Το μητρώο επεξεργασίας

Ως υπεύθυνος επεξεργασίας πρέπει να διασφαλίσετε ότι υπάρχει μητρώο όλων των δραστηριοτήτων επεξεργασίας. Αυτό το αρχείο επεξεργασίας τεκμηριώνει τις διαδικασίες στις οποίες υποβάλλονται σε επεξεργασία τα προσωπικά δεδομένα. 

Σύμφωνα με τον ΓΚΠΔ, αυτή η υποχρέωση δεν ισχύει για εταιρείες ή ιδρύματα που απασχολούν λιγότερους από 250 υπαλλήλους, εκτός εάν:

• Η επεξεργασία ενέχει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων
• Επεξεργάζονται ειδικές κατηγορίες δεδομένων.
• Η επεξεργασία πραγματοποιείται μόνο περιστασιακά.

Το τελευταίο σημείο συγκεκριμένα σημαίνει ότι σχεδόν σε όλες τις περιπτώσεις υπάρχει υποχρέωση τήρησης μητρώου επεξεργασίας. Πότε γίνεται περιστασιακή επεξεργασία των προσωπικών δεδομένων; Όταν απασχολείτε υπαλλήλους, είναι δύσκολο να υποστηρίξετε μόνο  περιστασιακή επεξεργασία. Και το αργότερο όταν προσφέρετε τακτικά σεμινάρια επιμόρφωσης ή κατάρτισης, επεξεργάζεστε και τότε τα δεδομένα των συμμετεχόντων σε τακτική βάση. 

Βεβαιωθείτε ότι έχετε ελέγξει την εθνική νομολογία σε αυτή την περίπτωση. Ο γερμανικός ομοσπονδιακός νόμος για την προστασία δεδομένων, για παράδειγμα, δεν αναγνωρίζει εξαιρέσεις για την τήρηση μητρώου δραστηριοτήτων επεξεργασίας. Στη Γερμανία, ένας τέτοιο μητρώο πρέπει επομένως να τηρείται πάντα.

Ακόμα κι αν δεν υπάρχει υποχρέωση τήρησης μητρώου επεξεργασίας στη χώρα σας, έχει νόημα να δημιουργήσετε ένα. Το μητρώο συμβάλλει στο να γίνουν ορατές οι διαδικασίες που σχετίζονται με την προστασία δεδομένων στον οργανισμό και να αξιολογηθούν. Με αυτόν τον τρόπο μπορούν να εντοπιστούν διαδικασίες που εμπεριέχουν ρίσκο και να ληφθούν μέτρα προστασίας. 

Παράδειγμα προτύπου για ένα μητρώο επεξεργασίας σε υπολογιστικό φύλλο (στιγμιότυπο οθόνης)

Πώς διαμορφώνεται ένα μητρώο επεξεργασίας; 

Δεν υπάρχει συγκεκριμένο πρότυπο για μητρώο επεξεργασίας. Καθορίζει μόνο ποιες πληροφορίες πρέπει να περιλαμβάνονται. Στο πρώτο βήμα συλλέγονται όλες οι διαδικασίες επεξεργασίας προσωπικών δεδομένων. Αφενός, αυτές περιλαμβάνουν όλες τις διαδικασίες που σχετίζονται με τη διοίκηση των εργαζομένων και, αφετέρου, όλα τα υπόλοιπα άτομα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία, όπως πελάτες, ενδιαφερόμενοι/ες ή συμμετέχοντες/ουσες. 

Παραδείγματα τέτοιων διαδικασιών είναι:

• Διαχείριση αρχείων προσωπικού
• Κατάσταση μισθοδοσίας
• Διαδικασίες αιτήσεων 
• Επικοινωνία μέσω email εντός της εταιρείας
• Λειτουργία της ιστοσελίδας
• Διαχείριση βάσης δεδομένων πελατών
• Διαδικασία εγγραφής για διαδικτυακό σεμινάριο

Τεκμηριώστε τις ακόλουθες πληροφορίες για κάθε δραστηριότητα επεξεργασίας: 

• Όνομα και στοιχεία επικοινωνίας του υπεύθυνου της διαδικασίας
• Σκοπός της επεξεργασίας
• Περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και της κατηγορίας των δεδομένων προσωπικού χαρακτήρα
• Κατηγορία εσωτερικών και εξωτερικών αποδεκτών (εάν υπάρχουν)
• Πληροφορίες σχετικά με τη μεταφορά δεδομένων σε τρίτη χώρα (εάν υπάρχουν)
• Πληροφορίες σχετικά με τις προβλεπόμενες προθεσμίες για τη διαγραφή των δεδομένων
• Πληροφορίες σχετικά με τα τεχνικά και οργανωτικά μέτρα που διασφαλίζουν την ασφάλεια της επεξεργασίας
• Στην πράξη έχει επίσης καθιερωθεί η πρακτική να περιλαμβάνεται στον κατάλογο η νομική βάση της επεξεργασίας.

Υποδείγματα για το μητρώο επεξεργασίας μπορούν να βρεθούν στο διαδίκτυο, ενώ υπάρχουν πλέον και ορισμένα διαδικτυακά εργαλεία που μπορούν να χρησιμοποιηθούν για την ψηφιακή διαχείριση του μητρώου.

Πρότυπα

Εάν μια εταιρεία δεν τηρεί μητρώο επεξεργασίας ή δεν είναι σε θέση να παράσχει το πλήρες μητρώο στην περίπτωση αιτήματος της εποπτικής αρχής, μπορεί να επιβληθεί πρόστιμο σύμφωνα με το άρθρο 83 παρ. 4 α του ΓΚΠΔ. Το πιθανό εύρος εδώ είναι έως 10 εκατομμύρια ευρώ ή το 2% του ετήσιου κύκλου εργασιών – ανάλογα με τη σοβαρότητα του αδικήματος.