De functionaris voor gegevensbescherming moet een register bijhouden van alle activiteiten waarbij de Europese Commissie persoonsgegevens verzamelt. Dit register, waarin wordt vastgelegd waarom en onder welke voorwaarden de gegevens worden verwerkt, is voor iedereen toegankelijk.
In de database moet voor elke activiteit ten minste het volgende worden opgeslagen:
- naam en adres van de verantwoordelijke voor de verwerking en een indicatie van de afdelingen van de instelling of het orgaan die met de verwerking van persoonsgegevens voor een bepaald doel belast zijn;
- de verwerkingsdoeleinden;
- een omschrijving van de categorieën betrokkenen en van de gegevens die over deze personen worden verwerkt;
- de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn;
- wie inzage kan krijgen in de gegevens;
- de algemene termijnen waarbinnen de verschillende categorieën gegevens worden afgeschermd en gewist;
- de voorgenomen gegevensdoorgiften naar derde landen of naar internationale organisaties;
- een algemene beschrijving om vooraf te kunnen beoordelen of de overeenkomstig artikel 22 genomen maatregelen om de beveiliging van de verwerking te waarborgen, adequaat zijn.