Επεξεργασία Προσωπικών Δεδομένων: Ευθύνες, Πρόστιμα & Υπεύθυνος Επεξεργασίας σύμφωνα με τον ΓΚΠΔ
Συνοπτικά:
- Ο Υπεύθυνος Επεξεργασίας (Controller) κατά το άρθρο 4(7) του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) είναι το πρόσωπο ή ο φορέας που καθορίζει σκοπούς και μέσα της επεξεργασίας. Η ίδια η επιχείρηση είναι Υπεύθυνος Επεξεργασίας για όσες επεξεργασίες δεδομένων αποφασίζει αυτόνομα.
- Η σύγχυση Υπευθύνου Επεξεργασίας με Υπεύθυνο Προστασίας Δεδομένων (DPO) είναι συνηθισμένη αλλά νομικά εσφαλμένη. Πρόκειται για διαφορετικά πρόσωπα με διαφορετικές αρμοδιότητες, νομική φύση και ευθύνες.
- Η νομολογία του Δικαστηρίου της ΕΕ έχει διευρύνει την έννοια της από κοινού ευθύνης. Στην απόφαση IAB Europe (C-604/22, 7 Μαρτίου 2024) κρίθηκε ότι joint controllership μπορεί να συντρέχει ακόμη και χωρίς πρόσβαση στα δεδομένα ή τυπική σύμβαση.
- Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επιβάλλει αυξανόμενα πρόστιμα στον ιδιωτικό τομέα. Η απόφαση 1/2025 για την Εθνική Τράπεζα ύψους 220.000 ευρώ έδειξε ότι η απουσία εσωτερικών διαδικασιών και εκπαίδευσης προσωπικού επιφέρει συνέπειες.
Ποιος είναι ο Υπεύθυνος Επεξεργασίας στον ΓΚΠΔ;
Ως Υπεύθυνος Επεξεργασίας (Controller) ορίζεται κατά το άρθρο 4(7) του Κανονισμού (ΕΕ) 2016/679 το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που, μόνο ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Πρακτικά, η επιχείρηση που αποφασίζει το «γιατί» και το «πώς» επεξεργάζονται τα δεδομένα είναι Υπεύθυνος Επεξεργασίας.
Η ιδιότητα αυτή δεν εξαρτάται από επίσημη ανακοίνωση ή ορισμό. Προκύπτει αυτόματα από την πραγματική θέση της επιχείρησης απέναντι στην επεξεργασία. Όποιος αποφασίζει ποια δεδομένα συλλέγονται, για ποιον σκοπό και με ποιο τεχνικό τρόπο, αναλαμβάνει αυτοδικαίως τις υποχρεώσεις και την ευθύνη του άρθρου 24 ΓΚΠΔ.
Ο νομοθέτης επέλεξε λειτουργικό κριτήριο και όχι τυπικό. Δύο επιχειρήσεις με ίδια οργανωτική μορφή μπορεί να έχουν διαφορετική ιδιότητα ανά επεξεργασία: η μία να είναι Υπεύθυνος Επεξεργασίας για τα δεδομένα πελατών της και ταυτόχρονα Εκτελούσα την Επεξεργασία (Processor) όταν παρέχει υπηρεσίες σε άλλη εταιρεία. Στον ελληνικό χώρο, η εφαρμογή του Κανονισμού συμπληρώνεται από τον Ν. 4624/2019 που εκτελεί τον ΓΚΠΔ και ρυθμίζει εθνικά ζητήματα.
Είναι ο Υπεύθυνος Επεξεργασίας ίδιος με τον DPO;
Όχι. Πρόκειται για δύο εντελώς διακριτές έννοιες που στην πράξη ταυτίζονται από επιχειρήσεις και συμβούλους.
- Ο Υπεύθυνος Επεξεργασίας είναι η ίδια η επιχείρηση ως νομικό πρόσωπο που καθορίζει σκοπούς και μέσα.
- Ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer – DPO) είναι ο επαγγελματίας που τυχόν ορίζει η επιχείρηση για την παρακολούθηση συμμόρφωσης κατά τα άρθρα 37 έως 39 ΓΚΠΔ.
