליטה, ואם תקף של בעל השליטה המשותף, של נציג בעל השליטה ושל קצין הגנת המידע;
- (ב) מטרות העיבוד;
- (ג) תיאור קטגוריות נושאי המידע וקטגוריות המידע האישי;
- (ד) קטגוריות הנמענים להם גולה או יגולה המידע האישי, לרבות נמענים במדינות שלישיות או בארגונים בינלאומיים;
- (ה) לפי העניין, העברות מידע אישי למדינה שלישית או לארגון בינלאומי, לרבות זיהוי המדינה השלישית או הארגון הבינלאומי, ובמקרה של העברות הנזכרות בתת-הפסקה השנייה לסעיף 49(1), התיעוד של אמצעי הגנה הולמים;
- (ו) במידת האפשר, מגבלות הזמן הצפויות למחיקת קטגוריות המידע השונות;
- (ז) במידת האפשר, תיאור כללי של אמצעי האבטחה הטכניים והארגוניים הנזכרים בסעיף 32(1).
2. כל אחד מהמעבדים וכן, לפי העניין, נציגי בעל השליטה, יחזיק תיעוד של כל קטגוריות פעילויות העיבוד שבוצעו מטעם בעל שליטה. התיעוד יכלול את האמור להלן:
- (א) השם ופרטי הקשר של המעבד ושל כל בעל שליטה אשר מטעמו פועל המעבד, ולפי העניין של נציג בעל השליטה או המעבד, ושל קצין הגנת המידע;
- (ב) קטגוריות העיבוד המבוצע מטעם כל אחד מבעלי השליטה;
- (ג) לפי העניין, העברות מידע אישי למדינה שלישית או לארגון בינלאומי, לרבות זיהוי המדינה השלישית או הארגון הבינלאומי, ובמקרה של העברות הנזכרות בתת-הפסקה השנייה לסעיף 49(1), התיעוד של אמצעי הגנה הולמים;
- (ד) במידת האפשר, תיאור כללי של אמצעי האבטחה הטכניים והארגוניים הנזכרים בסעיף 32(1).
3. התיעודים הנזכרים בפסקאות 1 ו-2 ייערכו בכתב, לרבות בפורמט אלקטרוני
4. בעל השליטה או המעבד, ולפי העניין נציג בעל השליטה או המעבד, ינגישו את התיעוד לרשות הפיקוח לפי בקשתה.
5. החובות הנזכרות בפסקאות 1 ו-2 לא יחולו על עסק או על ארגון המעסיקים פחות מ-250 איש, אלא אם כן העיבוד המבוצע על ידם צפוי להוביל לסיכון לזכויות ולחירויות של נושאי מידע, אם העיבוד אינו אקראי, או אם העיבוד כולל קטגוריות מידע כנזכר בסעיף 9(1) או מידע אישי הנוגע להרשעות ולעבירות פליליות כנזכר בסעיף 10.
ניווט: