Σε γενικές γραμμές, κάθε οργανισμός θα πρέπει να τηρεί αρχείο δραστηριοτήτων επεξεργασίας. Αυτός είναι ένας κατάλογος όλων των εργασιών επεξεργασίας και μπορεί να σας βοηθήσει να κάνετε σωστές εκτιμήσεις σχετικά με τις ευθύνες σας βάσει του ΓΚΠΔ και τους πιθανούς κινδύνους.

Κάθε μία από αυτές τις εργασίες επεξεργασίας πρέπει να περιγράφεται στο αρχείο με τις ακόλουθες πληροφορίες:

• τον σκοπό της επεξεργασίας (π.χ. αφοσίωση πελατών)·
• τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία (π.χ. για τη μισθοδοσία: ονοματεπώνυμο, ημερομηνία γέννησης, μισθός κ.λπ.)·
• ποιος έχει πρόσβαση στα δεδομένα (οι αποδέκτες — π.χ.: το τμήμα που είναι αρμόδιο για τις προσλήψεις, η υπηρεσία ΤΠ, η διοίκηση, οι πάροχοι υπηρεσιών, οι εταίροι...)·
• κατά περίπτωση, πληροφορίες σχετικά με διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ),
• όπου είναι δυνατόν, η περίοδος αποθήκευσης (η περίοδος για την οποία τα δεδομένα είναι χρήσιμα από επιχειρησιακή άποψη και από άποψη αρχειοθέτησης).
• όπου είναι δυνατόν, γενική περιγραφή των μέτρων ασφαλείας.

Το αρχείο των δραστηριοτήτων επεξεργασίας εμπίπτει στην ευθύνη του διευθυντή του οργανισμού σας.

Το αρχείο αυτό πρέπει να είναι διαθέσιμο στην αρχή προστασίας δεδομένων της χώρας του ΕΟΧ στην οποία δραστηριοποιείστε, εφόσον σας ζητηθεί.

Δεν απαιτείται από τους οργανισμούς που απασχολούν λιγότερα από 250 άτομα να αναφέρουν στο αρχείο τους καθαρά περιστασιακές δραστηριότητες (π.χ. δεδομένα που υποβάλλονται σε επεξεργασία για μεμονωμένες δραστηριότητες όπως το άνοιγμα καταστήματος).

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