1. Ο φορέας που διαχειρίζεται το αρχείο και ο φορέας αναζήτησης έχουν την υποχρέωση να καταγράφουν κάθε μη αυτοματοποιημένη παροχή και κάθε μη αυτοματοποιημένη λήψη δεδομένων προσωπικού χαρακτήρα προκειμένου να εξακριβώνεται το παραδεκτό της παροχής. Η καταγραφή περιέχει τις ακόλουθες πληροφορίες:
α) το λόγο της παροχής,
β) τα παρεχόμενα δεδομένα,
γ) την ημερομηνία της παροχής και
δ) το όνομα ή τον κωδικό αναφοράς του φορέα αναζήτησης και του φορέα που διαχειρίζεται το αρχείο.
2. Τα κατωτέρω εφαρμόζονται στις αυτοματοποιημένες αναζητήσεις δεδομένων βάσει των άρθρων 3, 9 και 12 της απόφασης 2008/615/ΔΕΥ (προφίλ DNA, δακτυλοσκοπικά δεδομένα και άδειες κυκλοφορίας οχημάτων) και στην αυτοματοποιημένη σύγκριση σύμφωνα με το άρθρο 3 της απόφασης αυτής (αυτοματοποιημένη σύγκριση προφίλ DNΑ):
α) Μόνο ειδικά εξουσιοδοτημένα όργανα των εθνικών σημείων επαφής μπορούν να διενεργούν αυτοματοποιημένες αναζητήσεις ή συγκρίσεις. Ο κατάλογος των εν λόγω εξουσιοδοτημένων οργάνων διατίθεται, κατόπιν αίτησης, στις αρχές ελέγχου που αναφέρονται στην παράγραφο 5 και στα λοιπά κράτη μέλη.
β) Κάθε παροχή και λήψη δεδομένων προσωπικού χαρακτήρα από το φορέα που διαχειρίζεται το αρχείο και το φορέα αναζήτησης καταγράφεται, συμπεριλαμβανομένης της κοινοποίησης του κατά πόσον ήταν επιτυχής η αναζήτηση. Η καταγραφή περιλαμβάνει τις ακόλουθες πληροφορίες:
αα) τα παρεχόμενα δεδομένα,
ββ) την ημερομηνία και την ακριβή χρονική στιγμή της παροχής και
γγ) το όνομα ή τον κωδικό αναφοράς του φορέα αναζήτησης και του φορέα που διαχειρίζεται το αρχείο.
Ο φορέας αναζήτησης καταγράφει επίσης το λόγο της αναζήτησης ή παροχής καθώς και την αναγνωριστική μονάδα του οργάνου που διεξήγαγε την αναζήτηση και του οργάνου που παρήγγειλε την αναζήτηση ή την παροχή.
3. Ο φορέας που προβαίνει στην καταγραφή γνωστοποιεί αμέσως τα καταγραφέντα δεδομένα κατόπιν αίτησης στις αρμόδιες αρχές προστασίας δεδομένων του σχετικού κράτους μέλους, το αργότερο εντός τεσσάρων εβδομάδων από τη λήψη της αίτησης. Τα καταγραφέντα δεδομένα μπορούν να χρησιμοποιούνται μόνο για τους εξής σκοπούς:
α) παρακολούθηση της προστασίας των δεδομένων,
β) ασφάλεια των δεδομένων.
4. Τα καταγραφέντα δεδομένα προστατεύονται με κατάλληλα μέτρα έναντι της ανάρμοστης χρήσης και άλλων μορφών αντικανονικής χρήσης και διατηρούνται επί δύο έτη. Μετά την περίοδο διατήρησης, τα καταγραφέντα δεδομένα διαγράφονται αμέσως.
5. Υπεύθυνες για τον έλεγχο νομιμότητας, όσον αφορά στην παροχή ή τη λήψη δεδομένων προσωπικού χαρακτήρα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και κατά περίπτωση οι αρμόδιες δικαστικές και εισαγγελικές αρχές. Οποιοσδήποτε μπορεί να ζητήσει από τις αρχές αυτές να ελέγξουν, κατά λόγο αρμοδιότητάς τους, τη νομιμότητα της επεξεργασίας δεδομένων που τον αφορούν. Ανεξάρτητα από τέτοια αιτήματα, οι εν λόγω αρχές και οι φορείς που είναι υπεύθυνοι για την καταγραφή διενεργούν τυχαίους ελέγχους της νομιμότητας της παροχής, βάσει των σχετικών αρχείων.
Τα αποτελέσματα των ελέγχων αυτών διατηρούνται επί 18 μήνες προς επιθεώρηση από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Μετά την παρέλευση του διαστήματος αυτού, καταστρέφονται αμέσως. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορεί να καλείται από την ανεξάρτητη αρχή προστασίας δεδομένων άλλου κράτους μέλους να ασκήσει τα καθήκοντά της σύμφωνα με το εθνικό δίκαιο, ενώ μπορεί, αντιστοίχως, να καλεί η ίδια την ανεξάρτητη αρχή προστασίας δεδομένων άλλου κράτους μέλους να ασκήσει αυτή τα καθήκοντά της, σύμφωνα με το εθνικό δίκαιο του τελευταίου. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εκτελεί τα καθήκοντα επιθεώρησης που απαιτούνται για την αμοιβαία συνεργασία, ιδίως μέσω της ανταλλαγής πληροφοριών.