Υποχρεώσεις Επιχειρήσεων για Προσωπικά Δεδομένα κατά τον ΓΚΠΔ και τον Ν. 4624/2019
Συνοπτικά:
- Κάθε επιχείρηση που επεξεργάζεται προσωπικά δεδομένα στην Ελλάδα υπόκειται στον Κανονισμό (ΕΕ) 2016/679 (ΓΚΠΔ) και στον εφαρμοστικό Ν. 4624/2019, με βάρος απόδειξης συμμόρφωσης (αρχή λογοδοσίας) στην ίδια.
- Νομική βάση επεξεργασίας απαιτείται για κάθε πράξη (άρθρο 6 ΓΚΠΔ): συγκατάθεση, εκτέλεση σύμβασης ή έννομο συμφέρον με τεκμηριωμένη στάθμιση.
- Τα δικαιώματα των υποκειμένων (πρόσβαση, διαγραφή, εναντίωση) ικανοποιούνται εντός μηνός. Η ΑΠΔΠΧ έχει επιβάλει πρόστιμο 220.000 ευρώ για καθυστέρηση (απόφαση 1/2025).
- Ορισμός DPO είναι υποχρεωτικός σε τρεις περιπτώσεις (άρθρο 37 ΓΚΠΔ). Παραβίαση δεδομένων γνωστοποιείται σε 72 ώρες (άρθρο 33).
- Πρόστιμα έως 20 εκατ. ευρώ ή 4% του παγκόσμιου κύκλου εργασιών. Η ΑΠΔΠΧ εφαρμόζει ενεργά τις κυρώσεις και τα δικαστικά πρόστιμα έχουν αντέξει σε δικαστικό έλεγχο (ΣτΕ 657/2025 και ΣτΕ 660/2025).
Ποιες είναι οι βασικές υποχρεώσεις επιχείρησης κατά τον ΓΚΠΔ;
Κάθε επιχείρηση οφείλει να ορίζει νομική βάση επεξεργασίας, να τηρεί τις έξι αρχές του άρθρου 5 ΓΚΠΔ, να ικανοποιεί τα δικαιώματα των υποκειμένων εντός μηνός, να γνωστοποιεί τυχόν παραβιάσεις σε 72 ώρες και να αποδεικνύει εγγράφως τη συμμόρφωσή της (αρχή λογοδοσίας). Οι υποχρεώσεις αυτές ισχύουν ανεξαρτήτως μεγέθους.
Ο ΓΚΠΔ εφαρμόζεται άμεσα σε κάθε επιχείρηση εντός ΕΕ που επεξεργάζεται προσωπικά δεδομένα, αλλά και σε επιχειρήσεις εκτός ΕΕ που στοχεύουν αγορά ή υποκείμενα στην ΕΕ (άρθρο 3 ΓΚΠΔ – εδαφική εφαρμογή). Στην ελληνική έννομη τάξη συμπληρώνεται από τον Ν. 4624/2019, τις κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) και τις αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Οι έξι αρχές του άρθρου 5 ΓΚΠΔ συγκροτούν το ουσιαστικό περιεχόμενο της υποχρέωσης συμμόρφωσης: νομιμότητα, αντικειμενικότητα και διαφάνεια· περιορισμός σκοπού· ελαχιστοποίηση δεδομένων· ακρίβεια· περιορισμός περιόδου αποθήκευσης· ακεραιότητα και εμπιστευτικότητα. Η αρχή της λογοδοσίας (άρθρο 5 παρ. 2) επιφορτίζει τον υπεύθυνο επεξεργασίας με το βάρος απόδειξης ότι τηρεί όλα τα παραπάνω.
