30. člen GDPR določa, da mora vsako podjetje voditi evidenco dejavnosti obdelave osebnih podatkov. Izjema je določena za podjetja z manj kot 250 zaposlenimi – pod precej strogimi pogoji. Evidenco morajo voditi tudi mala podjetja, če obdelujejo posebno kategorijo osebnih podatkov – občutljive osebne podatke (zdravstveni podatki, podatki o članstvih v političnih strankah, sindikatih ipd.), če obdelava osebnih podatkov lahko predstavlja tveganje za pravice in svoboščine posameznikov, ali če je obdelava osebnih podatkov posameznikov izvajana redno.
V praksi to pomeni, da nam ne ostane mnogo podjetij, ki ne bi morala voditi evidenco dejavnosti obdelav osebnih podatkov, saj za redno obdelavo osebnih podatkov šteje že obdelava osebnih podatkov zaposlenih za namen izplačila plač, vodenja prisotnosti na delovnem mestu ipd. A bodimo iskreni – vsak skrben podjetnik oziroma odgovorna oseba v podjetju želi z osebnimi podatki svojih zaposlenih, kupcev, strank, pacientov, učencev in drugih ravnati odgovorno, pošteno, učinkovito in zakonito. Zato mora v vsakem trenutku vedeti, kakšne obdelave osebnih podatkov se izvajajo, da lahko skrbi za varnost obdelave ter v primeru morebitnih incidentov hitro in učinkovito omeji škodo.