Toutes les institutions de l’UE ont l’obligation légale de tenir un registre central des activités de traitement de données à caractère personnel (article 31 du règlement 2018/1725).
Ce registre comporte au moins les informations suivantes (article 31, paragraphe 1 du règlement):
- le nom et les coordonnées du responsable du traitement, du délégué à la protection des données et, le cas échéant, du sous-traitant et du responsable conjoint du traitement;
- les finalités du traitement;
- une description des catégories de personnes concernées et des catégories de données à caractère personnel;
- les catégories de destinataires dont les données à caractère personnel ont été ou seront communiquées;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et les documents attestant de l’existence de garanties appropriées;
- dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visant à protéger ces données à caractère personnel.
La liste des activités de traitement des données à caractère personnel par le CEPD, ainsi que les liens vers le registre correspondant, est présentée ci-dessous.