Αρθρογραφία

Πότε Επιβάλλεται Πολιτική Απορρήτου σε Εταιρικό Ιστότοπο

Από τον Γεώργιο Στουραΐτη, Δικηγόρο παρ’ Αρείω Πάγω · Τελευταία ενημέρωση: 16 Μαΐου 2026

Σύνταξη Δήλωσης Προστασίας Δεδομένων Ιστότοπου: Νομικό Πλαίσιο και Κρίσιμες Επιλογές

Συνοπτικά:

Η Πολιτική Απορρήτου αποτελεί υποχρεωτικό νομικό κείμενο κάθε ιστοσελίδας που συλλέγει προσωπικά δεδομένα, ακόμη και τα ελάχιστα (φόρμα επικοινωνίας, IP, cookies).
Το πλαίσιο σύνταξης διέπεται από τον Κανονισμό 2016/679 (ΓΚΠΔ), τον Ν. 4624/2019 και τον Ν. 3471/2006.
Η νομική βάση επεξεργασίας του άρθρου 6 παρ. 1 ΓΚΠΔ επιλέγεται αναλόγως του σκοπού. Λάθος επιλογή καθιστά την επεξεργασία ολικά παράνομη.
Η αντιγραφή πολιτικής από άλλη ιστοσελίδα παράγει ψευδείς δηλώσεις σκοπών και αποδεκτών, τις οποίες η ΑΠΔΠΧ αντιμετωπίζει ως αυτοτελή παράβαση της αρχής της διαφάνειας.
Πρόστιμα ΑΠΔΠΧ για ξεπερασμένες ή ασαφείς πολιτικές απορρήτου ξεκινούν από ποσά χιλιάδων ευρώ και κλιμακώνονται σε εκατομμύρια για συστηματικές παραβάσεις.

Πότε υποχρεούται μια ιστοσελίδα να αναρτά Πολιτική Απορρήτου;

Η υποχρέωση ανάρτησης Πολιτικής Απορρήτου ενεργοποιείται κάθε φορά που η ιστοσελίδα συλλέγει προσωπικά δεδομένα (πχ ονοματεπώνυμο, email, διεύθυνση IP, cookies analytics ή cookies διαφημιστικών εργαλείων κλπ).

Η υποχρέωση απορρέει από τα άρθρα 12, 13 και 14 του Κανονισμού (ΕΕ) 2016/679 (ΓΚΠΔ) και ισχύει ανεξαρτήτως μεγέθους της επιχείρησης ή της φύσης του ιστοτόπου.

Το ελληνικό κανονιστικό πλαίσιο συγκροτείται από τρία νομοθετήματα:

τον ΓΚΠΔ, που εφαρμόζεται απευθείας από 25 Μαΐου 2018 και ορίζει τις θεμελιώδεις αρχές επεξεργασίας.
τον Ν. 4624/2019, που λειτουργεί ως εφαρμοστικός νόμος του ΓΚΠΔ και εξειδικεύει ορισμένες πτυχές για το ελληνικό δίκαιο.
τον Ν. 3471/2006, που ενσωματώνει την Οδηγία 2002/58/ΕΚ (ePrivacy) και ρυθμίζει ειδικά τη χρήση cookies και άλλων τεχνολογιών παρακολούθησης στον τερματικό εξοπλισμό του χρήστη.

Η υποχρέωση εφαρμόζεται σε κάθε τύπο επιχειρηματικού ιστοτόπου, όπως ενδεικτικά:

εταιρικές παρουσιάσεις (corporate sites),
blogs με φόρμα εγγραφής σε newsletter,
ιστοσελίδες παροχής επαγγελματικών υπηρεσιών,
λογισμικό ως υπηρεσία (SaaS – Software as a Service) με προσωπικούς λογαριασμούς χρηστών,
ενημερωτικούς ιστοτόπους με στατιστικά εργαλεία επισκεψιμότητας.

Η πρακτική «δεν συλλέγω δεδομένα» κατά κανόνα δεν ευσταθεί τεχνικά: αρκεί η χρήση Google Analytics ή φόρμας επικοινωνίας για να προκύψει υποχρέωση ανάρτησης Πολιτικής Απορρήτου.

Παράλληλ, υφίσταται υποχρέωση για συμμόρφωση της επιχείρησης με τον ΓΚΠΔ στον ευρύτερο της οργανωτικό σχεδιασμό, ανεξαρτήτως της ύπαρξης της πολιτικής στον ιστότοπο.

Τι περιεχόμενο απαιτείται κατά το άρθρο 13 ΓΚΠΔ;

Το άρθρο 13 ΓΚΠΔ απαριθμεί τα στοιχεία ενημέρωσης που πρέπει να παρέχονται κατά τη συλλογή προσωπικών δεδομένων απευθείας από το υποκείμενο. Πρόκειται για:

ταυτότητα υπευθύνου επεξεργασίας,
στοιχεία υπευθύνου προστασίας δεδομένων όπου υφίσταται,
σκοπούς και νομική βάση,
κατηγορίες αποδεκτών,
τυχόν διαβιβάσεις εκτός Ευρωπαϊκού Οικονομικού Χώρου,
χρόνο διατήρησης, δικαιώματα υποκειμένων και
ύπαρξη αυτοματοποιημένης λήψης αποφάσεων.

Στοιχεία υπευθύνου επεξεργασίας και Υπεύθυνου Προστασίας Δεδομένων

Ο υπεύθυνος επεξεργασίας (controller) είναι το πρόσωπο που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας. Στην πολιτική απορρήτου πρέπει να αναγράφονται η πλήρης εταιρική επωνυμία, ο ΑΦΜ, η έδρα, τα στοιχεία επικοινωνίας (τηλέφωνο και email) και ο αριθμός ΓΕΜΗ.

Παραδειγματική διατύπωση: «Υπεύθυνος επεξεργασίας των προσωπικών δεδομένων είναι η εταιρεία [επωνυμία], με έδρα [διεύθυνση], ΑΦΜ [αριθμός], ΓΕΜΗ [αριθμός], τηλ. [αριθμός], email [διεύθυνση]».

Ο ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO, Data Protection Officer) είναι υποχρεωτικός κατά το άρθρο 37 ΓΚΠΔ μόνο σε τρεις περιπτώσεις:

όταν πρόκειται για δημόσιο φορέα,
σε βασικές δραστηριότητες που απαιτούν τακτική και συστηματική παρακολούθηση υποκειμένων σε μεγάλη κλίμακα, ή
σε μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων.

Η πλειονότητα των μικρομεσαίων επιχειρηματικών ιστοσελίδων δεν εμπίπτει στις περιπτώσεις αυτές, οπότε η αναφορά «δεν υφίσταται υποχρέωση ορισμού DPO» είναι θεμιτή και αρκεί. Όταν όμως ορίζεται DPO, η ανακοίνωση των στοιχείων επικοινωνίας του είναι υποχρεωτική (άρθρο 37 παρ. 7 ΓΚΠΔ).

Σκοποί επεξεργασίας και κατηγορίες αποδεκτών

Οι σκοποί επεξεργασίας πρέπει να διατυπώνονται με συγκεκριμένο και αυστηρά οριοθετημένο τρόπο. Γενικές αναφορές τύπου «βελτίωση των υπηρεσιών μας» απορρίπτονται ως ασαφείς.

Παραδείγματα δόκιμων διατυπώσεων: «επικοινωνία με τον επισκέπτη σε απάντηση υποβληθέντος αιτήματος», «εγγραφή σε ενημερωτικό δελτίο», «στατιστική ανάλυση επισκεψιμότητας μέσω εργαλείων αναλυτικών».

Η αναφορά αποδεκτών αποτελεί σημείο που γεννά συστηματικές παραβάσεις. Η νομολογία της ΑΠΔΠΧ διαφοροποιεί μεταξύ κατηγοριών αποδεκτών και συγκεκριμένων αποδεκτών. Με την υπ’ αριθμ. 19/2024 απόφαση, η Αρχή έκρινε ότι για την υποχρέωση ενημέρωσης των άρθρων 13-14 ΓΚΠΔ αρκεί η αναφορά κατηγοριών αποδεκτών (π.χ. «πάροχοι φιλοξενίας», «εταιρείες email marketing»).

Αντιθέτως, για την ικανοποίηση του δικαιώματος πρόσβασης του άρθρου 15 ΓΚΠΔ, το υποκείμενο δικαιούται να ζητήσει και να λάβει τους συγκεκριμένους αποδέκτες στους οποίους κοινολογήθηκαν τα δεδομένα του. Η Αρχή απηύθυνε εντολή τροποποίησης των διαδικασιών της εταιρείας, ώστε τα ασκούμενα δικαιώματα πρόσβασης να ικανοποιούνται αναλυτικά και όχι με απλή παραπομπή στην αναρτημένη Πολιτική Απορρήτου.

Διαβιβάσεις εκτός ΕΟΧ και χρόνος διατήρησης

Όταν δεδομένα διαβιβάζονται εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), συνήθως μέσω διακομιστών (servers) ή υπηρεσιών cloud στις Ηνωμένες Πολιτείες, η Πολιτική Απορρήτου οφείλει να ενημερώνει ρητά τον επισκέπτη.

Οι εφαρμόσιμες εγγυήσεις των άρθρων 44-49 ΓΚΠΔ περιλαμβάνουν τις τυποποιημένες συμβατικές ρήτρες της Ευρωπαϊκής Επιτροπής, τους δεσμευτικούς εταιρικούς κανόνες ή απόφαση επάρκειας για συγκεκριμένη τρίτη χώρα. Η αναφορά «τα δεδομένα ενδέχεται να διαβιβάζονται σε τρίτες χώρες» χωρίς προσδιορισμό εγγυήσεων είναι ανεπαρκής.

Ο χρόνος διατήρησης ορίζεται ξεχωριστά για κάθε κατηγορία δεδομένων και κάθε σκοπό. Δεν επιτρέπεται αόριστη αναφορά «για όσο διάστημα απαιτείται».

Παραδείγματα: «δεδομένα φόρμας επικοινωνίας: 12 μήνες από την τελευταία επικοινωνία», «δεδομένα ηλεκτρονικού δελτίου: μέχρι την ανάκληση της συγκατάθεσης», «δεδομένα τιμολόγησης: 10 έτη σύμφωνα με τη φορολογική νομοθεσία» κλπ.

Δικαιώματα υποκειμένων και προσφυγή στην ΑΠΔΠΧ

Τα δικαιώματα των υποκειμένων κατά τα άρθρα 15-22 ΓΚΠΔ απαριθμούνται ρητά στην Πολιτική Απορρήτου. Πρόκειται για:

δικαίωμα πρόσβασης στα δεδομένα και λήψης αντιγράφου (άρθρο 15),
δικαίωμα διόρθωσης ανακριβών δεδομένων (άρθρο 16),
δικαίωμα διαγραφής («δικαίωμα στη λήθη», άρθρο 17),
δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18),
δικαίωμα φορητότητας (άρθρο 20),
δικαίωμα εναντίωσης (άρθρο 21),
δικαίωμα μη υπαγωγής σε αποφάσεις βασιζόμενες αποκλειστικά σε αυτοματοποιημένη επεξεργασία (άρθρο 22).

Όπου η επεξεργασία στηρίζεται σε συγκατάθεση, υφίσταται και δικαίωμα ανάκλησής της οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.

Παράλληλα, πρέπει να αναγράφεται το δικαίωμα προσφυγής στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Λεωφ. Κηφισίας 1-3, 11523 Αθήνα, τηλ. 210 6475600, email contact@dpa.gr).

Αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ

Όταν η ιστοσελίδα εφαρμόζει αυτοματοποιημένη λήψη αποφάσεων που παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο (π.χ. αυτόματη απόρριψη αίτησης πίστωσης βάσει credit scoring algorithm), η Πολιτική Απορρήτου ενημερώνει για την ύπαρξη της επεξεργασίας, τη λογική της και τις συνέπειες.

Η απλή profiling για στατιστικούς ή marketing σκοπούς συνήθως δεν εμπίπτει στην απαίτηση αυτή, χρειάζεται όμως ξεχωριστή αναφορά αν στηρίζεται σε συγκατάθεση.

Πώς επιλέγεται η νομική βάση επεξεργασίας;

Η νομική βάση κάθε επεξεργασίας προκύπτει αποκλειστικά από το άρθρο 6 παρ. 1 ΓΚΠΔ, που απαριθμεί έξι περιοριστικά παραδεκτές βάσεις. Στην πράξη, για επιχειρηματικές ιστοσελίδες, εφαρμόζονται κυρίως τέσσερις:

η εκτέλεση σύμβασης,
η συγκατάθεση,
η συμμόρφωση με νομική υποχρέωση και
το έννομο συμφέρον.

Η επιλογή λάθος βάσης καθιστά την επεξεργασία ολικά παράνομη, ανεξαρτήτως αν τηρούνται οι λοιπές αρχές.

Η εμπειρία μας από υποθέσεις συμμόρφωσης ΓΚΠΔ δείχνει ότι η συγκατάθεση επιστρατεύεται από επιχειρήσεις ως default επιλογή, με την εσφαλμένη πεποίθηση ότι «καλύπτει τα πάντα».

Στην πραγματικότητα, η συγκατάθεση πρέπει να είναι ελεύθερη, συγκεκριμένη, σε γνώση και ρητή, και να μπορεί να ανακληθεί οποτεδήποτε. Όταν τα δεδομένα είναι αναγκαία για να εκτελεστεί παραγγελία ή σύμβαση, η ορθή βάση είναι η εκτέλεση σύμβασης, όχι η συγκατάθεση.

Νομική βάση (άρθρο 6 παρ. 1)	Πότε εφαρμόζεται	Πότε ΔΕΝ εφαρμόζεται	Παράδειγμα
Εκτέλεση σύμβασης (στοιχ. β)	Όταν τα δεδομένα είναι αναγκαία για παροχή υπηρεσίας ή προϊόντος	Όταν η επεξεργασία υπερβαίνει τα αναγκαία για τη σύμβαση	Στοιχεία πελάτη για παράδοση παραγγελίας
Συγκατάθεση (στοιχ. α)	Για προαιρετικές επεξεργασίες (newsletter, marketing cookies)	Όταν δεν υπάρχει πραγματική επιλογή ή απαιτείται για παροχή κύριας υπηρεσίας	Εγγραφή σε ενημερωτικό δελτίο
Νομική υποχρέωση (στοιχ. γ)	Όταν επιβάλλεται από νόμο (φορολογική, αντινομιμοποιητική)	Για επεξεργασίες πέραν του νομικά επιβεβλημένου	Τήρηση φορολογικών παραστατικών
Έννομο συμφέρον (στοιχ. στ)	Όταν συντρέχει πραγματικό συμφέρον του υπευθύνου και δεν υπερισχύουν τα δικαιώματα του υποκειμένου	Για επεξεργασίες που θίγουν δυσανάλογα ιδιωτικότητα	Ασφάλεια συστήματος, πρόληψη απάτης

Όταν επιλέγεται έννομο συμφέρον (στοιχ. στ), απαιτείται τεκμηριωμένη στάθμιση συμφερόντων (legitimate interest assessment), η οποία τηρείται γραπτώς από τον υπεύθυνο επεξεργασίας και προσκομίζεται σε περίπτωση ελέγχου από την ΑΠΔΠΧ.

Ποια η σχέση με Όρους Χρήσης και Πολιτική Cookies;

Πολιτική Απορρήτου, Πολιτική Cookies και Όροι Χρήσης είναι τρία αυτοτελή νομικά κείμενα με διαφορετική νομική βάση και διαφορετικό αντικείμενο. Η συγχώνευσή τους σε ενιαίο κείμενο αποτελεί συχνή πρακτική, η οποία όμως έρχεται σε αντίθεση με την αρχή διαφάνειας του άρθρου 5 παρ. 1 α ΓΚΠΔ, ενώ δυσχεραίνει την άσκηση δικαιωμάτων από τον επισκέπτη.

Κείμενο	Νομική βάση	Αντικείμενο	Κρίσιμο σημείο
Πολιτική Απορρήτου	Άρθρα 13-14 ΓΚΠΔ, Ν. 4624/2019	Ενημέρωση για επεξεργασία προσωπικών δεδομένων	Αναγκαία ακόμη και για ιστοσελίδες χωρίς συναλλαγές
Πολιτική Cookies	Άρθρο 5 παρ. 3 Οδηγίας 2002/58/ΕΚ, Ν. 3471/2006	Ενημέρωση για cookies και τεχνολογίες παρακολούθησης + λήψη συγκατάθεσης	Απαιτείται ρητή συγκατάθεση για κάθε μη απαραίτητο cookie
Όροι Χρήσης	Αστικός Κώδικας, Ν. 2251/1994 για ΓΟΣ	Συμβατική σχέση χρήστη-φορέα	Υπόκεινται σε δικαστικό έλεγχο καταχρηστικότητας

Για ιστοσελίδες ηλεκτρονικού εμπορίου, οι όροι χρήσης eshop προσθέτουν περαιτέρω εξειδικευμένες υποχρεώσεις (δικαίωμα υπαναχώρησης, ευθύνη για ελαττωματικά προϊόντα, διαφάνεια τιμολόγησης κτο).

Σε συμβάσεις SaaS ή cloud services, εμφανίζεται επιπλέον υποχρέωση σύναψης σύμβασης εκτελούντος την επεξεργασία (Data Processing Agreement – DPA) κατά το άρθρο 28 ΓΚΠΔ.

Ποιες είναι οι συνηθέστερες παραβάσεις κατά την ΑΠΔΠΧ;

Από τη νομολογία της Αρχής Προστασίας Δεδομένων αναδεικνύονται τρεις τυπικές παραβάσεις σε πολιτικές απορρήτου επιχειρηματικών ιστοσελίδων:

η παρωχημένη πολιτική, γραμμένη υπό διαφοερτικό/προηγούμενο νομοθετικό καθεστώς,
η αόριστη αναφορά αποδεκτών χωρίς ονομαστική εξειδίκευση όπου αυτή απαιτείται και
η απλή παραπομπή στην αναρτημένη πολιτική για ικανοποίηση ασκούμενων δικαιωμάτων υποκειμένων.

Με την υπ’ αριθμ. 37/2021 απόφαση της Αρχής επιβλήθηκε πρόστιμο 5.000 ευρώ σε εταιρεία της οποίας η ιστοσελίδα διατηρούσε Πολιτική Απορρήτου με τελευταία ενημέρωση τον Ιούλιο 2012, γραμμένη υπό την ισχύ του προ-ΓΚΠΔ Ν. 2472/1997. Η Αρχή διαπίστωσε παραβάσεις των άρθρων 5 παρ. 1 εδ. α’ και ε’, παρ. 2, 6 παρ. 1, 12 παρ. 2 και 3 και 17 ΓΚΠΔ. Κρίσιμο νομικό σημείο της απόφασης είναι ότι η ανάθεση της σύνταξης της πολιτικής σε εξωτερικό συνεργάτη δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από τις υποχρεώσεις του ΓΚΠΔ. Η ευθύνη παραμένει ακέραιη στον ιδιοκτήτη του ιστοτόπου.

Σε υψηλότερο επίπεδο σοβαρότητας, με τις αποφάσεις επί της υπόθεσης COSMOTE-ΟΤΕ (συνολικά 9.250.000 ευρώ), η Αρχή έκρινε ότι η ασαφής και ελλιπής ενημέρωση συνδρομητών συνιστά αυτοτελή παράβαση των άρθρων 13-14 ΓΚΠΔ και της αρχής διαφάνειας του άρθρου 5 παρ. 1 α ΓΚΠΔ. Η σύνταξη Πολιτικής Απορρήτου με αόριστους όρους ή τεχνικές διατυπώσεις που δυσχεραίνουν τη μέση κατανόηση κρίνεται παράνομη ακόμη και αν τυπικά καλύπτονται τα απαριθμούμενα στοιχεία του άρθρου 13.

Από έλεγχο πολιτικών απορρήτου εμπορικών ιστοσελίδων, η εμπειρία μας αποκαλύπτει ότι η συχνότερη παραβατική πρακτική είναι η αυτόματη μεταφορά τμημάτων κειμένου από ιστοσελίδες ανταγωνιστών χωρίς εξειδίκευση στο πραγματικό πλαίσιο επεξεργασίας. Η συμπεριφορά αυτή αναπτύσσεται κατωτέρω ως αυτοτελής νομική παράβαση. Σε κάθε έλεγχο της ΑΠΔΠΧ, η Αρχή εξετάζει αν η αναρτημένη πολιτική αντιστοιχεί στην πραγματική επεξεργασία που λαμβάνει χώρα στον ιστότοπο.

Ποιες ρήτρες έχουν κριθεί καταχρηστικές σε πολιτικές απορρήτου;

Όταν η Πολιτική Απορρήτου ενσωματώνεται σε γενικούς όρους συναλλαγών μέσω πλαισίου αποδοχής (tickbox), υπόκειται σε δικαστικό έλεγχο καταχρηστικότητας κατά το άρθρο 2 παρ. 7 του Ν. 2251/1994. Καταχρηστικές κρίνονται κυρίως οι ρήτρες που μετατοπίζουν το βάρος ευθύνης από τον υπεύθυνο επεξεργασίας στο υποκείμενο και αυτές που επιτρέπουν μονομερή τροποποίηση της πολιτικής χωρίς ειδικό λόγο.

Σύμφωνα με την ΑΠ 1463/2017, όροι που επιφυλάσσουν στον υπεύθυνο επεξεργασίας το δικαίωμα μονομερούς τροποποίησης της πολιτικής χωρίς ορισμένο, ειδικό και σπουδαίο λόγο εμπίπτουν στις per se άκυρες ρήτρες της περ. ε του άρθρου 2 παρ. 7 Ν. 2251/1994. Με την ΑΠ 821/2024 επιβεβαιώθηκε η νομολογιακή θέση ότι ο ενδεικτικός κατάλογος 32 περιπτώσεων per se καταχρηστικότητας λειτουργεί κατ’ αμάχητο τεκμήριο, χωρίς να απαιτείται περαιτέρω συνδρομή της γενικής ρήτρας.

Στο πεδίο της πολιτικής απορρήτου, ιδιαίτερα προβληματικές είναι οι ρήτρες αποποίησης ευθύνης σε περίπτωση διαρροής δεδομένων, οι οποίες αντιβαίνουν στις αναγκαστικές διατάξεις των άρθρων 32 και 82 ΓΚΠΔ και κρίνονται άκυρες.

