Navigation
GDPR > Art铆culo聽30. Registro de las actividades de tratamiento
Download PDF

Art铆culo聽30 RGPD. Registro de las actividades de tratamiento

1. Cada responsable y, en su caso, su representante llevar谩n un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deber谩 contener toda la informaci贸n indicada a continuaci贸n:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protecci贸n de datos;

b) los fines del tratamiento;

c) una descripci贸n de las categor铆as de interesados y de las categor铆as de datos personales;

d) las categor铆as de destinatarios a quienes se comunicaron o comunicar谩n los datos personales, incluidos los destinatarios en terceros pa铆ses u organizaciones internacionales;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 30(1)(d) GDPR:

7.5.4 Records of PII disclosure to third parties

Control

The organization should record disclosures of PII to third parties, including what PII has been disclosed, to whom and at what time.

Implementation guidance

PII can be disclosed during the course of normal operations.

(EN) [鈥


to read the full text

e) en su caso, las transferencias de datos personales a un tercer pa铆s o una organizaci贸n internacional, incluida la identificaci贸n de dicho tercer pa铆s u organizaci贸n internacional y, en el caso de las transferencias indicadas en el art铆culo聽49, apartado聽1, p谩rrafo segundo, la documentaci贸n de garant铆as adecuadas;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 30(1)(e) GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) [鈥


to read the full text

Sammenk忙dede tekster

f) cuando sea posible, los plazos previstos para la supresi贸n de las diferentes categor铆as de datos;

ISO 27701

(EN) 8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner.

(EN) [鈥


to read the full text

g) cuando sea posible, una descripci贸n general de las medidas t茅cnicas y organizativas de seguridad a que se refiere el art铆culo聽32, apartado聽1.

Sammenk忙dede tekster

2. Cada encargado y, en su caso, el representante del encargado, llevar谩 un registro de todas las categor铆as de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual act煤e el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protecci贸n de datos;

b) las categor铆as de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer pa铆s u organizaci贸n internacional, incluida la identificaci贸n de dicho tercer pa铆s u organizaci贸n internacional y, en el caso de las transferencias indicadas en el art铆culo聽49, apartado聽1, p谩rrafo segundo, la documentaci贸n de garant铆as adecuadas;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 30(2)(c) GDPR:

8.5.2 Countries and international organizations to which PII can be transferred

Control

The organization should specify and document the countries and international organizations to which PII can possibly be transferred.

Implementation guidance

The identities of the countries and international organizations to which PII can possibly be transferred in normal operations should be made available to customers.

(EN) [鈥


to read the full text

d) cuando sea posible, una descripci贸n general de las medidas t茅cnicas y organizativas de seguridad a que se refiere el art铆culo聽30, apartado聽1.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).

(EN) [鈥


to read the full text

Sammenk忙dede tekster

3. Los registros a que se refieren los apartados聽1 y聽2 constar谩n por escrito, inclusive en formato electr贸nico.

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondr谩n el registro a disposici贸n de la autoridad de control que lo solicite.

5. Las obligaciones indicadas en los apartados聽1 y聽2 no se aplicar谩n a ninguna empresa ni organizaci贸n que emplee a menos de聽250聽personas, a menos que el tratamiento que realice pueda entra帽ar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categor铆as especiales de datos personales indicadas en el art铆culo聽9, apartado聽1, o datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10.

Retningslinjer & Case Law Sammenk忙dede tekster
Ekspertkommentar ISO 27701 Betragtning Retningslinjer & Case Law Efterlad en kommentar
Ekspertkommentar

(EN) Article 30 is pretty straightforward and gives us very direct instructions on what document has to be created and what information has to be in it. Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn鈥檛 scale well, there are also specialised software solutions for Register of Processing Activities.聽

(EN) [鈥


to read the full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 30 GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs. Such an inventory can include:

 

(EN) [鈥


to read the full text

Betragtning

(13) Para garantizar un nivel coherente de protecci贸n de las personas f铆sicas en toda la Uni贸n y evitar divergencias que dificulten la libre circulaci贸n de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jur铆dica y transparencia a los operadores econ贸micos, incluidas las microempresas y las peque帽as y medianas empresas, y ofrezca a las personas f铆sicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisi贸n coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, as铆 como la cooperaci贸n efectiva entre las autoridades de control de los diferentes Estados miembros. El buen funcionamiento del mercado interior exige que la libre circulaci贸n de los datos personales en la Uni贸n no sea restringida ni prohibida por motivos relacionados con la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales. Con objeto de tener en cuenta la situaci贸n espec铆fica de las microempresas y las peque帽as y medianas empresas, el presente Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados. Adem谩s, alienta a las instituciones y 贸rganos de la Uni贸n y a los Estados miembros y a sus autoridades de control a tener en cuenta las necesidades espec铆ficas de las microempresas y las peque帽as y medianas empresas en la aplicaci贸n del presente Reglamento. El concepto de microempresas y peque帽as y medianas empresas debe extraerse del art铆culo 2 del anexo de la Recomendaci贸n 2003/361/CE de la Comisi贸n [5].

[5] Recomendaci贸n de la Comisi贸n de 6 de mayo de 2003 sobre la definici贸n de microempresas, peque帽as y medianas empresas [C(2003) 1422] (DO L 124 de 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC

(39) Todo tratamiento de datos personales debe ser l铆cito y leal. Para las personas f铆sicas debe quedar totalmente claro que se est谩n recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, as铆 como la medida en que dichos datos son o ser谩n tratados. El principio de transparencia exige que toda informaci贸n y comunicaci贸n relativa al tratamiento de dichos datos sea f谩cilmente accesible y f谩cil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la informaci贸n de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la informaci贸n a帽adida para garantizar un tratamiento leal y transparente con respecto a las personas f铆sicas afectadas y a su derecho a obtener confirmaci贸n y comunicaci贸n de los datos personales que les conciernan que sean objeto de tratamiento. Las personas f铆sicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales as铆 como del modo de hacer valer sus derechos en relaci贸n con el tratamiento. En particular, los fines espec铆ficos del tratamiento de los datos personales deben ser expl铆citos y leg铆timos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un m铆nimo estricto su plazo de conservaci贸n. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan m谩s tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresi贸n o revisi贸n peri贸dica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

(82) Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados est谩n obligados a cooperar con la autoridad de control y a poner a su disposici贸n, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

Retningslinjer & Case Law Efterlad en kommentar
[js-disqus]