Fără prea multe introduceri, Grupul de Lucru Art. 29 (The Working Party 29) spune că toate activitățile de procesare a datelor personale care NU sunt ocazionale trebuie incluse în evidențele de procesare (registre), indiferent de numărul de angajați. Am evidențiat și noi această obligație în cadrul training-ului introductiv despre GDPR.

În practică, toate afacerile online colectează date personale în mod constant, ca o activitate continuă, deci companiile din e-commerce trebuie să realizeze documentații interne despre:

• ce colectează;
• cât colectează;
• în ce scop colectează;
• unde țin informațiile colectate.

Această obligație nu este limitată la firmele cu minimum 250 de angajați, ci se referă la orice firmă, mică sau mare.

Pentru multe organizații mici și mijlocii, înregistrarea activităților de prelucrare a datelor în registre poate să fie considerată o povară deosebit de mare. Cu toate acestea, Grupul de Lucru Art. 29 încurajează autoritățile naționale de supraveghere a prelucrării datelor personale să sprijine IMM-urile, prin furnizarea de instrumente care să facă mai ușoară activitatea de înregistrare a prelucrărilor. De exemplu, o autoritate de supraveghere ar putea pune la dispoziție pe site-ul său un model simplificat, care poate fi utilizat de IMM-uri pentru a ține evidența activităților de prelucrare care nu fac obiectul derogării de mai sus.

> Citiți întreaga opinie a Grupului de Lucru Art. 29