Često se susrećemo s mišljenjem o potrebi vođenja evidencije aktivnosti obrade osobnih podataka i da je ista određen dokaz usklađenosti poslovanja s GDPR.
Opća uredba o zaštiti podataka (GDPR) ne propisuje obvezu dostave evidencija o zbirkama osobnih podataka u Središnji registar u AZOP te slijedom navedenog prestaje obveza voditelja obrade na dostavu.
GDPR člankom 30. uređuje Evidenciju aktivnosti obrade osobnih podataka navodeći pri tome da svaki voditelj, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koju je odgovoran, koje podatke takva evidencija najmanje mora sadržavati te da su je voditelj ili izvršitelj obrade istu dužni dati na uvid nadzornom tijelu. U Tekstu značajan za EGP (13) definirano je da Uredba omogućuje odstupanja za organizacije u kojima je zaposleno manje od 250 osoba s obzirom na vođenje evidencije, radi uzimanja u obzir posebnih situacija mikropoduzeća, malih i srednjih poduzeća.
Određenje „ako je primjenjivo“ i „predviđena odstupanja“ za micro, mala i srednja poduzeća dio je zbog kojeg mnogi tumače da su evidenciju aktivnosti obrade osobnih podataka dužni voditi samo subjekti s više od 250 zaposlenih. Međutim nigdje nije definirano što točno znači „ako je primjenjivo“ i „predviđena odstupanja“ a Uredba stavlja teret dokaza na poslovni subjekt.
Iz navedenog a sukladno Smjernicama radne skupine iz članka 29. proizlazi da je poslovni subjekti taj koji mora moći dokazati da je opravdano zašto predmetnu evidenciju nije u obvezi voditi. S obzirom da Opća uredba određuje vođenje evidencije aktivnosti obrade podataka dosta općenito, onda nije lagan zadatak dokazati nepostojanje potrebe za vođenjem iste.
Slijedom toga smatramo da je svakako preporuka vođenja evidencije aktivnosti obrade osobnih podataka neovisno o veličini poslovnog subjekta ali i da ona nije sama po sebi dokaz da je poslovanje usklađeno s GDPR.