Γιατί η αντιγραφή πολιτικής συνιστά ψευδή δήλωση;

Η αντιγραφή Πολιτικής Απορρήτου από άλλη ιστοσελίδα συνιστά αυτοτελή νομική παράβαση και όχι απλώς ηθική παρατυπία. Όταν η αναρτημένη πολιτική δηλώνει σκοπούς επεξεργασίας, κατηγορίες αποδεκτών ή χρόνους διατήρησης που δεν αντιστοιχούν στην πραγματική λειτουργία της επιχείρησης, η ενημέρωση των υποκειμένων είναι ψευδής.

Η ψευδής δήλωση παράγει τρία διακριτά νομικά αποτελέσματα:

παράβαση της αρχής διαφάνειας του άρθρου 5 παρ. 1 α ΓΚΠΔ, διότι το υποκείμενο ενημερώνεται με στοιχεία που δεν αντιστοιχούν στην πραγματικότητα.
παραβίαση της αρχής λογοδοσίας του άρθρου 5 παρ. 2 ΓΚΠΔ, καθώς ο υπεύθυνος επεξεργασίας αδυνατεί να αποδείξει συμμόρφωση όταν τα έγγραφά του δεν τεκμηριώνουν τις πραγματικές πράξεις επεξεργασίας.
εφόσον το αντιγραμμένο κείμενο αναπαράγεται, σε μεγάλο μέρος του, αυτούσιο, στοιχειοθετείται και αδίκημα του νόμου περί πνευματικής ιδιοκτησίας (Ν. 2121/1993), με τη συνακόλουθη αστική ευθύνη.

Στην πρακτική, η αντιγραφή ανιχνεύεται εύκολα όταν η Αρχή ζητήσει τεκμηρίωση των δηλούμενων σκοπών και αποδεκτών. Η αναντιστοιχία μεταξύ αναρτημένης πολιτικής και πραγματικής επεξεργασίας κλιμακώνει την παράβαση, με αποτέλεσμα την αύξηση του προστίμου κατά τις παραμέτρους επιμέτρησης του άρθρου 83 παρ. 2 ΓΚΠΔ.

Συχνές Ερωτήσεις

Είναι υποχρεωτική η Πολιτική Απορρήτου σε προσωπικό blog χωρίς εμπορική δραστηριότητα;

Ο ΓΚΠΔ εξαιρεί την επεξεργασία στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας (άρθρο 2 παρ. 2 στοιχ. γ ΓΚΠΔ). Όταν όμως το blog διαθέτει φόρμα επικοινωνίας, εγγραφή σε newsletter, εργαλεία analytics, διαφημιστικά cookies ή ξεκινά οποιαδήποτε εμπορική επικοινωνία με τους αναγνώστες, η εξαίρεση παύει να ισχύει. Στις περισσότερες περιπτώσεις σύγχρονων blogs, η Πολιτική Απορρήτου είναι αναγκαία.

Επιτρέπεται η χρήση αυτοματοποιημένων εργαλείων δημιουργίας πολιτικής απορρήτου (generators);

Τεχνικά δεν απαγορεύεται, νομικά όμως οι generators παράγουν γενικόλογα κείμενα που δεν ανταποκρίνονται στις πραγματικές πράξεις επεξεργασίας μιας συγκεκριμένης ιστοσελίδας. Το αποτέλεσμα ομοιάζει με αντιγραφή πολιτικής από ανταγωνιστική σελίδα, το οποίο είναι νομικά επικίνδυνο. Η Πολιτική Απορρήτου χρειάζεται εξατομικευμένη σύνταξη βασισμένη στους πραγματικούς σκοπούς, αποδέκτες, διαβιβάσεις και χρόνους διατήρησης της συγκεκριμένης επιχείρησης.

