1. De lidstaten schrijven voor dat verwerkingsverantwoordelijken een register bijhouden van alle categorieën van onder hun verantwoordelijkheid vallende verwerkingsactiviteiten. Dat register bevat alle volgende gegevens:
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke, van de eventuele gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, met inbegrip van ontvangers in derde landen of internationale organisaties;
d) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
e) in voorkomend geval het gebruik van profilering;
f) in voorkomend geval de categorieën van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
g) een aanwijzing betreffende de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de persoonsgegevens bestemd zijn;
h) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden gewist;
i) indien mogelijk, een algemene beschrijving van de in artikel 29, lid 1, bedoelde technische en organisatorische beveiligingsmaatregelen.
2. De lidstaten schrijven voor dat elke verwerker een register bijhoudt van alle categorieën van verwerkingsactiviteiten die hij namens een verwerkingsverantwoordelijke heeft verricht; dat register bevat de volgende gegevens:
a) de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming;
b) de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie indien daartoe door de verwerkingsverantwoordelijke uitdrukkelijke instructies zijn gegeven, met inbegrip van de vermelding van dat derde land of die internationale organisatie;
d) indien mogelijk, een algemene beschrijving van de in artikel 29, lid 1, bedoelde technische en organisatorische beveiligingsmaatregelen.
3. Het in de leden 1 en 2 bedoelde register is opgesteld in schriftelijke vorm, onder meer in elektronische vorm.
De verwerkingsverantwoordelijke en de verwerker stellen die registers desgevraagd ter beschikking van de toezichthoudende autoriteit.