• Wanneer de verwerking een risico vormt voor de rechten en vrijheden van de betrokkenen (zie punt 18 van de aanbeveling);
  • Wanneer de verwerking gevoelige gegevens bevat: dit wil zeggen persoonsgegevens : raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijkt, of genetische, biometrische gegevens of gegevens over de gezondheid, iemands seksueel gedrag of seksuele gerichtheid (art. 9);
  • Wanneer de verwerking gerechtelijke gegevens bevat: dit wil zeggen persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen (art. 10);
  • Wanneer de verwerking  die zij verrichten niet incidenteel is: verwerkingen die betrekking hebben op klantenbeheer, personeelsbeheer (human resources) of leveranciersbeheer,…;

De Privacycommissie is van oordeel dat, in het geval van een kleine organisatie met minder dans 250 werknemers die gewoonlijk (niet incidienteel) persoonsgegevens verwerkt – zoals dit meestal het geval is voor personeelsbeheer – kan het register beperkt zijn tot de niet-incidentele verwerkingen. De incidentele verwerkingen moeten niet in het register opgenomen worden, tenzij het verwerkingen zijn die een risico vormen voor de rechten en vrijheden van de betrokkenen of het verwerkingen zijn van gevoelige gegevens.

Algemeen gezien, hoe minder verwerkingen er worden verricht en hoe eenvoudiger zij zijn, hoe gemakkelijker dit Register kan worden opgemaakt, en dit vooral voor de KMO.

De Privacycommissie raadt de verwerkingsverantwoordelijken en de verwerkers – en ook de KMO – evenwel aan om een register uit te werken omdat dit register een overzicht geeft van alle verwerkingen die zij verrichten.