Για το θεμέλιο της ευθύνης, το ΔΕΕ στην υπόθεση C-807/21 (Deutsche Wohnen, 5.12.2023) έκρινε ότι η επιβολή προστίμου σε νομικό πρόσωπο δεν προϋποθέτει τον εντοπισμό συγκεκριμένου φυσικού προσώπου που υπέπεσε στην παράβαση. Αρκεί η διαπίστωση ότι η επιχείρηση ενήργησε με δόλο ή αμέλεια. Πρακτική συνέπεια: η επιχείρηση δεν μπορεί να μετακυλίσει την ευθύνη σε επιμέρους εργαζόμενο – φέρει συστημική ευθύνη για τη συμμόρφωση.
Σε ποιες νομικές βάσεις στηρίζεται η επεξεργασία προσωπικών δεδομένων;
Κάθε πράξη επεξεργασίας απαιτεί τουλάχιστον μία από τις έξι νομικές βάσεις του άρθρου 6 ΓΚΠΔ. Στο επιχειρηματικό περιβάλλον κρίσιμες είναι τρεις: η συγκατάθεση του υποκειμένου, η αναγκαιότητα για εκτέλεση σύμβασης και το έννομο συμφέρον του υπευθύνου επεξεργασίας. Η επιλογή λάθος βάσης συνιστά αυτοτελή παράβαση και ακυρώνει τη νομιμότητα της επεξεργασίας.
Συγκατάθεση και εκτέλεση σύμβασης
Η συγκατάθεση (άρθρο 6 παρ. 1 στοιχ. α) απαιτεί ελεύθερη, ρητή, ειδική και εν πλήρει γνώσει δήλωση του υποκειμένου (άρθρο 7 ΓΚΠΔ). Σε εργασιακό πλαίσιο, η ανισορροπία δύναμης μεταξύ εργοδότη και εργαζομένου θέτει σε αμφισβήτηση τον ελεύθερο χαρακτήρα της – για αυτόν τον λόγο σπανίως αποτελεί κατάλληλη βάση για τη διαχείριση δεδομένων εργαζομένων. Η εκτέλεση σύμβασης (στοιχ. β) καλύπτει τα δεδομένα που είναι αντικειμενικά αναγκαία για την παροχή της υπηρεσίας ή του προϊόντος, όχι τα συμπληρωματικά δεδομένα marketing ή ανάλυσης.
Έννομο συμφέρον και ειδικές κατηγορίες
Το έννομο συμφέρον (στοιχ. στ) επιτρέπει επεξεργασία αν τα συμφέροντα του υπευθύνου ή τρίτου υπερτερούν των δικαιωμάτων του υποκειμένου. Η στάθμιση αυτή τεκμηριώνεται εγγράφως («legitimate interest assessment», LIA) και λαμβάνει υπόψη τη φύση των δεδομένων, τις εύλογες προσδοκίες του υποκειμένου και τα μέτρα προστασίας. Χωρίς τεκμηριωμένη LIA, η επίκληση εννόμου συμφέροντος ως νομικής βάσης είναι ευάλωτη σε προσβολή.
Τα δεδομένα ειδικών κατηγοριών (άρθρο 9 ΓΚΠΔ) – υγείας, βιομετρικά, γενετικά, πολιτικών φρονημάτων, σεξουαλικού προσανατολισμού – υπόκεινται σε καθεστώς κατ’ αρχήν απαγόρευσης. Επεξεργάζονται μόνο εφόσον συντρέχει εξαίρεση του άρθρου 9 παρ. 2. Ο Ν. 4624/2019 (άρθρα 22–27) επιβάλλει πρόσθετες προϋποθέσεις, ιδίως για γενετικά δεδομένα και δεδομένα υγείας στον ασφαλιστικό τομέα. Πολλές επιχειρήσεις επεξεργάζονται ευαίσθητα δεδομένα χωρίς να το αντιλαμβάνονται – ενδεικτικά, βιομετρικός έλεγχος πρόσβασης ή διαχείριση αναρρωτικών αδειών εμπίπτει στο άρθρο 9.
