Τι ισχύει για τους οργανισμούς με λιγότερα από 250 άτομα – Πότε εξαιρούνται – Πολύ σημαντικές διευκρινίσεις από την WP29
Ιδιαίτερα χρήσιμες πληροφορίες σχετικά με ένα από τα πιο φλέγοντα ζητήματα της συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων, αυτό των παρεκκλίσεων από την υποχρέωση τήρησης αρχείων των δραστηριοτήτων επεξεργασίας, εξέδωσε η Ομάδας Εργασίας του Άρθρου 29 (WP29)*.
Η WP 29 εξέτασε την υποχρέωση (άρθρο 30 GDPR), για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία, να τηρούν αρχείο των δραστηριοτήτων επεξεργασίας.
Η αιτιολογική σκέψη 13 του GDPR αναφέρει:
«Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα όσον αφορά την τήρηση αρχείων».
Το άρθρο 30, παράγραφος 5, σε αντιστοιχία προς την αιτιολογική σκέψη 13, αναφέρει ότι η υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασίας δεν εφαρμόζεται «επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Η WP29 επισημαίνει ότι είναι απαραίτητες ορισμένες διευκρινίσεις σχετικά με την ερμηνεία αυτής της διάταξης, όπως προκύπτει από τον υψηλό αριθμό αιτήσεων που προέρχονται από εταιρείες και παρελήφθησαν τους τελευταίους μήνες από τις εθνικές εποπτικές αρχές.
Η παρέκκλιση που προβλέπεται στο άρθρο 30 παράγραφος 5 δεν είναι απόλυτη.
Υπάρχουν τρεις τύποι επεξεργασίας στην οποία δεν εφαρμόζεται:
- Επεξεργασία που ενδέχεται να έχει ως αποτέλεσμα κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
- Επεξεργασία που δεν είναι περιστασιακή.
- Επεξεργασία που περιλαμβάνει ειδικές κατηγορίες δεδομένων ή προσωπικά δεδομένα που αφορούν σε ποινικές καταδίκες και αδικήματα.
Η WP29 υπογραμμίζει ότι η διατύπωση του άρθρου 30 παράγραφος 5 είναι σαφής ως προς το γεγονός ότι οι τρεις τύποι επεξεργασίας στους οποίους δεν εφαρμόζεται η παρέκκλιση τίθενται διαζευτικά (“ή”) και η εμφάνιση οποιουδήποτε εξ αυτών ενεργοποιεί την υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασίας.
Ως εκ τούτου, ακόμα και αν διαθέτουν λιγότερους από 250 υπαλλήλους, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες οι οποίοι βρίσκονται στη θέση είτε να εκτελούν επεξεργασία που ενδέχεται να προκαλέσει κίνδυνο (όχι μόνο υψηλό) στα δικαιώματα των υποκειμένων των δεδομένων ή την σε μη περιστασιακή βάση, ή ειδικών κατηγοριών δεδομένων σύμφωνα με το άρθρο 9 παράγραφος 1 ή δεδομένα σχετικά με ποινικές καταδίκες σύμφωνα με το άρθρο 10, υποχρεούνται να τηρούν το αρχείο δραστηριοτήτων επεξεργασίας.
Ωστόσο, οι οργανισμοί αυτοί πρέπει να τηρούν αρχεία επεξεργασίας μόνο για τις μορφές επεξεργασίας που αναφέρονται στο άρθρο 30 παράγραφος 5.
Για παράδειγμα, ένας μικρός οργανισμός είναι πιθανό να επεξεργάζεται τακτικά δεδομένα όσον αφορά τους υπαλλήλους του. Ως αποτέλεσμα, η επεξεργασία αυτή δεν μπορεί να θεωρηθεί ως “περιστασιακή” και συνεπώς πρέπει να συμπεριληφθεί στο αρχείο.
Άλλες δραστηριότητες επεξεργασίας, οι οποίες στην πραγματικότητα είναι “περιστασιακές”, δεν χρειάζεται να περιλαμβάνονται στο αρχείο, υπό την προϋπόθεση ότι είναι απίθανο να οδηγήσουν σε κίνδυνο για το δικαίωμα και τις ελευθερίες των υποκειμένων των δεδομένων και δεν περιλαμβάνουν ειδικές κατηγορίες δεδομένων ή προσωπικά δεδομένα σχετικά με ποινικές καταδίκες και αδικήματα.
Η WP29 υπογραμμίζει ότι η καταγραφή των δραστηριοτήτων επεξεργασίας είναι πολύ χρήσιμη, καθώς συνεπάγεται την τεκμηρίωση μιας ανάλυσης των συνεπειών οποιασδήποτε επεξεργασίας είτε υπάρχοντων είτε προγραμματισμένων για το μέλλον.
Το αρχείο διευκολύνει την πραγματική εκτίμηση του κινδύνου που προκύπτει για τα δικαιώματα των υποκειμένων από τις δραστηριότητες επεξεργασίας που εκτελούνται από υπεύθυνο επεξεργασίας ή εκτελούντα, καθώς και τον προσδιορισμό και την εφαρμογή των κατάλληλων μέτρων ασφαλείας για τη διασφάλιση προσωπικών δεδομένων – και τα δύο βασικά στοιχεία της αρχής της λογοδοσίας που περιέχεται στον GDPR.
Για πολλούς πολύ μικρούς, μικρούς και μεσαίους οργανισμούς, η τήρηση ενός αρχείου δραστηριοτήτων είναι απίθανο να αποτελέσει ιδιαίτερα μεγάλη επβάρυνση.
Ωστόσο, η WP29 αναγνωρίζει ότι το άρθρο 30 δημιουργεί μία νέα διαχειριστική απαιτήση για τους υπεθύνους και τους εκτελούντες την επεξεργασίας και, ως εκ τούτου, ενθαρρύνει τις εθνικές εποπτικές αρχές να στηρίξουν τις ΜΜΕ παρέχοντας εργαλεία για τη διευκόλυνση της δημιουργίας και της διαχείρισης αρχείων των δραστηριοτήτων επεξεργασίας.
Για παράδειγμα, μια Εποπτική Αρχή μπορεί να θέσει στη διάθεσή της στον ιστότοπό της ένα απλοποιημένο μοντέλο που μπορεί να χρησιμοποιηθεί από τις ΜΜΕ για την τήρηση αρχείων σχετικά με τις δραστηριότητες επεξεργασίας που δεν καλύπτονται από την παρέκκλιση του άρθρου 30 παράγραφος 5.
Σημείωση Lawspot: Αξίζει να υπογραμμίσουμε ότι το Γραφείο Επιπτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας, δημιούργησε ήδη σχετικό αρχείο, συνοδευόμενο από οδηγίες, τις οποίες μπορείτε να βρείτε εδώ.
* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.