Η σύγχυση παράγει συγκεκριμένα νομικά λάθη. Επιχειρήσεις θεωρούν ότι αρκεί ο διορισμός εξωτερικού DPO για να μετατοπιστεί η ευθύνη συμμόρφωσης από την ίδια στον σύμβουλο. Αυτό είναι λάθος. Ο DPO έχει συμβουλευτικό ρόλο και κατά το άρθρο 38(3) ΓΚΠΔ δεν φέρει προσωπική ευθύνη για παραβάσεις. Η ευθύνη παραμένει πάντα στον Υπεύθυνο Επεξεργασίας.
| Διάσταση | Υπεύθυνος Επεξεργασίας | Υπεύθυνος Προστασίας Δεδομένων (DPO) |
|---|---|---|
| Νομική φύση | Νομικό ή φυσικό πρόσωπο, η ίδια η επιχείρηση | Φυσικό πρόσωπο, υπάλληλος ή εξωτερικός σύμβουλος |
| Διάταξη ΓΚΠΔ | Άρθρα 4(7) και 24 | Άρθρα 37 έως 39 |
| Ρόλος | Αποφασιστικός, καθορίζει σκοπούς και μέσα | Συμβουλευτικός, παρακολουθεί συμμόρφωση |
| Ευθύνη συμμόρφωσης | Απόλυτη, πρωτεύων υπόχρεος | Δεν φέρει προσωπική ευθύνη για παραβίαση |
| Πότε υποχρεωτικός | Εξ ορισμού σε κάθε επιχείρηση που επεξεργάζεται δεδομένα | Μόνο στις περιπτώσεις του άρθρου 37(1) ΓΚΠΔ |
Πότε δύο επιχειρήσεις θεωρούνται από κοινού Υπεύθυνοι;
Από κοινού Υπεύθυνοι (joint controllers) θεωρούνται κατά το άρθρο 26 ΓΚΠΔ όσοι καθορίζουν συνδυαστικά τους σκοπούς και τα μέσα της επεξεργασίας. Η νομολογία του ΔΕΕ έχει διευρύνει σημαντικά την έννοια στις αποφάσεις Wirtschaftsakademie (C-210/16), Jehovan todistajat (C-25/17), Fashion ID (C-40/17) και IAB Europe (C-604/22, 7 Μαρτίου 2024). Η συγκεκριμένη νομολογία επιβεβαιώνει ότι η από κοινού ευθύνη μπορεί να συντρέχει ακόμη και χωρίς πρόσβαση στα ίδια τα δεδομένα.
Στην Wirtschaftsakademie, ο διαχειριστής σελίδας Facebook κρίθηκε από κοινού Υπεύθυνος με τη Facebook Ireland επειδή ο καθορισμός των ρυθμίσεων της σελίδας επηρέαζε τους σκοπούς της επεξεργασίας. Στη Fashion ID, η ενσωμάτωση κουμπιού «Like» σε ιστοσελίδα ηλεκτρονικού εμπορίου χαρακτηρίστηκε ως από κοινού επεξεργασία στο μέτρο της συλλογής και διαβίβασης δεδομένων στο Facebook, χωρίς να επεκτείνεται στις μεταγενέστερες πράξεις της πλατφόρμας.
Η IAB Europe διεύρυνε περαιτέρω την έννοια. Το ΔΕΕ έκρινε ότι ο φορέας που θεσπίζει το πλαίσιο επεξεργασίας μέσω τεχνικών προδιαγραφών (όπως το Transparency and Consent Framework στη διαφημιστική αγορά) μπορεί να θεωρηθεί joint controller, ακόμη και αν δεν έχει άμεση πρόσβαση στα δεδομένα και χωρίς να υφίσταται τυπική σύμβαση από κοινού ευθύνης. Η από κοινού ευθύνη δεν συνεπάγεται και ίση κατανομή. Σύμφωνα με την παράγραφο 2 του άρθρου 26, οι από κοινού Υπεύθυνοι οφείλουν να καθορίζουν σε διαφανή τρόπο τις αντίστοιχες αρμοδιότητές τους με συμφωνία.
Πώς διαφέρει ο Υπεύθυνος Επεξεργασίας από τον Εκτελούντα;
Ο Εκτελών την Επεξεργασία (Processor) κατά το άρθρο 4(8) ΓΚΠΔ επεξεργάζεται δεδομένα για λογαριασμό του Υπευθύνου, βάσει σύμβασης κατά το άρθρο 28. Δεν αποφασίζει σκοπούς ή μέσα, αλλά ακολουθεί τις εντολές. Η σαφής οριοθέτηση των δύο ρόλων είναι κρίσιμη γιατί καθορίζει την κατανομή ευθύνης, τις υποχρεώσεις τεκμηρίωσης και την έκταση των δικαιωμάτων των υποκειμένων.