Ποια δικαιώματα έχουν τα υποκείμενα και ποιες οι προθεσμίες απάντησης;
Τα φυσικά πρόσωπα διαθέτουν δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού επεξεργασίας, φορητότητας δεδομένων και εναντίωσης (άρθρα 15–22 ΓΚΠΔ). Η επιχείρηση οφείλει να απαντά εντός ενός μηνός, με δυνατότητα παράτασης δύο ακόμη μηνών για σύνθετες περιπτώσεις. Η εμπρόθεσμη ανταπόκριση δεν είναι τυπική υποχρέωση – η ΑΠΔΠΧ τη θεωρεί ουσιώδη και επιβάλλει βαριά πρόστιμα για παραβιάσεις.
Στη νομολογία του ΔΕΕ, η υπόθεση C-154/21 (Österreichische Post, 12.1.2023) έκρινε ότι κατά την άσκηση του δικαιώματος πρόσβασης, το υποκείμενο δικαιούται να λάβει πληροφορίες για τους συγκεκριμένους αποδέκτες στους οποίους διαβιβάστηκαν τα δεδομένα του, και όχι απλώς για κατηγορίες αποδεκτών. Η συνέπεια είναι πρακτική: οι επιχειρήσεις οφείλουν να τηρούν αναλυτικά αρχεία διαβιβάσεων ονομαστικά, ώστε να μπορούν να απαντούν με πληρότητα.
Η ελληνική νομολογιακή πρακτική επιβεβαιώνει την έμφαση στην εμπρόθεσμη ικανοποίηση. Η ΑΠΔΠΧ με την απόφαση 1/2025 επέβαλε πρόστιμο 220.000 ευρώ σε συστημική τράπεζα για σοβαρές καθυστερήσεις στην ικανοποίηση αιτημάτων πρόσβασης. Η ΑΠΔΠΧ 30/2024 επέβαλε πρόστιμο 1.400 ευρώ σε δικηγόρο που δεν επέστρεψε έγγραφα πελάτη και δεν συνεργάστηκε με την Αρχή – υπενθύμιση ότι η εποπτεία αφορά και τις πολύ μικρές επιχειρήσεις.
Πότε υποχρεούται η επιχείρηση να ορίσει DPO;
Ο ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer, DPO) είναι υποχρεωτικός σε τρεις περιπτώσεις του άρθρου 37 ΓΚΠΔ: (i) όταν η επεξεργασία διενεργείται από δημόσια αρχή, (ii) όταν οι βασικές δραστηριότητες της επιχείρησης απαιτούν τακτική και συστηματική παρακολούθηση υποκειμένων σε μεγάλη κλίμακα, και (iii) όταν συνίστανται στην επεξεργασία ειδικών κατηγοριών δεδομένων σε μεγάλη κλίμακα.
Η έννοια της «μεγάλης κλίμακας» δεν ορίζεται ποσοτικά στον Κανονισμό. Το EDPB (πρώην WP29) αναφέρει ως κριτήρια τον αριθμό υποκειμένων, τον όγκο δεδομένων, τη διάρκεια της επεξεργασίας και τη γεωγραφική έκταση. Ενδεικτικά, νοσοκομεία, ασφαλιστικές, ραδιοτηλεοπτικοί φορείς, πάροχοι τηλεπικοινωνιών και πλατφόρμες μεγάλων e-shops θεωρούνται κατά κανόνα ως δραστηριότητες μεγάλης κλίμακας. Μικρομεσαία επιχείρηση που διαχειρίζεται απλά πελατολόγιο δεν εμπίπτει.
Ο ρόλος του DPO είναι συμβουλευτικός και εποπτικός, χωρίς προσωπική ευθύνη για τη μη συμμόρφωση – η ευθύνη παραμένει στον υπεύθυνο επεξεργασίας. Ο Ν. 4624/2019 (άρθρο 6) εξειδικεύει τις προϋποθέσεις ορισμού DPO σε δημόσιους φορείς. Η ΑΠΔΠΧ με την απόφαση 43/2024 επέβαλε πρόστιμο 50.000 ευρώ σε Υπουργείο για μη ορισμό DPO και μη συνεργασία με την Αρχή. Ακόμη και όταν ο ορισμός δεν είναι υποχρεωτικός, εθελοντικός ορισμός εσωτερικού ή εξωτερικού DPO διευκολύνει σημαντικά την τεκμηρίωση συμμόρφωσης.
Πότε απαιτείται DPIA και πότε σύμβαση επεξεργασίας με τρίτους;
Εκτίμηση Αντικτύπου (DPIA) απαιτείται όταν η επεξεργασία ενδέχεται να δημιουργήσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (άρθρο 35 ΓΚΠΔ). Σύμβαση επεξεργασίας (DPA) απαιτείται όποτε η επιχείρηση αναθέτει σε τρίτο επεξεργασία προσωπικών δεδομένων (άρθρο 28 παρ. 3). Παράλειψη οποιουδήποτε από τα δύο συνιστά αυτοτελή παράβαση.
DPIA: πότε ενεργοποιείται και τι περιλαμβάνει
Ενδεικτικές περιπτώσεις υποχρέωσης DPIA: (i) συστηματική αξιολόγηση προσωπικών πτυχών (profiling) με αυτοματοποιημένη λήψη αποφάσεων, (ii) μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων, (iii) συστηματική παρακολούθηση δημόσια προσβάσιμων χώρων (π.χ. βιντεοεπιτήρηση), και (iv) χρήση νέων τεχνολογιών με αβέβαιο προφίλ κινδύνου, όπως συστήματα τεχνητής νοημοσύνης για επεξεργασία δεδομένων υπαλλήλων ή πελατών. Η ΑΠΔΠΧ έχει δημοσιεύσει τυπικό κατάλογο πράξεων που απαιτούν DPIA.
Το DPIA περιλαμβάνει συστηματική περιγραφή της επεξεργασίας, αξιολόγηση αναγκαιότητας και αναλογικότητας, εκτίμηση κινδύνων για τα υποκείμενα και προβλεπόμενα μέτρα μετριασμού. Όταν τα μέτρα δεν επαρκούν, η επιχείρηση οφείλει να ζητήσει προηγούμενη διαβούλευση από την ΑΠΔΠΧ (άρθρο 36 ΓΚΠΔ) πριν ξεκινήσει την επεξεργασία.
Σχέσεις controller – processor και κίνδυνος joint controllership
Ο υπεύθυνος επεξεργασίας (controller) καθορίζει σκοπούς και μέσα. Ο εκτελών (processor) ενεργεί κατ’ εντολή του. Στις σύγχρονες σχέσεις cloud, SaaS, μισθοδοσίας και marketing, η διάκριση δεν είναι πάντοτε ευχερής. Το ΔΕΕ στην υπόθεση C-683/21 (Nacionalinis visuomenės sveikatos centras, 5.12.2023) αποσαφήνισε ότι η ιδιότητα του από κοινού υπευθύνου επεξεργασίας («joint controller») προκύπτει ακόμη και χωρίς τυπική συμφωνία ή κοινή απόφαση, αρκεί τα μέρη να ασκούν από κοινού επιρροή στην επεξεργασία.
Παράλληλα, το ΔΕΕ έκρινε ότι ο υπεύθυνος δεν ευθύνεται για πράξεις του εκτελούντος που γίνονται για ίδιους σκοπούς του, πέραν των εντολών του υπευθύνου – ο εκτελών καθίσταται τότε ο ίδιος υπεύθυνος επεξεργασίας (άρθρο 28 παρ. 10 ΓΚΠΔ). Η σύμβαση επεξεργασίας πρέπει να ρυθμίζει αντικείμενο, διάρκεια, φύση και σκοπό, τύπο δεδομένων, μέτρα ασφαλείας και υποχρεώσεις του εκτελούντος. Ιδιαίτερα κρίσιμη είναι η DPA με παρόχους λογισμικού ως υπηρεσίας (SaaS), cloud hosting, μισθοδοσίας και εξωτερικών λογιστών.
