Od nabytí účinnosti Nařízení skutečně platí, že již nadále není povinnost podávat oznámení o zpracování osobních údajů na Úřad pro ochranu osobních údajů (resp. do veřejně přístupného registru). Registr byl nabytím účinnosti Nařízení uzavřen a informace v něm dostupné byly zpřístupněny po dobu dalších 18 měsíců.
Tato oznamovací povinnost se však nezrušila bez náhrady - nově totiž jsou správci i zpracovatelé povinni vést záznamy o zpracování osobních údajů - s tím, že tyto záznamy musí povinně obsahovat:
- jméno a kontaktní údaje správce, příp. pověřence pro ochranu osobních údajů (byl-li ustaven);
- účely zpracování;
- popis kategorií subjektů údajů a kategorií osobních údajů;
- kategorie příjemců osobních údajů (včetně příjemců ve třetích zemích / mezinárodních organizacích);
- informace o případném předání osobních údajů do třetí země / mezinárodní organizace;
- lhůty pro výmaz jednotlivých kategorií osobních údajů;
- popis technických a organizačních bezpečnostních opatření.
Nicméně oproti dosavadní povinnosti oznamovat zpracování osobních údajů na Úřad se tato nová evidenční povinnost vztahuje jen na správce / zpracovatele, kteří zaměstnávají 250 a více osob - s tím, že ti menší správci / zpracovatelé jsou osvobozeni z této povinnosti (pokud zpracování osobních údajů nepředstavuje riziko pro práva a svobody subjektů údajů / zpracování není příležitostné / zpracování zahrnuje zvláštní kategorii osobních údajů, a to zejména údajů týkajících se trestné činnosti a rozsudků v trestních věcech).
