Nailazimo na velik broj diskusija na temu obveze vođenja Evidencija aktivnosti obrada podataka iz članka 30. GDPR-a.

Štoviše, neki savjetnici tvrde da, ako imate manje od 250 zaposlenih, ne trebate voditi Evidencije aktivnosti obrada podataka.

Nažalost, to nije točno, jer nisu pročitali drugi dio iste rečenice iz članka 30. stavak 5. GDPR-a, gdje se utvrđuje da pravilo od 250 zaposlenika ne vrijedi ako postoji mogućnost nastanka visokog rizika za pojedince, ako su uključene posebne kategorije podataka (npr. podaci o zdravlju), i ako obrade podataka nisu povremene (npr. vođenje radnog vremena, obračun plaća zaposlenika...). To znači da svaka tvrtka, bez obzira na broj zaposlenih, ukoliko ima zaposlene, mora voditi Evidenciju aktivnosti obrada iz članka 30. GDPR-a, kao što potvrđuju i Stajališta središnjeg EU tijela za zaštitu podataka, citiramo:

"Small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities"