Αρχείο δραστηριοτήτων και GDPR: έχουν οι μικρομεσαίες επιχειρήσεις λιανικού εμπορίου υποχρέωση να τηρούν αρχείο και για ποιές δραστηριότητες;

Όταν επιχείρηση λιανικού εμπορίου απασχολεί λιγότερο από 250 άτομα ως εργαζομένους σύμφωνα με το άρθρο 30 (5) [1] του Γενικού Κανονισμού Προστασίας Δεδομένων δεν έχει υποχρέωση τήρησης αρχείου δραστηριοτήτων εκτός αν εμπίπτει στις περιπτώσεις που απαριθμούνται διαζευκτικά στη ίδια διάταξη και είναι:

η επεξεργασία ενδέχεται να προκαλέσει κίνδυνο (όχι απαραίτητα υψηλό[2]) για τα δικαιώματα και ελευθερίες του υποκειμένου των δεδομένων

η επεξεργασία δεν είναι περιστασιακή

η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων, ήτοι ευαίσθητα δεδομένα του άρθρου 9 (1), όπως π.χ. υγείας ή η επεξεργασία αφορά ποινικές καταδίκες και αδικήματα του άρθρου 10.

Συνεπώς, όταν πρόκειται για επεξεργασία που είτε δεν είναι περιστασιακή ή μπορεί να επιφέρει κίνδυνο είτε αφορά ευαίσθητα ή ποινικά δεδομένα, τότε ο υπεύθυνος ή ο εκτελών επεξεργασία υποχρεούται να τηρεί αρχείο δραστηριοτήτων, έστω και αν πρόκειται για μικρομεσαία επιχείρηση με λιγότερους από 250 υπαλλήλους. Αρκεί μάλιστα μία από τις πιο πάνω περιπτώσεις να συντρέχει για να ισχύει η υποχρέωση τήρησης αρχείου, όπως προκύπτει από την διατύπωση της διάταξης με χρήση του διαζευκτικού «ή» και από την ερμηνεία που δίνεται σε Εγχειρίδιο σχετικά με την Ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων[3] και το έγγραφο θέσεων της Ομάδας Εργασίας του άρθρου 29 για το άρθρο 30 (5) [4]. Στο έγγραφο θέσεων της άνω Ομάδας αναφέρεται ότι σε περίπτωση που η επεξεργασία εμπίπτει στις εξαιρέσεις όπου εφαρμόζεται η υποχρέωση τήρησης αρχείου, τότε μπορεί να κρατείται αρχείο δραστηριοτήτων μόνο για την συγκεκριμένη επεξεργασία και όχι για τις υπόλοιπες επεξεργασίες. Διευκρινίζεται επίσης ότι η επεξεργασία για παράδειγμα δεδομένων των εργαζομένων σε μια μικρομεσαία επιχείρηση δεν είναι «περιστασιακή» και άρα θα προκύπτει υποχρέωση τήρησης αρχείου για αυτή.

Υπογραμμίζεται παράλληλα ότι το αρχείο δραστηριοτήτων είναι πολύ χρήσιμο μέσο ανάλυσης των κινδύνων που υπάρχουν σε πράξεις επεξεργασίας και λήψης αντίστοιχων μέτρων ασφαλείας, απαραίτητο για την συμμόρφωση με την αρχή λογοδοσίας του Κανονισμού. Ωστόσο, αναγνωρίζοντας η Ομάδα Εργασίας του άρθρου 29 το διοικητικό βάρος που προκαλεί μια τέτοια υποχρέωση σε μικρομεσαίες επιχειρήσεις παροτρύνονται οι Εθνικές Αρχές να διαθέτουν εργαλεία ή απλοποιημένα μοντέλα τήρησης αρχείου δραστηριοτήτων στις ιστοσελίδες τους[5], ενώ και στο Προοίμιο του ΓΚΠΔ (13)[6] αναφέρεται η παρέκκλιση από την υποχρέωση τήρησης αρχείου για μικρομεσαίες επιχειρήσεις με λιγότερους από 250 εργαζομένους και η λήψη υπόψη των ειδικών αναγκών των επιχειρήσεων αυτών κατά την εφαρμογή του Κανονισμού από τις Εποπτικές Αρχές και άλλα εθνικά ή Ευρωπαϊκά όργανα.

Με βάση όσα αναφέρθηκαν, προκύπτει ότι επιχείρηση λιανικού εμπορίου έχει υποχρέωση να τηρεί αρχείο δραστηριοτήτων τουλάχιστον για τις ακόλουθες επεξεργασίες:

Δεδομένα υγείας εργαζομένων της ως επεξεργασία ευαίσθητων δεδομένων
Δεδομένα εργαζομένων γενικά, όπως μισθοδοσία ως τακτική επεξεργασία
Δεδομένα πελατών, όπως παραστατικά παραγγελιών, πωλήσεων, παραδόσεων προϊόντων ως τακτική επεξεργασία
Δεδομένα από GPS και κάμερες ασφαλείας ως τακτική και υψηλού κινδύνου επεξεργασία
Δεδομένα επισκεψιμότητας ιστοσελίδων επιχείρησης ως τακτική επεξεργασία

Ειδικά για την επεξεργασία δεδομένων πελατών όπως παραστατικά παραγγελιών, πωλήσεων, παραδόσεων που πρέπει να τηρούνται από τις εταιρίες για φορολογικούς σκοπούς στο πλαίσιο της επιχειρηματικής δραστηριότητας πωλήσεων και συμμόρφωσης με νόμιμες υποχρεώσεις, επειδή ο όρος «περιστασιακή» επεξεργασία στο άρθρο 30 (5) δεν έχει αποσαφηνιστεί και αφορά την πλειονότητα των ΜΜΕ αναμένεται [7]από το 2018 γνωμοδότηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (European Data Protection Board (EDPB) πρώην Ομάδα Εργασίας του άρθρου 29) επί του όρου.

Εν τω μεταξύ, έχουν υποστηριχτεί αντίθετες απόψεις στην αρθρογραφία, με την πρώτη άποψη να ακολουθεί την γραμματική και κυριολεκτική ερμηνεία του όρου[8] και την δεύτερη άποψη να τείνει σε μια προσέγγιση του σκοπού της διάταξης που είναι η εξαίρεση από τήρηση αρχείου για καθημερινές δραστηριότητες των ΜΜΕ[9].

Επιχειρήματα υπέρ της πρώτης άποψης[10] μπορεί να βρεθούν στις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 (WP29) σχετικά με το άρθρο 49 του GDPR που αφορά την μεταφορά δεδομένων εκτός ΕΕ, όπου ερμηνεύοντας την «περιστασιακή» διαβίβαση δεδομένων του Προοιμίου (111) του Κανονισμού καταλήγει ότι για να κατηγοριοποιηθεί μια επεξεργασία δεδομένων ως περιστασιακή θα πρέπει να είναι πράγματι αυτό, δηλαδή περιστασιακή και όχι μια τακτική διαδικασία, που πολύ πιθανόν να μην εμπίπτει στις συνηθισμένες δραστηριότητες και να συμβαίνει υπό τυχαίες, απρόβλεπτες περιστάσεις[11].

Επιπλέον η ίδια ομάδα του άρθρου 29 δίδει, στις κατευθυντήριες γραμμές για Υπεύθυνο Προστασίας Δεδομένων – DPO[12], στο επίθετο «τακτική» μία ή περισσότερες από τις ακόλουθες ερμηνείες:

συνεχής ή ανά συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο,
λαμβάνουσα χώρα τακτικά ή κατ’ επανάληψη σε σταθερές χρονικές στιγμές,
λαμβάνουσα χώρα αδιαλείπτως ή περιοδικά.

Η αντίθετη άποψη[13] με κύριο εκπρόσωπο της και επιχείρημα την ερμηνεία της έννοιας «περιστασιακή» επεξεργασία στην οδηγία επί αυτού της Βελγικής Αρχής Προστασίας Δεδομένων[14] υποστηρίζει ότι η διαχείριση δεδομένων πελατών, εργαζομένων, προμηθευτών, δηλαδή όλα τα δεδομένα που υπόκεινται σε επεξεργασία καθημερινά, θα μπορούσε να αποκλειστεί από τον ορισμό της «επεξεργασίας» για τον σκοπό της εξαίρεσης του άρθρου 30 (5), σε μια τελολογική προσέγγιση του άνω άρθρου και του πλαισίου της επεξεργασίας στην οποία αναφέρεται, ώστε να έχει ουσιαστικό αντίκρυσμα για τις ΜΜΕ. Ωστόσο δεν διευκρινίζεται ο όρος «διαχείριση» στην άνω οδηγία της Βελγικής Αρχής, με τον συγγραφέα του σχετικού άρθρου να περιλαμβάνει στην «διαχείριση» των παραπάνω δεδομένων τα αρχεία εργαζομένων, πελατών και προμηθευτών, τις παραγγελίες με προμηθευτές, την έκδοση τιμολογίων πελατών και ενημέρωση τους σχετικά με πρόοδο εργασίας, χωρίς ωστόσο να φτάνει μέχρι την αποστολή μηνυμάτων ηλεκτρονικού εμπορίου ή επεξεργασία δεδομένων προσωπικού χαρακτήρα με τρόπο που δεν θα θεωρούνταν συνηθισμένος για την καθημερινή λειτουργία της επιχείρησης[15].

