Αρχεία δραστηριοτήτων επεξεργασίας

Τι είναι τα αρχεία δραστηριοτήτων επεξεργασίας;

 

Οι περισσότεροι φορείς οφείλουν να τηρούν ένα αρχείο με την περιγραφή των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων. Το αρχείο αυτό δεν είναι σημαντικό μόνο γιατί αποτελεί υποχρέωση από το άρθρο 30 ΓΚΠΔ ως εργαλείο λογοδοσίας, αλλά και γιατί είναι χρήσιμο για τη σωστή οργάνωση των διαδικασιών χειρισμού των τηρούμενων προσωπικών δεδομένων.

 

Ποιοι οφείλουν να τηρούν αρχεία δραστηριοτήτων;

 

Υποχρέωση τήρησης του αρχείου έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες  επεξεργασία, με διαφορετικά στοιχεία ο καθένας.

Επιχείρηση ή οργανισμός που απασχολεί περισσότερα από 250 άτομα πρέπει να τηρεί αρχείο για κάθε δραστηριότητα. Αντιθέτως, επιχείρηση ή οργανισμός που απασχολεί λιγότερα από 250 άτομα πρέπει να τηρεί το αρχείο για κάθε δραστηριότητα που:

  1. δεν είναι περιστασιακή ή
  2. ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ή
  3. αφορά ειδικές κατηγορίες δεδομένων (άρ. 9 παρ. 1 ΓΚΠΔ) ή δεδομένα ποινικών καταδικών και αδικημάτων (άρ. 10 ΓΚΠΔ).

Για λεπτομέρειες σχετικά με την υποχρέωση αυτή, συμβουλευτείτε τη σχετική ανακοίνωση της Ομάδας εργασίας του άρθρου 29 (Position Paper related to article 30(5) διαθέσιμη στα αγγλικά).

Η υποχρέωση τήρησης αρχείων δραστηριοτήτων βαρύνει και τους φορείς που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου Δ του ν. 4624/2019 (οδηγία (ΕΕ) 2016/680), όπως προβλέπεται στο άρθρο 68 του εν λόγω νόμου.

 

Ποια στοιχεία πρέπει να περιέχει το αρχείο δραστηριοτήτων;

 

Τα υποχρεωτικά στοιχεία περιγράφονται αναλυτικά στο άρ. 30 παρ. 1 ΓΚΠΔ, όσον αφορά στους υπευθύνους επεξεργασίας και στο άρ. 30 παρ. 2 όσον αφορά στους εκτελούντες  επεξεργασία. Αντίστοιχα, για τους φορείς που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου Δ του ν. 4624/2019 τα υποχρεωτικά στοιχεία προβλέπονται στο άρθρο 68, παρ. 1 και 2 αντίστοιχα.

Εκτός των υποχρεωτικών στοιχείων, μπορεί να συμπεριληφθούν και επιπλέον στοιχεία που ένας υπεύθυνος ή εκτελών θεωρεί ότι διευκολύνουν τη συμμόρφωσή του.

 

Υπάρχει συγκεκριμένος μορφότυπος για το αρχείο δραστηριοτήτων;

 

Όχι. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να επιλέξει τον τρόπο τήρησης του αρχείου, αρκεί να καλύπτεται η υποχρέωση του άρθρου 30 ΓΚΠΔ. Η Αρχή, προκειμένου να βοηθήσει ιδίως τις μικρομεσαίες επιχειρήσεις, παρέχει υποδείγματα αρχείου δραστηριοτήτων. Τα υποδείγματα αυτά, σε μορφή αρχείου excel, περιέχουν τόσο τα απαραίτητα στοιχεία (στήλες με πράσινο χρώμα) όσο και προαιρετικά στοιχεία (στήλες με γαλάζιο χρώμα) που θα βοηθήσουν στη διαδικασία συμμόρφωσης. Στο τελευταίο φύλλο του αρχείου παρέχονται σύντομες οδηγίες συμπλήρωσης.

Υποδείγματα αρχείου δραστηριοτήτων

Υπεύθυνος επεξεργασίας                       Εκτελών επεξεργασία

 

Υφίσταται υποχρέωση γνωστοποίησης αρχείου ή επεξεργασίας στην Αρχή;

 

Όχι. Μετά τις 25 Μαΐου 2018 δεν υφίσταται πλέον τέτοια υποχρέωση. Το αρχείο δραστηριοτήτων τηρείται εσωτερικά στην επιχείρησή σας ή στον φορέα σας και διατίθεται στην Αρχή σε περίπτωση που ζητηθεί.