Art. 36 [Ewidencjonowanie operacji przetwarzania w systemach zautomatyzowanych; Udostępnianie ewidencji czynności przetwarzania Prezesowi Urzędu]

1. Operacje przetwarzania prowadzone w zautomatyzowanych systemach przetwarzania są ewidencjonowane.

2. Ewidencjonowaniu podlegają operacje przetwarzania, w szczególności:

1) zbieranie;

2) modyfikowanie;

3) przeglądanie;

4) ujawnianie wraz z przekazywaniem;

5) łączenie;

6) usuwanie.

3. Ewidencja jest prowadzona automatycznie, w sposób pozwalający ustalić zasadność operacji w oparciu o informacje wskazujące:

1) datę i godzinę operacji;

2) tożsamość osoby, która przeglądała lub ujawniła dane osobowe – w miarę możliwości;

3) tożsamość odbiorców danych osobowych – w miarę możliwości.

4. W ewidencji, która nie jest prowadzona w sposób automatyczny, dodatkowo zamieszcza się informację uzasadniającą zasadność operacji.

5. Ewidencje obejmujące czynności przetwarzania są przeznaczone wyłącznie:

1) do weryfikacji zgodności przetwarzania z prawem;

2) do monitorowania własnej działalności;

3) dla zapewnienia integralności i bezpieczeństwa danych osobowych;

4) na potrzeby postępowania karnego.

6. Administrator i podmiot przetwarzający udostępniają ewidencje obejmujące czynności przetwarzania Prezesowi Urzędu na jego żądanie.