Από τα παραπάνω προκύπτει το συμπέρασμα ότι εφόσον το θέμα δεν έχει αποσαφηνιστεί επισήμως από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (European Data Protection Board (EDPB) πρώην Ομάδα Εργασίας του άρθρου 29) και ενόψει του κινδύνου επιβολής υψηλών προστίμων για μη συμμόρφωση με τον GDPR είναι προτιμότερο να τηρείται αρχείο και για την συγκεκριμένη επεξεργασία δεδομένων πελατών ή προμηθευτών (τιμολόγηση, παραλαβής προϊόντων), καθώς με την κυριολεκτική έννοια και ως κατηγορία/φύση επεξεργασίας αποτελεί “τακτική ή μη περιστασιακή” επεξεργασία που εμπίπτει στις συνηθισμένες δραστηριότητες μιας μικρομεσαίας επιχείρησης.

Περαιτέρω, όταν υπάρχει υποχρέωση τήρησης αρχείου για αρκετές δραστηριότητες επεξεργασίας και αντίστοιχα Τμήματα που χειρίζονται τα δεδομένα αυτά, όπως ενδεικτικά Τμήμα Λογιστηρίου, Τμήμα Ανθρώπινου Δυναμικού, Τμήμα Logistics, Τμήμα Πωλήσεων κ.α. τότε ασφαλέστερη επιλογή λόγω συνοχής και καλύτερου ελέγχου και συμμόρφωσης με GDPR (ΓΚΠΔ) φαίνεται να είναι να τηρείται αρχείο δραστηριοτήτων για όλες τις επεξεργασίες της επιχείρησης και όχι μόνο για όσες απαιτούνται.

Δεν πρέπει να παραβλέπεται ότι τήρηση αρχείου δραστηριοτήτων αποτελεί μεν υποχρέωση αλλά και ταυτόχρονα χρήσιμο εργαλείο απεικόνισης χειρισμού των προσωπικών δεδομένων σε μια επιχείρηση και ως τέτοια πρέπει να αντιμετωπίζεται.

Το παρόν δεν συνιστά σε καμιά περίπτωση νομική συμβουλή αλλά είναι μόνο για ενημερωτικούς σκοπούς.

Ελένη Ζαφείρη, LL.M., Δικηγόρος Ελλάδας

Πηγές:

[1] Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 άρθρο 30 (5):

«Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.».

[2] Πληροφορίες Επιτρόπου Δεδομένων Προσωπικού Χαρακτήρα Κύπρου για Αρχείο δραστηριοτήτων σε ιστοσελίδα: http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/page2h_gr/page2h_gr?opendocument, (πρόσβαση 14/06/2019).

[3] FRA (European Union Agency for Fundamental Rights and Council of Europe), Handbook on European data protection law, 2018, page 179.

[4] DPWP29 POSITION PAPER on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

[5] Βλ. ανωτέρω υποσημείωση (4) DPWP29 POSITION PAPER.

[6] Προοίμιο Γενικού Κανονισμού Προστασίας Δεδομένων (13):

«Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. Για την ομαλή λειτουργία της εσωτερικής αγοράς, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν πρέπει να περιορίζεται, ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής (5).».

[7] Σύμφωνα με επικοινωνία ICO με Gemma Briance & Geoffrey Sturgess, συγγραφείς άρθρου «Article 30 GDPR: What Does the Paragraph 5 Exemption Really Mean for Smaller Organisations?» (accessed 14/06/2019 at https://www.scl.org/articles/10114-article-30-gdpr-what-does-the-paragraph-5-exemption-really-mean-for-smaller-organisations»).

[8] Gill Payne Partnership LTD, «GDPR Article 30 – Maintaining Record of Processing Activities

GDPR – We Employee Less than 250, we’re Exempt from Keeping Records of Data Processing Activities, right? » (accessed 14/06/2019 at https://www.gillpayne.com/2018/10/gdpr-article-30-maintaining-record-of-processing-activities/).

[9] SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess «Article 30 GDPR: What Does the Paragraph 5 Exemption Really Mean for Smaller Organisations? » (accessed 14/06/2019 at https://www.scl.org/articles/10114-article-30-gdpr-what-does-the-paragraph-5-exemption-really-mean-for-smaller-organisations).

[10] Βλ. ανωτέρω υποσημείωση (8) Gill Payne Partnership LTD.

[11] DPWP29 (WP262) Guidelines on Article 49 of Regulation 2016/679, adopted on 6 February 2018, page 4.

[12] DPWP29 (WP243rev.01) Guidelines on Data Protection Officers (‘DPOs’), page 11,12,29.

[13] Βλ. Ανωτέρω υποσημείωση (9) SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess.

[14] Guidance of Belgian Privacy Commission (DPA) accessed 14/06/2019 at https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf , Opinion only published in French and Flemish.

[15] Βλ. Ανωτέρω υποσημείωση (9) SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.