Požadavky stanovené pro ochranu osobních údajů Nařízením EU (General Data Protection Regulation neboli GDPR) začnou platit již v květnu 2018. Podmínky uvedené v Nařízení a povinnost vést podle něj záznamy se dotknout téměř všech společností.

Na první pohled se zdá, že povinnost vést záznamy má pouze firma s více než 250 zaměstnanci. Ale při podrobnějším pohledu na právní úpravu vidíme, že jakmile dochází ke zpracování, jenž je možné označit za rizikové, vztahuje se tato podmínka i na společnosti s méně zaměstnanci. Dále se výjimka nevztahuje na správce, kteří zpracovávají údaje jen příležitostně nebo jde o zpracování zvláštních kategorií údajů (např.: údaje o rase, etniku, náboženském vyznání, sexuální orientaci, zdravotním stavu a další) či informací týkajících se trestních věcí. Ale pokud vyžaduje zaměstnavatel od svých zaměstnanců výpis z rejstříku trestů nebo lékařskou prohlídku, již dochází ke zpracovávání údajů spadajících do této zvláštní kategorie a zaměstnavatel je povinen vést o zpracování záznamy.