Αρχεία δραστηριοτήτων επεξεργασίας: Υποδείγματα και οδηγίες από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
GDPR: Υποδείγματα για τα αρχεία δραστηριοτήτων επεξεργασίας υπευθύνου και εκτελούντος την επεξεργασία από την ΑΠΔΠΧ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Μία νέα σελίδα με χρήσιμες πληροφορίς και υποδείγματα για τα αρχεία δραστηριοτήτων επεξεργασίας ανήρτησε στην ιστοσελίδα της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Τι είναι τα αρχεία δραστηριοτήτων επεξεργασίας;
Οι περισσότεροι φορείς οφείλουν να τηρούν ένα αρχείο με την περιγραφή των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων.
Το αρχείο αυτό δεν είναι σημαντικό μόνο γιατί αποτελεί υποχρέωση από το άρθρο 30 ΓΚΠΔ ως εργαλείο λογοδοσίας, αλλά και γιατί είναι χρήσιμο για τη σωστή οργάνωση των διαδικασιών χειρισμού των τηρούμενων προσωπικών δεδομένων.
Ποιοι οφείλουν να τηρούν αρχεία δραστηριοτήτων;
Υποχρέωση τήρησης του αρχείου έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία, με διαφορετικά στοιχεία για τον καθένα.
Επιχείρηση ή οργανισμός που απασχολεί περισσότερα από 250 άτομα πρέπει να τηρεί αρχείο για κάθε δραστηριότητα
Αντιθέτως, επιχείρηση ή οργανισμός που απασχολεί λιγότερα από 250 άτομα πρέπει να τηρεί το αρχείο για κάθε δραστηριότητα που:
- δεν είναι περιστασιακή ή
- ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ή
- αφορά ειδικές κατηγορίες δεδομένων (άρ. 9 παρ. 1 ΓΚΠΔ) ή δεδομένα ποινικών καταδικών και αδικημάτων (άρ. 10 ΓΚΠΔ).
Για λεπτομέρειες σχετικά με την υποχρέωση αυτή, συμβουλευτείτε τη σχετική ανακοίνωση της Ομάδας εργασίας του άρθρου 29 (Position Paper related to article 30(5) διαθέσιμη στα αγγλικά).
Σημείωση: Το εν λόγω αρχείο έχει μεταφραστεί από την ομάδα του Lawspot και μπορείτε να το βρείτε εδώ.
Ποια στοιχεία πρέπει να περιέχει το αρχείο δραστηριοτήτων;
Τα υποχρεωτικά στοιχεία περιγράφονται αναλυτικά στο άρ. 30 παρ. 1 ΓΚΠΔ, όσον αφορά στους υπευθύνους επεξεργασίας και στο άρ. 30 παρ. 2 όσον αφορά στους εκτελούντες την επεξεργασία.
Εκτός των υποχρεωτικών στοιχείων, μπορεί να συμπεριληφθούν και επιπλέον στοιχεία που ένας υπεύθυνος ή εκτελών θεωρεί ότι διευκολύνουν τη συμμόρφωσή του.
Υπάρχει συγκεκριμένος μορφότυπος για το αρχείο δραστηριοτήτων;
Όχι. Κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να επιλέξει τον τρόπο τήρησης του αρχείου, αρκεί να καλύπτεται η υποχρέωση του άρ. 30 ΓΚΠΔ. Η Αρχή, προκειμένου να βοηθήσει ιδίως τις μικρομεσαίες επιχειρήσεις, παρέχει υποδείγματα αρχείου δραστηριοτήτων. Τα υποδείγματα αυτά, σε μορφή αρχείου excel, περιέχουν τόσο τα απαραίτητα στοιχεία (στήλες με πράσινο χρώμα) όσο και προαιρετικά στοιχεία (στήλες με γαλάζιο χρώμα) που θα βοηθήσουν στη διαδικασία συμμόρφωσης. Στο τελευταίο φύλλο του αρχείου παρέχονται σύντομες οδηγίες συμπλήρωσης.
Υποδείγματα αρχείου δραστηριοτήτων: Υπεύθυνος επεξεργασίας | Εκτελών την επεξεργασία
Υφίσταται υποχρέωση γνωστοποίησης αρχείου ή επεξεργασίας στην Αρχή;
Όχι. Μετά τις 25 Μαΐου 2018 δεν υφίσταται πλέον τέτοια υποχρέωση. Το αρχείο δραστηριοτήτων τηρείται εσωτερικά στην επιχείρησή σας ή στον φορέα σας και διατίθεται στην Αρχή σε περίπτωση που ζητηθεί.
Διαβάστε επίσης: Τι ισχύει για τα email που ζητούν εκ νέου τη συγκατάθεσή σας για εμπορική επικοινωνία;
