Qui doit tenir un registre ?

Le responsable de traitement et les sous-traitants doivent tenir un registre des activités de traitement de données (art. 30.1. du RGPD). S’ils ne sont pas établis sur le territoire de l’Espace Economique Européen et que le RGPD leur est applicable, le responsable de traitement et le sous-traitant devront également tenir un Registre.

 


S’il est à la fois responsable de traitement et sous-traitant, l’APD est d’avis que le responsable de traitement est libre d’établir le Registre comme il le souhaite, par exemple en prévoyant deux volets distincts dans son registre : l’un pour les traitements opérés en tant que responsable de traitement et l’autre pour ceux opérés en tant que sous-traitant ou en mentionnant par traitement identifié si celui-ci est opéré en tant que responsable de traitement ou sous-traitant.