Cada responsável pelo tratamento ou subcontratante que efetue tratamento de dados, de acordo com o Artigo 30º torna-se obrigado a manter e conservar um registo de todas as atividades de tratamento que efetuem sob a sua responsabilidade.
É aconselhável descrever um conjunto específico de informações devidamente definido que identifique cada tratamento de dados, designadamente:
– Tipo de dados recolhidos;
– Finalidades de cada tratamento;
– Categorias de dados tratadas;
– Transmissão de dados para países terceiros;
– Período de conservação dos dados;
– Onde os dados estão armazenados;
– Contactos do responsável pelo tratamento;
Pode-se assim deferir, por exemplo, a tabela com seguinte informação:
É igualmente exigido, a cada subcontratante, a conservação de um registo com todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento.
No caso do tratamento de dados pessoais a crianças que tenham menos de 16 anos, o tratamento só é lícito desde que o consentimento seja dado ou autorizado pelos titulares parentais da criança, referido no Artigo 8º, n.1º.
De forma a ser realizada a verificação de conformidade, a Autoridade de Controlo pode solicitar, a qualquer momento, ao responsável pelo tratamento a disponibilização dos registos das Atividades de Tratamento.