Πόσο συχνά πρέπει να επικαιροποιείται η Πολιτική Απορρήτου;

Η Πολιτική Απορρήτου επικαιροποιείται κάθε φορά που μεταβάλλεται ουσιωδώς η επεξεργασία. Πρακτικά αυτό σημαίνει αλλαγή παρόχου φιλοξενίας, προσθήκη νέας πλατφόρμας πληρωμών, υιοθέτηση νέου εργαλείου αναλυτικών ή marketing, μεταβολή σκοπών συλλογής, αλλαγή τόπου επεξεργασίας ή χρόνου διατήρησης. Η ορατή ημερομηνία τελευταίας ενημέρωσης τηρείται υποχρεωτικά, κατά την αρχή λογοδοσίας του άρθρου 5 παρ. 2 ΓΚΠΔ.

Τι κίνδυνο εγκυμονεί η μη συμμόρφωση πέρα από τα πρόστιμα της ΑΠΔΠΧ;

Πέρα από τα διοικητικά πρόστιμα κατά το άρθρο 83 ΓΚΠΔ, η πλημμελής Πολιτική Απορρήτου εκθέτει την επιχείρηση σε αστικές αξιώσεις αποζημίωσης κατά το άρθρο 82 ΓΚΠΔ από υποκείμενα που υπέστησαν ηθική ή υλική βλάβη, σε ποινική ευθύνη κατά το άρθρο 38 του Ν. 4624/2019 σε ορισμένες περιπτώσεις δόλιας ή βαρέως αμελούς συμπεριφοράς, καθώς και σε ζημία φήμης σε περίπτωση δημοσιοποίησης παραβίασης.

Πρακτικές Επισημάνσεις

Εξατομίκευση έναντι αντιγραφής: Η Πολιτική Απορρήτου είναι νομικό κείμενο που αντικατοπτρίζει τις πραγματικές πράξεις επεξεργασίας του συγκεκριμένου ιστοτόπου. Η αντιγραφή από ανταγωνιστικές σελίδες ή η χρήση αυτοματοποιημένων εργαλείων παράγει ψευδείς δηλώσεις σκοπών και αποδεκτών, που στοιχειοθετούν αυτοτελή παράβαση των αρχών διαφάνειας και λογοδοσίας του ΓΚΠΔ.

Διάκριση τριών νομικών κειμένων: Η Πολιτική Απορρήτου, η Πολιτική Cookies και οι Όροι Χρήσης διέπονται από διαφορετικές νομοθεσίες και ικανοποιούν διαφορετικές υποχρεώσεις. Η συγχώνευσή τους σε ένα ενιαίο κείμενο υπονομεύει την αρχή διαφάνειας και δυσχεραίνει την άσκηση δικαιωμάτων από το υποκείμενο.

Διαρκής συμμόρφωση και επικαιροποίηση: Η Πολιτική Απορρήτου δεν είναι κείμενο που γράφεται μία φορά. Κάθε αλλαγή σε εργαλεία αναλυτικών, παρόχους πληρωμών, πλατφόρμες email marketing, τόπο επεξεργασίας ή σκοπούς συλλογής επιβάλλει ενημέρωση του κειμένου με ορατή ημερομηνία τελευταίας τροποποίησης.

Ευθύνη υπευθύνου επεξεργασίας: Η ανάθεση σύνταξης της πολιτικής σε εξωτερικό συνεργάτη (πχ στον ΙΤ που δημιούργησε τη σελίδα) δεν απαλλάσσει τον ιδιοκτήτη του ιστοτόπου από τις υποχρεώσεις του ΓΚΠΔ. Όπως κρίθηκε με την ΑΠΔΠΧ 37/2021, η ευθύνη του υπευθύνου επεξεργασίας παραμένει ακέραιη ακόμη και όταν τη σύνταξη ή επικαιροποίηση έχει αναλάβει τρίτος.

Το Δικηγορικό μας Γραφείο, για περισσότερα από 20 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με τους την πολιτική απορρήτου της ιστοσελίδας σας.