Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Αρχική Σελίδα Επικοινωνία English
 

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Αρχική Σελίδα / Πληροφορίες για οργανισμούς / Αρχείο Δραστηριοτήτων

Αρχείο Δραστηριοτήτων


Aρχείο δραστηριοτήτων επεξεργασίας

Μία από τις αλλαγές που προβλέπονται στον Γενικό Κανονισμό για τη Προστασία Δεδομένων( ΓΚΠΔ), η οποία έχει ειδικά ως στόχο την απλούστευση των μέτρων συμμόρφωσης και τη μείωση της γραφειοκρατίας, είναι η κατάργηση της υποχρέωσης των υπεύθυνων επεξεργασίας να υποβάλλουν στις αρχές προστασίας δεδομένων τη Γνωστοποίηση Σύστασης και Λειτουργίας Αρχείου/Έναρξης Επεξεργασίας.

Παρά το γεγονός αυτό, το άρθρο 30 του ΓΚΠΔ επιβάλλει στους υπεύθυνους επεξεργασίας και στους εκτελούντες την επεξεργασία να τηρούν εσωτερικό αρχείο δραστηριοτήτων επεξεργασίας. Ένα τέτοιο αρχείο είναι παρόμοιο με το έντυπο Γνωστοποίηση Σύστασης και Λειτουργίας Αρχείου/Έναρξης Επεξεργασίας που υποβαλλόταν προηγουμένως στον Επίτροπο. Με την έναρξη εφαρμογής του ΓΚΠΔ, το αρχείο δραστηριοτήτων τίθενται στη διάθεση του Επιτρόπου κατόπιν αιτήματος. Δεν πρέπει να αποστέλλεται στον Επίτροπο, εκτός εάν ζητηθεί. Το αρχείο δραστηριοτήτων πρέπει να τηρείται και σε ηλεκτρονική μορφή.

  • Ποιος έχει υποχρέωση να τηρεί αρχείο δραστηριοτήτων Επεξεργασίας;

Η υποχρέωση βαραίνει οργανισμούς που ενεργούν ως υπεύθυνοι επεξεργασίας ή ως εκτελούντες την επεξεργασία. Η απαίτηση διατήρησης αυτού του αρχείου δεν ισχύει για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων π.χ. δεδομένα για την υγεία ή βιομετρικά δεδομένα (άρθρο 30, παράγραφος 5).

Σημειώνεται ότι η διατύπωση του άρθρου 30, παράγραφος 5, καθιστά σαφές ότι οι τρεις μορφές επεξεργασίας στις οποίες δεν εφαρμόζεται η παρέκκλιση είναι εναλλακτικές ("ή") και το ότι ισχύει μια μόνο από αυτές, οδηγεί στην υποχρέωση τήρησης του αρχείου δραστηριοτήτων. Δηλαδή, αν ένας οργανισμός έχει λιγότερους από 250 υπαλλήλους αλλά οι επεξεργασίες που εκτελεί ενδέχεται να προκαλέσουν κίνδυνο (όχι μόνο υψηλό κίνδυνο) για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων ή επεξεργάζεται προσωπικά δεδομένα σε μη περιστασιακή βάση, ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων σύμφωνα με το άρθρο 9 παράγραφος 1 π.χ. δεδομένα για την υγεία ή βιομετρικά δεδομένα ή δεδομένα σχετικά με ποινικές καταδίκες δυνάμει του άρθρου 10, τότε ο οργανισμός υποχρεούται να τηρεί το αρχείο δραστηριοτήτων.

Για παράδειγμα, ένας μικρός οργανισμός είναι πιθανό να επεξεργάζεται τακτικά δεδομένα σχετικά με τους υπαλλήλους του. Ως εκ τούτου, η επεξεργασία αυτή δεν μπορεί να θεωρηθεί "περιστασιακή" και συνεπώς πρέπει να συμπεριληφθεί στο αρχείο δραστηριοτήτων επεξεργασίας. Ωστόσο, άλλες δραστηριότητες επεξεργασίας οι οποίες στην πραγματικότητα είναι "περιστασιακές" δεν χρειάζεται να συμπεριληφθούν στο αρχείο δραστηριοτήτων, υπό την προϋπόθεση ότι είναι απίθανο να προκαλέσουν κίνδυνο για το δικαίωμα και τις ελευθερίες των υποκειμένων των δεδομένων και δεν περιλαμβάνουν ειδικές κατηγορίες δεδομένων ή προσωπικά δεδομένα σχετικά με ποινικές καταδίκες.

Σχετικό με τις πιο εξαιρέσεις είναι το έγγραφο των θέσεων του Συμβουλίου Προστασίας Δεδομένων (στα αγγλικά): Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

  • Τι πληροφορίες πρέπει να τηρούνται στο Αρχείο Δραστηριοτήτων Επεξεργασίας;

Το Αρχείο Δραστηριοτήτων πρέπει να περιλαμβάνει τουλάχιστον τις εξής πληροφορίες:
    • Την περιγραφή της κάθε δραστηριότητας του οργανισμού
    • Αν η δραστηριότητα είναι κύρια ή παρεπόμενη
    • Τη νομική βάση της επεξεργασίας
    • Τα στοιχεία του υπεύθυνου ή/και του εκτελών την επεξεργασία
    • Το σκοπό της επεξεργασίας
    • Τις κατηγορίες των υποκειμένων των δεδομένων
    • Τις κατηγορίες των προσωπικών δεδομένων
    • Τις κατηγορίες των αποδεκτών
    • Τη διαβίβαση σε τρίτες χώρα/ διεθνή οργανισμό
    • Τη διαγραφή των δεδομένων
    • Τα τεχνικά και οργανωτικά μέτρα ασφάλειας

Ο Επίτροπος ετοίμασε ένα δείγμα αρχείου δραστηριοτήτων σε μορφή Πίνακα με τίτλο ΑΡΧΕΙΟ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ. Ο Οδηγός προσφέρει καθοδήγηση και βοηθά στη συμπλήρωση του Πίνακα.

Περισσότερες πληροφορίες αναφορικά με την υποχρέωση διατήρησης αρχείου δραστηριοτήτων θα βρείτε στον Οδηγό.




Κατεβάστε το αρχείο τύπου Acrobat Οδηγός Συμπλήρωσης Αρχείου Δραστηριοτήτων v3.pdf

Κατεβάστε το αρχείο τύπου Excel Copy of Αρχείο Δραστηριοτήτων.xlsx

Κατεβάστε το αρχείο τύπου Acrobat 20180419_Art29WP_PositionpaperArt30_publishpdf.pdf

Back To Top