Madde 30 - İşleme faaliyetlerinin kayıtları

  1. Her kontrolör ve, uygun olduğu hallerde, kontrolörün temsilcisi kendi sorumluluğu altındaki işleme faaliyetlerine ilişkin bir kayıt tutar. Bu kayıt aşağıdaki bilgilerin tamamını ihtiva eder:
    1. kontrolör ve, uygun olduğu hallerde, ortak kontrolör, kontrolörün temsilcisi ve veri koruma görevlisinin isim ve irtibat bilgileri;
    2. işleme amaçları;
    3. veri sahibi kategorileri ve kişisel veri kategorileriyle ilgili bir açıklama;
    4. üçüncü ülkeler veya uluslararası kuruluşlardaki alıcılar da dahil olmak üzere, kişisel verilerin açıklandığı veya açıklanacağı alıcı kategorileri;
    5. uygun olduğu hallerde, üçüncü bir ülke veya uluslararası bir kuruluşun tanımlanması ve, 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun güvencelere ilişkin belgelendirme de dahil olmak üzere, söz konusu üçüncü ülke veya uluslararası kuruluşa yönelik kişisel veri aktarımları;
    6. mümkün olması halinde, farklı kategorilerdeki verilerin silinmesiyle ilgili öngörülen süre sınırları;
    7. mümkün olması halinde, 32(1) maddesinde atıfta bulunulan teknik ve düzenlemeye ilişkin güvenlik tedbirlerine yönelik genel bir açıklama.
  2. Her işleyici ve, uygun olduğu hallerde, işleyicinin temsilcisi bir kontrolör adına gerçekleştirilen tüm kategorilerdeki işleme faaliyetlerine ilişkin olarak aşağıdakileri ihtiva eden bir kayıt tutar:
    1. işleyici veya işleyiciler ile işleyicinin adına hareket ettiği her kontrolörün ve, uygun olduğu hallerde, kontrolör ya da işleyicinin temsilcisi ve veri koruma görevlisinin isim ve irtibat bilgileri;
    2. her işleyici adına gerçekleştirilen işleme kategorileri;
    3. uygun olduğu hallerde, üçüncü bir ülke veya uluslararası bir kuruluşun tanımlanması ve, 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun güvencelere ilişkin belgelendirme de dahil olmak üzere, söz konusu üçüncü ülke veya uluslararası kuruluşa yönelik kişisel veri aktarımları;
    4. mümkün olması halinde, 32(1) maddesinde atıfta bulunulan teknik ve düzenlemeye ilişkin güvenlik tedbirlerine yönelik genel bir açıklama.
  3. 1 ve 2. paragraflarda atıfta bulunulan kayıtlar elektronik format da dahil olmak üzere yazılı olarak tutulur.
  4. Kontrolör ve işleyici ile, uygun olduğu hallerde, kontrolörün veya işleyicinin temsilcisi, talep üzerine, kayıtları denetim makamına sağlar.
  5. Gerçekleştirdiği işleme faaliyetinin veri sahiplerinin hakları ve özgürlükleri açısından bir riske sebebiyet vermesinin muhtemel olmaması, işleme faaliyetinin nadiren gerçekleştirilmemesi veya işleme faaliyetinin 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verileri yad a 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verileri kapsamaması durumunda, 1 ve 2. paragraflarda atıfta bulunulan yükümlülükler 250’den az kişi istihdam eden bir işletme veya kuruluşa uygulanmaz.