Kaj so “evidence dejavnosti obdelave podatkov”? Ali jih moram hraniti in ali mi bo pri tem pomagal moj obdelovalec podatkov? kako lahko izvajalec storitev v oblaku prispeva k vzdrževanju evidence osebnih podatkov, ki jih “obdeluje”?
Tako imenovane evidence dejavnosti obdelave podatkov so register vseh dejavnosti obdelav, ki jih izvaja upravljavec podatkov (1. odstavek 30. člena GDPR) in obdelovalec podatkov (2. odstavek 30. člena GDPR). Služijo za zavedanje upravljavca in obdelovalca podatkov o njihovih dejavnostih obdelave in so namenjene poenostavitvi nadzoru teh dejavnosti s strani nadzornega organa. Evidence morajo vsebovati določene informacije, predpisane v GDPR za vsako dejavnost obdelave (primerjajte 1. in 2. odstavek 30. člena GDPR). 5. odstavek 30. člena GDPR osvobaja majhna in srednja podjetja te obveznosti pod določenimi pogoji; vendar pa je v praksi dvomljivo, ali ne bo obseg uporabe te izjeme zelo velik. Obdelovalec je dolžan vzdrževati posebno ločeno evidenco za svoje dejavnosti obdelave (2. odstavek 30. člena GDPR) in mora upravljavcu pomagati pri vzdrževanju njegovih evidenc (28. člen GDPR). Prav tako je potrebno opozoriti na to, da bodo morale biti, ne glede na zgoraj navedeno izjemo, evidence dejavnosti obdelave dejansko pogostokrat vzpostavljene zaradi možnosti izvedbe analize ocene učinkov zaščite podatkov.