Πώς γίνεται η γνωστοποίηση παραβίασης δεδομένων εντός 72 ωρών;
Σε περίπτωση παραβίασης («data breach»), ο υπεύθυνος επεξεργασίας γνωστοποιεί το περιστατικό στην ΑΠΔΠΧ εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση (άρθρο 33 ΓΚΠΔ), εκτός αν η παραβίαση δεν ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα των υποκειμένων. Αν ο κίνδυνος είναι υψηλός, ανακοινώνεται και στα ίδια τα υποκείμενα (άρθρο 34). Ο υπολογισμός των 72 ωρών ξεκινά από την επίγνωση του περιστατικού, όχι από τη διεξοδική διερεύνησή του.
Η γνωστοποίηση περιλαμβάνει περιγραφή της φύσης της παραβίασης, κατηγορίες και κατά προσέγγιση αριθμό υποκειμένων και αρχείων, στοιχεία επικοινωνίας του DPO, περιγραφή πιθανών συνεπειών και των μέτρων που λήφθηκαν ή προτείνονται. Αν δεν είναι δυνατή η ταυτόχρονη παροχή όλων των πληροφοριών, η γνωστοποίηση μπορεί να γίνει σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
Στη νομολογία του ΔΕΕ, η υπόθεση C-340/21 (Natsionalna agentsia za prihodite, 14.12.2023) καθόρισε τρία κρίσιμα σημεία: η απλή διαπίστωση παραβίασης δεν αρκεί από μόνη της για να θεμελιώσει ευθύνη του υπευθύνου, ο φόβος του υποκειμένου για πιθανή κατάχρηση δεδομένων μετά από κυβερνοεπίθεση μπορεί να συνιστά ηθική βλάβη κατά το άρθρο 82 ΓΚΠΔ, και το βάρος απόδειξης της καταλληλότητας των τεχνικών και οργανωτικών μέτρων φέρει ο υπεύθυνος επεξεργασίας. Πρακτική συνέπεια: η ύπαρξη τεκμηριωμένου incident response plan και αυστηρών μέτρων κυβερνοασφάλειας δεν είναι προαιρετική – είναι μέρος της υπερασπίσιμης θέσης της επιχείρησης.
Η ελληνική εμπειρία είναι σαφής: στην υπόθεση Cosmote (ΑΠΔΠΧ 4/2022), η Αρχή εξέτασε όχι μόνο την ίδια τη διαρροή αλλά και τη νομιμότητα τήρησης των αρχείων που διέρρευσαν και την επάρκεια των μέτρων ασφάλειας. Η γνωστοποίηση δεν αποτελεί απλώς διαδικαστική κίνηση – ανοίγει διεξοδικό έλεγχο της συνολικής συμμόρφωσης.
Πώς ρυθμίζεται η διαβίβαση δεδομένων εκτός ΕΕ;
Η διαβίβαση προσωπικών δεδομένων εκτός ΕΕ/ΕΟΧ επιτρέπεται μόνο υπό τις προϋποθέσεις των άρθρων 44–49 ΓΚΠΔ. Οι κυριότεροι μηχανισμοί είναι:
- απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής (άρθρο 45),
- τυποποιημένες συμβατικές ρήτρες (Standard Contractual Clauses, SCCs, άρθρο 46 παρ. 2 στοιχ. γ΄), και
- δεσμευτικοί εταιρικοί κανόνες (Binding Corporate Rules, BCRs, άρθρο 47).
Μετά την απόφαση Schrems II (C-311/18, 16.7.2020), κάθε διαβίβαση που στηρίζεται σε SCCs πρέπει να συνοδεύεται από εκτίμηση αντικτύπου της διαβίβασης (Transfer Impact Assessment, TIA), η οποία αξιολογεί αν η νομοθεσία της τρίτης χώρας παρέχει ουσιαστικά ισοδύναμη προστασία. Η TIA εξετάζει συγκεκριμένα τις εξουσίες πρόσβασης των τοπικών αρχών, την ύπαρξη δικαστικού ελέγχου και τα μέσα έννομης προστασίας για τα υποκείμενα.
Για τις ΗΠΑ, ισχύει από 10.7.2023 το EU-US Data Privacy Framework, που λειτουργεί ως απόφαση επάρκειας για διαβιβάσεις σε πιστοποιημένους αμερικανικούς οργανισμούς. Δεν καλύπτει όλους τους αποδέκτες – ο πάροχος cloud πρέπει να είναι πραγματικά εγγεγραμμένος στο Framework, και η εγγραφή ελέγχεται. Για επιχειρήσεις που χρησιμοποιούν cloud, CRM ή marketing tools με υποδομές εκτός ΕΕ, η ταυτοποίηση τόπου επεξεργασίας και ο μηχανισμός διαβίβασης αποτελούν προϋπόθεση συμμόρφωσης που τεκμηριώνεται γραπτώς.
Ποιες κυρώσεις προβλέπει ο ΓΚΠΔ και πώς τις εφαρμόζει η ΑΠΔΠΧ;
Ο ΓΚΠΔ προβλέπει διοικητικά πρόστιμα δύο βαθμίδων (άρθρο 83): έως 10.000.000 ευρώ ή 2% ετήσιου παγκόσμιου κύκλου εργασιών για παραβάσεις οργανωτικής φύσεως, και έως 20.000.000 ευρώ ή 4% για παραβάσεις ουσιαστικής φύσεως. Επιπλέον, ο Ν. 4624/2019 (άρθρα 38–39) προβλέπει ποινικές κυρώσεις για σοβαρές παραβάσεις, και το άρθρο 82 ΓΚΠΔ θεμελιώνει αυτοτελή αστική αξίωση αποζημίωσης. Η ΑΠΔΠΧ εφαρμόζει ενεργά τις κυρώσεις, με σταθερή αύξηση των ποσών μετά το 2023.
| Παράβαση | Ανώτατο πρόστιμο (άρθρο 83) | Παράδειγμα ελληνικής νομολογίας |
|---|---|---|
| Παραβίαση δικαιωμάτων υποκειμένων (άρθρα 12–22) | 20 εκατ. ευρώ ή 4% κύκλου | ΑΠΔΠΧ 1/2025: 220.000€ σε τράπεζα (καθυστέρηση πρόσβασης) |
| Επεξεργασία χωρίς νομική βάση (άρθρο 6) | 20 εκατ. ευρώ ή 4% κύκλου | ΑΠΔΠΧ 25/2023: 210.000€ σε τράπεζα (23.259 πελάτες) |
| Παράνομη διαβίβαση δεδομένων | 20 εκατ. ευρώ ή 4% κύκλου | ΑΠΔΠΧ 16/2024: 400.000€ σε Υπουργείο Εσωτερικών (διαρροή λίστας αποδήμων) + 40.000€ σε Ευρωβουλευτή |
| Μη ορισμός DPO (άρθρο 37) | 10 εκατ. ευρώ ή 2% κύκλου | ΑΠΔΠΧ 43/2024: 50.000€ σε Υπουργείο |
| Αζήτητη εμπορική επικοινωνία | 10 εκατ. ευρώ ή 2% κύκλου | ΑΠΔΠΧ 43/2025: 115.000€ σε ΗΡΩΝ + 35.000€ σε ICOMM (τηλεφωνικές κλήσεις) |
| Παραβίαση δικαιώματος εναντίωσης | 10 εκατ. ευρώ ή 2% κύκλου | ΑΠΔΠΧ 8/2025: 45.000€ σε γραφείο γνωριμιών (spam SMS) |
| Μη συνεργασία με την Αρχή | 10 εκατ. ευρώ ή 2% κύκλου | ΑΠΔΠΧ 30/2024: 1.400€ σε δικηγόρο (μη επιστροφή εγγράφων) |
Δύο ποιοτικές παρατηρήσεις προκύπτουν από τα παραπάνω. Πρώτον, η ΑΠΔΠΧ ελέγχει εξίσου μεγάλους ομίλους και πολύ μικρές επιχειρήσεις. Η απόφαση 30/2024 (πρόστιμο σε μεμονωμένο δικηγόρο) δείχνει ότι κανένα όριο μεγέθους δεν αποτελεί ασπίδα. Δεύτερον, τα δικαστικά πρόστιμα έχουν αντέξει σε δικαστικό έλεγχο: το ΣτΕ με τις αποφάσεις 657/2025, 659/2025 και 660/2025 απέρριψε τις αιτήσεις ακύρωσης των προστίμων Ασημακοπούλου και των δύο στελεχών της ΝΔ από την υπόθεση 16/2024, κρίνοντας ότι το νομοθετικό πλαίσιο και η αιτιολογία της Αρχής ήταν επαρκή. Παράλληλα ακύρωσε το πρόστιμο 40.000€ προς το ίδιο το κόμμα της ΝΔ, αναγνωρίζοντας ότι η Αρχή πρέπει να τεκμηριώνει επαρκώς την αιτιότητα μεταξύ νομικού προσώπου και διαρροής. Η εικόνα είναι ότι ο δικαστικός έλεγχος είναι ουσιαστικός αλλά όχι ευνοϊκός για τους αμελείς.
Συχνές ερωτήσεις
Υπόκειται στον ΓΚΠΔ και η μικρή ατομική επιχείρηση;
Ναι. Ο ΓΚΠΔ δεν προβλέπει εξαίρεση μεγέθους. Μόνη ουσιαστική διαφοροποίηση είναι ότι επιχειρήσεις με λιγότερους από 250 εργαζομένους εξαιρούνται από την υποχρέωση τήρησης αρχείων δραστηριοτήτων του άρθρου 30, αλλά μόνο αν η επεξεργασία είναι περιστασιακή και δεν αφορά ευαίσθητα δεδομένα. Στην πράξη, η εξαίρεση αυτή σπάνια εφαρμόζεται, καθώς σχεδόν κάθε επιχείρηση επεξεργάζεται τακτικά δεδομένα εργαζομένων και πελατών.
Ποια έγγραφα συμμόρφωσης πρέπει να τηρεί υποχρεωτικά μια επιχείρηση;
Κατ’ ελάχιστον: αρχείο δραστηριοτήτων επεξεργασίας (άρθρο 30), πολιτική απορρήτου ορατή στους ιστότοπους, συμβάσεις επεξεργασίας (DPA) με κάθε εξωτερικό συνεργάτη που αποκτά πρόσβαση σε δεδομένα, στάθμιση εννόμου συμφέροντος όπου αυτή χρησιμοποιείται ως νομική βάση, και πρωτόκολλο αντιμετώπισης παραβιάσεων. Όταν συντρέχει υψηλός κίνδυνος, προστίθεται DPIA. Η τεκμηρίωση δεν είναι γραφειοκρατική επιβάρυνση – είναι το μέσο με το οποίο η επιχείρηση αποδεικνύει συμμόρφωση σε έλεγχο.
Τι κίνδυνο διατρέχει η επιχείρηση που χρησιμοποιεί cloud πάροχο εκτός ΕΕ;
Διπλό κίνδυνο: αφενός παραβίαση των άρθρων 44–49 ΓΚΠΔ αν δεν υπάρχει κατάλληλος μηχανισμός διαβίβασης (απόφαση επάρκειας, SCCs με TIA, ή BCRs), αφετέρου ευθύνη για ανεπαρκή επιλογή εκτελούντος (άρθρο 28). Συνέπεια: η επιχείρηση πρέπει να ελέγχει τη γεωγραφική τοποθεσία των διακομιστών του παρόχου, να συνάπτει DPA με ρήτρες SCCs ή να επιλέγει παρόχους εγγεγραμμένους στο EU-US Data Privacy Framework, και να τηρεί τεκμηρίωση της επιλογής της.
