Každý prevádzkovateľ a sprostredkovateľ je v zmysle článku 30 všeobecného nariadenia o ochrane osobných údajov povinný viesť záznamy o spracovateľských činnostiach. Spracovateľské činnosti nie sú všeobecným nariadením o ochrane údajov definované. Pri určení významu môžeme vychádzať zo zákonom definovaného termínu „spracúvanie“, ktorým je akékoľvek nakladanie s osobnými údajmi; napríklad ich získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie, kombinovanie, obmedzenie alebo vymazanie.

Záznamy o spracovateľských činnostiach predstavujú súčasť bezpečnostnej dokumentácie prevádzkovateľa. Bezpečnostná dokumentácia GDPR nemá v nariadení GDPR, ako ani v zákone č. 18/2018 Z. z. o ochrane osobných údajov zadefinovanú presnú  formálnu štruktúru. Ak však budeme vychádzať z významu jednotlivých článkov, resp. paragrafov, zistíme, že bezpečnostná dokumentácia by mala obsahovať opis spracovateľských operácií prevádzkovateľa, opis toku (resp. mapa) osobných údajov, opis prijatých bezpečnostných opatrení. Častou súčasťou sú aj rizikové a dopadové analýzy. Pokiaľ prevádzkovateľ spracúva osobné údaje na základe tzv. oprávneného záujmu, nemôže chýbať ani test proporcionality.

Povinnosťou viesť záznamy o spracovateľských činnostiach bola nahradená povinnosť ohlasovať informačné systémy alebo ich registrovať, prípadne povinnosť viesť evidenčné listy informačných systémov. V usmernení, ako vypĺňať záznam o spracovateľských činnostiach, Úrad na ochranu osobných údajov Slovenskej republiky uvádza, že na rozdiel od predchádzajúcej požiadavky notifikácie, registrácie alebo evidencie ...