Τι είναι τα αρχεία των δραστηριοτήτων επεξεργασίας από Υπεύθυνους επεξεργασίας & Εκτελών την επεξεργασία

Κάποιοι φορείς υπό προϋποθέσεις που θέτει ο Γενικός Κανονισμός 679/2016 θα πρέπει να τηρούν αρχείο δραστηριοτήτων στο οποίο θα αναγράφεται η περιγραφή των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων . Το αρχείο αυτό δεν είναι σημαντικό μόνο γιατί αποτελεί υποχρέωση σε κάποιες περιπτώσεις ως εργαλείο λογοδοσίας, αλλά και γιατί είναι χρήσιμο για τη σωστή οργάνωση των διαδικασιών χειρισμού των τηρούμενων προσωπικών δεδομένων.

Σχετικά με τον Κανονισμό GDPR το αρχείο δραστηριοτήτων επεξεργασίας θα πρέπει να τηρούν και οι Υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία, με διαφορετικά στοιχεία για τον καθένα.

Συγκεκριμένα θα πρέπει να τηρούν το αρχείο για κάθε δραστηριότητα ενός οργανισμού σε περίπτωση που η επιχείρηση ή οργανισμός απασχολεί περισσότερα από 250 άτομα . Αντιθέτως, επιχείρηση ή οργανισμός που απασχολεί λιγότερα από 250 άτομα πρέπει να τηρεί το αρχείο για κάθε δραστηριότητα που:

1. δεν είναι περιστασιακή ή
2. ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ή
3. αφορά ειδικές κατηγορίες δεδομένων ή δεδομένα ποινικών καταδικών και αδικημάτων

Κάθε υπεύθυνος επεξεργασίας διατηρεί αρχείο το οποίο περιλαμβάνει τις ακόλουθες πληροφορίες:

α) το όνομα ή τον τίτλο και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδομένων·

β) τους σκοπούς της επεξεργασίας·

γ) τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή πρόκειται να γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα

δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων

ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ·

στ) όπου συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό·

ζ) αναφορά της νομικής βάσης της επεξεργασίας, περιλαμβανομένων των διαβιβάσεων, για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα·

η) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα·

θ) περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας

Κάθε εκτελών την επεξεργασία διατηρεί αρχείο το οποίο και περιλαμβάνει τα ακόλουθα:

α) το όνομα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, υπευθύνου επεξεργασίας εκ μέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδομένων·

β) τις κατηγορίες επεξεργασίας που διεξάγεται για λογαριασμό κάθε υπεύθυνου επεξεργασίας·

γ) κατά περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό

δ) περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας που μνημονεύονται στο άρθρο 45 του παρόντος νόμου.