Τι ισχύει για τη χρήση συστημάτων τεχνητής νοημοσύνης σε προσωπικά δεδομένα;
Η χρήση συστήματος τεχνητής νοημοσύνης για επεξεργασία προσωπικών δεδομένων ενεργοποιεί παράλληλη εφαρμογή ΓΚΠΔ και του Κανονισμού (ΕΕ) 2024/1689 (AI Act). Προϋποθέτει νομική βάση κατά το άρθρο 6, σύμβαση επεξεργαστή με τον AI provider κατά το άρθρο 28, έλεγχο τόπου επεξεργασίας, και κατά κανόνα DPIA όταν η επεξεργασία περιλαμβάνει αυτοματοποιημένη λήψη αποφάσεων ή profiling. Η αλληλεπικάλυψη των δύο πλαισίων απαιτεί ξεχωριστή νομική ανάλυση πριν την υιοθέτηση κάθε εργαλείου τεχνητής νοημοσύνης που επεξεργάζεται δεδομένα πελατών ή υπαλλήλων.
Πρακτικές Επισημάνσεις
Χαρτογράφηση δεδομένων ως πρώτο βήμα: Καμία πολιτική και κανένα μέτρο δεν εφαρμόζεται στοχευμένα χωρίς πλήρη καταγραφή κατηγοριών δεδομένων που συλλέγει, αποθηκεύει και διαβιβάζει η επιχείρηση. Η χαρτογράφηση τροφοδοτεί το αρχείο δραστηριοτήτων του άρθρου 30 και προσδιορίζει πού απαιτείται DPIA ή DPA.
Στάθμιση εννόμου συμφέροντος εγγράφως: Η επίκληση εννόμου συμφέροντος ως νομικής βάσης χωρίς γραπτή LIA είναι ευάλωτη σε προσβολή. Η LIA τεκμηριώνει σε τρία βήματα: σκοπός, αναγκαιότητα, στάθμιση δικαιωμάτων υποκειμένου.
DPA με κάθε εξωτερικό συνεργάτη: Λογιστής, μισθοδοσία, hosting, CRM, marketing tools, AI providers – κάθε τρίτος που αποκτά πρόσβαση σε δεδομένα πρέπει να έχει υπογράψει σύμβαση επεξεργασίας σύμφωνη με το άρθρο 28 ΓΚΠΔ. Η ευθύνη του υπευθύνου επεξεργασίας περιλαμβάνει την επαρκή επιλογή και τον έλεγχο του εκτελούντος.
Πρωτόκολλο 72 ωρών έτοιμο εκ των προτέρων: Η επιχείρηση χρειάζεται γραπτό incident response plan με ρόλους, κανάλια ειδοποίησης, κριτήρια αξιολόγησης σοβαρότητας και πρότυπο γνωστοποίησης προς ΑΠΔΠΧ. Στις 72 ώρες δεν υπάρχει χρόνος αυτοσχεδιασμού.
Επικάλυψη με Μητρώο Πραγματικών Δικαιούχων και άλλα compliance regimes: Οι υποχρεώσεις GDPR συνυπάρχουν με υποχρεώσεις AML, ΓΕΜΗ και τομεακές κανονιστικές διατάξεις. Η συμμόρφωση πρέπει να σχεδιάζεται ολοκληρωμένα, όχι σε σιλό, ώστε τα ίδια δεδομένα να μην τυγχάνουν αντιφατικής διαχείρισης.
Εκπαίδευση προσωπικού ως μέτρο πρόληψης: Η πλειονότητα των παραβιάσεων προέρχεται από ανθρώπινο σφάλμα – λάθος αποδέκτης email, χρήση προσωπικού USB, αδυναμία αναγνώρισης phishing. Τακτική εκπαίδευση είναι μέτρο υψηλής απόδοσης και τεκμηριώνει τη λήψη οργανωτικών μέτρων κατά την αξιολόγηση από την ΑΠΔΠΧ.
Το Δικηγορικό μας Γραφείο, για περισσότερα από 20 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε για τη συμμόρφωση σχετικά με τον GDPR.