Στην πράξη η διάκριση δοκιμάζεται σε σχέσεις με παρόχους cloud, λογισμικού ως υπηρεσίας (SaaS), payroll providers, εξωτερικά λογιστήρια και marketing agencies. Η εμπειρία από υποθέσεις σύνταξης συμβάσεων Επεξεργασίας του άρθρου 28 ΓΚΠΔ δείχνει ότι η σύμβαση πρέπει να ορίζει με ακρίβεια τις πράξεις επεξεργασίας, τις κατηγορίες δεδομένων, τη διάρκεια και τις υποχρεώσεις του Εκτελούντος. Γενικόλογες ρήτρες οδηγούν σε κενά κατά τον έλεγχο της Αρχής ή σε περίπτωση συμβάντος.
| Διάσταση | Υπεύθυνος Επεξεργασίας | Εκτελών την Επεξεργασία |
|---|---|---|
| Ορισμός | Άρθρο 4(7) ΓΚΠΔ | Άρθρο 4(8) ΓΚΠΔ |
| Εξουσία απόφασης | Καθορίζει σκοπούς και μέσα | Ακολουθεί τις εντολές του Υπευθύνου |
| Ευθύνη | Πρωτεύουσα έναντι υποκειμένων και Αρχής | Δευτερεύουσα, οριοθετημένη από τη σύμβαση |
| Σύμβαση άρθρου 28 | Συντάκτης, επιβάλλει όρους | Δεσμεύεται από αυτήν |
| Τεκμηρίωση | Αρχείο δραστηριοτήτων (άρθρο 30 παρ. 1) | Αρχείο κατηγοριών (άρθρο 30 παρ. 2) |
Ποιες είναι οι κύριες υποχρεώσεις του Υπευθύνου Επεξεργασίας;
Ο Υπεύθυνος Επεξεργασίας φέρει την πλήρη ευθύνη συμμόρφωσης με τις αρχές του άρθρου 5 ΓΚΠΔ και υποχρεούται κατά το άρθρο 5(2) να αποδεικνύει τη συμμόρφωση. Η αρχή της λογοδοσίας μετατοπίζει το βάρος απόδειξης από την Αρχή στον ίδιο τον Υπεύθυνο. Δεν αρκεί η συμμόρφωση να υπάρχει, πρέπει να μπορεί να αποδειχθεί εγγράφως και τεκμηριωμένα σε κάθε χρονική στιγμή.
Οι κύριες υποχρεώσεις περιλαμβάνουν:
- τήρηση αρχείου δραστηριοτήτων κατά το άρθρο 30,
- εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων ασφάλειας κατά το άρθρο 32,
- γνωστοποίηση παραβιάσεων στην ΑΠΔΠΧ εντός 72 ωρών κατά το άρθρο 33 και
- εκπόνηση εκτίμησης αντικτύπου (DPIA) όπου η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο κατά το άρθρο 35.
Στις περιπτώσεις του άρθρου 37(1), προστίθεται η υποχρέωση ορισμού DPO και ανακοίνωσης των στοιχείων του στην Αρχή. Η ολοκληρωμένη εφαρμογή τους απαιτεί δομημένη συμμόρφωση με τον GDPR σε επίπεδο πολιτικών, διαδικασιών και τεχνικών μέτρων
Για επιχειρήσεις με δραστηριότητα που εμπεριέχει συστήματα τεχνητής νοημοσύνης ή κανάλια αναφοράς δυσλειτουργιών, υπάρχουν επιπλέον υποχρεώσεις. Ο νέος Κανονισμός για την Τεχνητή Νοημοσύνη εισάγει υποχρεώσεις διακυβέρνησης δεδομένων που λειτουργούν παράλληλα με τον ΓΚΠΔ. Παράλληλα, ο Ν. 4990/2022 για το whistleblowing επιβάλλει σε επιχειρήσεις άνω των 50 εργαζομένων εσωτερικά κανάλια αναφοράς που χρειάζονται δική τους τεκμηρίωση επεξεργασίας. Η συνύπαρξη πολλαπλών νομοθετημάτων αυξάνει την έκταση του φακέλου συμμόρφωσης που πρέπει να τηρεί ο Υπεύθυνος Επεξεργασίας.
Ποιες οι κυρώσεις σε περίπτωση παράβασης;
Ο Υπεύθυνος Επεξεργασίας υπόκειται σε διοικητικά πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του ετήσιου παγκόσμιου τζίρου, όποιο είναι μεγαλύτερο, κατά το άρθρο 83(5) ΓΚΠΔ. Παραβάσεις λιγότερο σοβαρές υπόκεινται σε πρόστιμα έως 10 εκατομμύρια ευρώ ή 2% κατά το άρθρο 83(4). Η πρόσφατη πρακτική της ΑΠΔΠΧ δείχνει ότι τα πρόστιμα κλιμακώνονται όταν λείπουν εσωτερικές πολιτικές, εκπαίδευση προσωπικού ή τεκμηρίωση συμμόρφωσης.
Με την απόφαση 1/2025, η ΑΠΔΠΧ επέβαλε πρόστιμο 220.000 ευρώ στην Εθνική Τράπεζα για συστημική αδυναμία διεκπεραίωσης αιτημάτων πρόσβασης κατά το άρθρο 15. Η Αρχή υπογράμμισε ότι η συμμόρφωση δεν εξαντλείται στη σύνταξη πολιτικών αλλά απαιτεί λειτουργικές διαδικασίες και τακτική εκπαίδευση προσωπικού. Στην απόφαση 33/2025, εκδοτικός οίκος τιμωρήθηκε με πρόστιμο 9.000 ευρώ για αποκάλυψη προσωπικών δεδομένων μέσω email σε 55 παραλήπτες με ορατή τη διεύθυνση του υποκειμένου. Στην απόφαση 7/2025, τράπεζα έλαβε πρόστιμο 3.000 ευρώ για μη εξουσιοδοτημένη πρόσβαση σε δεδομένα πελάτη από υπάλληλό της.
Πέρα από τα πρόστιμα, ο Υπεύθυνος ευθύνεται και αστικά απέναντι σε υποκείμενα που υφίστανται υλική ή ηθική βλάβη. Η εμπειρία από υποθέσεις ενώπιον της Αρχής δείχνει ότι η ποιότητα της προετοιμασίας πριν τον έλεγχο διαμορφώνει σε σημαντικό βαθμό την έκβαση. Στα πρόστιμα της ΑΠΔΠΧ σε εταιρείες αποτυπώνεται η σταδιακή αυστηροποίηση του υπολογισμού των κυρώσεων, ενώ η παραβίαση από τη Cosmote παραμένει χαρακτηριστικό παράδειγμα κλιμάκωσης.
Συχνές ερωτήσεις
Η εταιρεία μου είναι Υπεύθυνος Επεξεργασίας ή Εκτελών;
Η ιδιότητα προσδιορίζεται κατά πράξη επεξεργασίας, όχι εφάπαξ. Όταν η επιχείρηση επεξεργάζεται δεδομένα δικών της πελατών, εργαζομένων ή προμηθευτών για δικούς της σκοπούς, είναι Υπεύθυνος Επεξεργασίας. Όταν επεξεργάζεται δεδομένα τρίτων κατ’ εντολή πελάτη της (π.χ. ως πάροχος SaaS, payroll service ή IT outsourcing), είναι Εκτελών την Επεξεργασία. Η ίδια εταιρεία μπορεί να έχει και τις δύο ιδιότητες ταυτόχρονα.
Χρειάζεται σύμβαση με τον cloud provider;
Ναι, υποχρεωτικά. Όταν εταιρεία χρησιμοποιεί υπηρεσίες cloud για αποθήκευση ή επεξεργασία προσωπικών δεδομένων, ο πάροχος ενεργεί ως Εκτελών την Επεξεργασία και απαιτείται σύμβαση κατά το άρθρο 28 ΓΚΠΔ. Η σύμβαση πρέπει να καθορίζει αντικείμενο, διάρκεια, φύση και σκοπό επεξεργασίας, κατηγορίες δεδομένων, υποχρεώσεις του Εκτελούντος και προϋποθέσεις υπεκχώρησης σε υπεργολάβους. Η απουσία της συνιστά αυτοτελή παράβαση.
Τι ευθύνη έχει ο Υπεύθυνος Επεξεργασίας για τον Εκτελούντα;
Ο Υπεύθυνος ευθύνεται για την επιλογή Εκτελούντος που παρέχει επαρκείς εγγυήσεις συμμόρφωσης κατά το άρθρο 28(1). Όταν ο Εκτελών παραβιάζει τις οδηγίες ή υπερβαίνει τα όρια της σύμβασης, αναβαθμίζεται σε Υπεύθυνο για τη συγκεκριμένη επεξεργασία κατά το άρθρο 28(10). Σε περίπτωση ζημίας υποκειμένων από παράβαση που τέλεσε ο Εκτελών, ο Υπεύθυνος μπορεί να ευθύνεται εις ολόκληρον και να αναζητήσει αναγωγή κατά τη σύμβαση.
Πώς αποδεικνύεται συμμόρφωση σε έλεγχο της Αρχής;
Με τεκμηρίωση συγκεκριμένη και διαθέσιμη. Το αρχείο δραστηριοτήτων του άρθρου 30, οι πολιτικές προστασίας δεδομένων, οι συμβάσεις του άρθρου 28, τα έντυπα ενημέρωσης κατά τα άρθρα 13 και 14, οι εκτιμήσεις αντικτύπου, τα αρχεία ικανοποίησης δικαιωμάτων υποκειμένων και τα στοιχεία εκπαίδευσης προσωπικού συνθέτουν τον φάκελο συμμόρφωσης. Η ΑΠΔΠΧ ζητά συνήθως όλα τα παραπάνω σε πρώτη φάση ελέγχου με προθεσμία απάντησης 15 έως 30 ημερών.
Πρακτικές Επισημάνσεις
Λειτουργικός και όχι τυπικός χαρακτηρισμός: Η ιδιότητα του Υπευθύνου Επεξεργασίας προκύπτει από την πραγματική θέση της επιχείρησης. Δεν χρειάζεται επίσημος ορισμός ούτε προστατεύει η μη ανακοίνωση. Όποιος αποφασίζει σκοπούς και μέσα, αναλαμβάνει αυτοδικαίως τις υποχρεώσεις του άρθρου 24.
Disambiguation από DPO: Ο διορισμός εξωτερικού DPO δεν μετατοπίζει την ευθύνη από την επιχείρηση. Ο DPO είναι σύμβουλος, η επιχείρηση παραμένει Υπεύθυνος Επεξεργασίας και πρωτεύων υπόχρεος. Συμφωνητικά που μετακυλούν την ευθύνη συμμόρφωσης στον DPO είναι άκυρα έναντι της Αρχής.
Καθορισμός θέσης σε σχέσεις με τρίτους παρόχους: Πριν τη σύναψη σύμβασης με cloud provider, payroll service ή marketing agency, η επιχείρηση οφείλει να αποσαφηνίζει αν λειτουργεί ως Υπεύθυνος Επεξεργασίας ή Εκτελών. Η ασάφεια οδηγεί σε συμβάσεις άρθρου 28 ανεπαρκείς σε έλεγχο.
Από κοινού ευθύνη και διαφημιστικά plugins: Επιχειρήσεις με ηλεκτρονικό κατάστημα ή σελίδα κοινωνικού δικτύου που ενσωματώνουν tracking pixels, plugins ή consent management platforms ενδέχεται να συγχρωτίζονται σε joint controllership. Η IAB Europe έδειξε ότι ακόμη και χωρίς πρόσβαση στα δεδομένα, η συμμετοχή στον καθορισμό του πλαισίου επεξεργασίας αρκεί.
Εσωτερικές πολιτικές και εκπαίδευση προσωπικού: Η απόφαση 1/2025 της ΑΠΔΠΧ σήμανε ότι οι ελλείψεις σε λειτουργικές διαδικασίες και τακτική εκπαίδευση προσωπικού επιβαρύνουν τον υπολογισμό προστίμου. Η ύπαρξη γραπτών πολιτικών δεν αρκεί χωρίς εμπράκτως ενσωματωμένη εφαρμογή.
Προετοιμασία φακέλου συμμόρφωσης: Ο φάκελος συμμόρφωσης πρέπει να είναι διαρκώς ενημερωμένος και άμεσα διαθέσιμος. Σε έλεγχο, η Αρχή ζητά συνήθως αρχείο δραστηριοτήτων, πολιτικές, συμβάσεις άρθρου 28, αποδείξεις εκπαίδευσης και αρχεία ικανοποίησης δικαιωμάτων με προθεσμία απάντησης 15 έως 30 ημερών.
Το Δικηγορικό μας Γραφείο, για περισσότερα από 20 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με τον Υπεύθυνος Επεξεργασίας.