GDPR ΕΕ για e-commerce 2026 — Σύντομη ανάγνωση
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων, Κανονισμός (ΕΕ) 2016/679, εφαρμόζεται απευθείας σε όλη την ΕΕ από τις 25 Μαΐου 2018 και παραμένει ο πιο καθοριστικός νόμος περί απορρήτου στον κόσμο. Κάθε πωλητής e-commerce της ΕΕ/ΕΟΧ είναι υπεύθυνος επεξεργασίας για τα προσωπικά δεδομένα των πελατών του: όνομα, διεύθυνση, δεδομένα πληρωμής, ιστορικό περιήγησης, cookies, διευθύνσεις IP. Οι προτεραιότητες για το 2026 είναι ένα banner cookies συμβατό με TCF v2.2, μια σαφής ενημέρωση απορρήτου κατά το άρθρο 13, ένα τεκμηριωμένο αρχείο δραστηριοτήτων επεξεργασίας κατά το άρθρο 30, γρήγορες ροές εργασίας για αιτήματα υποκειμένων δεδομένων (DSR), ένα σχέδιο 72 ωρών για παραβιάσεις, και Τυποποιημένες Συμβατικές Ρήτρες μετά την υπόθεση Schrems II για κάθε διαβίβαση χωρίς απόφαση επάρκειας (ιδίως προς τις ΗΠΑ βάσει του Πλαισίου Προστασίας Δεδομένων ΕΕ–ΗΠΑ που εγκρίθηκε τον Ιούλιο του 2023). Οι εποπτικές αρχές — CNIL (Γαλλία), AEPD (Ισπανία), Garante (Ιταλία), BfDI και οι γερμανικές ομόσπονδες αρχές, AP (Κάτω Χώρες), NAIH (Ουγγαρία), ICO (Ηνωμένο Βασίλειο, βάσει του UK GDPR) — επιβάλλουν πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών, όποιο είναι υψηλότερο.
Το τοπίο προστασίας δεδομένων της ΕΕ το 2026, με μια ματιά
Ο GDPR επιβάλλεται από ένα δίκτυο εθνικών αρχών προστασίας δεδομένων (DPAs), οι οποίες συντονίζονται σε επίπεδο ΕΕ από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Η παρακάτω σύνοψη καρτών συνοψίζει τις οκτώ αρχές που είναι πιο πιθανό να εμφανιστούν στα εισερχόμενά σας ως πωλητής e-commerce της ΕΕ — κρατήστε την κοντά καθώς διαβάζετε κάθε αναλυτική ενότητα.
ΕΣΠΔ — Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
Ιδρύθηκε στις 25 Μαΐου 2018 · Βρυξέλλες · Εκδίδει δεσμευτικές κατευθυντήριες γραμμές, γνωμοδοτήσεις και συντονίζει τον μηχανισμό μίας στάσης μεταξύ των αρχών
CNIL — Commission Nationale de l'Informatique et des Libertés (Γαλλία)
Ιδρύθηκε το 1978 · Παρίσι · Αυστηρότερη επιβολή για cookies στην ΕΕ· κορυφαία αρχή σε adtech & TCF
AEPD — Agencia Española de Protección de Datos (Ισπανία)
Ιδρύθηκε το 1993 · Μαδρίτη · Πιο ενεργή εθνική αρχή σε αριθμό προστίμων· έντονη εστίαση σε ΜμΕ
Garante — Garante per la Protezione dei Dati Personali (Ιταλία)
Ιδρύθηκε το 1997 · Ρώμη · Επιθετική επιβολή σε AI/ChatGPT, τηλεμάρκετινγκ και cookies
BfDI + 16 Landesdatenschutzbeauftragte (Γερμανία)
Ομοσπονδιακή BfDI στη Βόννη + μία αρχή ανά ομόσπονδο κρατίδιο · Αποκεντρωμένο· LfDI BW, BlnBDI και HmbBfDI οι πιο ενεργές
ICO — Information Commissioner's Office (Ηνωμένο Βασίλειο)
Wilmslow · Επιβάλλει το UK GDPR (μετά το Brexit) και τον Data Protection Act 2018 · Απόφαση επάρκειας σε ισχύ
AP — Autoriteit Persoonsgegevens (Κάτω Χώρες)
Χάγη · Ολλανδική αρχή · Ενεργή σε cookie walls, μητρώο AI και διαρροές δεδομένων του δημόσιου τομέα
NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Ουγγαρία)
Βουδαπέστη · Ουγγρική αρχή · Ενεργή σε αναγνώριση προσώπου, βιντεοεπιτήρηση και δεδομένα προσωπικού
Έτοιμοι να πουλήσετε σε όλη την ΕΕ — συμμορφωμένοι με τον GDPR από την πρώτη ημέρα;
Συνδέστε κάθε marketplace και κάθε κατάστημα της ΕΕ σε έναν ενιαίο πίνακα Zunapro με ενσωματωμένη CMP TCF v2.2, μητρώο κατά το άρθρο 30, ροή εργασίας DSR και προϋπογεγραμμένες ΤΣΡ για κάθε υποεκτελούντα.
1. Επισκόπηση GDPR — Κανονισμός (ΕΕ) 2016/679, σε ισχύ από τον Μάιο του 2018
Τι πραγματικά είναι ο GDPR
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων — Κανονισμός (ΕΕ) 2016/679 — εγκρίθηκε στις 27 Απριλίου 2016 και κατέστη απευθείας εφαρμοστέος σε όλα τα 27 κράτη μέλη της ΕΕ, καθώς και στις τρεις χώρες του ΕΟΧ (Νορβηγία, Ισλανδία, Λιχτενστάιν), στις 25 Μαΐου 2018. Ως Κανονισμός, και όχι Οδηγία, ο GDPR δεν απαιτούσε εθνική μεταφορά στο δίκαιο — τέθηκε σε ισχύ την ίδια ημέρα στη Μαδρίτη, το Παρίσι, το Βερολίνο, τη Ρώμη, τη Βαρσοβία και κάθε άλλη πρωτεύουσα της ΕΕ. Αντικατέστησε την Οδηγία περί Προστασίας Δεδομένων του 1995 (95/46/ΕΚ), η οποία είχε οδηγήσει σε 28 κατακερματισμένες εθνικές εφαρμογές.
Για τους πωλητές e-commerce, τρεις δομικές επιλογές του κειμένου έχουν μεγαλύτερη σημασία από οτιδήποτε άλλο:
- Καθ' ύλην πεδίο εφαρμογής (άρθρο 2) — εφαρμόζεται σε κάθε «επεξεργασία δεδομένων προσωπικού χαρακτήρα» με αυτοματοποιημένα μέσα, κάτι που καλύπτει ουσιαστικά κάθε λειτουργία βάσης δεδομένων σε μια σύγχρονη διαδικτυακή υποδομή.
- Εδαφικό πεδίο εφαρμογής (άρθρο 3) — εφαρμόζεται σε υπευθύνους επεξεργασίας εγκατεστημένους στην ΕΕ ανεξαρτήτως του πού διεξάγεται η επεξεργασία, και σε υπευθύνους εγκατεστημένους εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε υποκείμενα δεδομένων στην ΕΕ ή παρακολουθούν τη συμπεριφορά τους. Αυτή είναι η «εξωεδαφική εμβέλεια» που έφερε εντός πεδίου εφαρμογής πωλητές από τις ΗΠΑ, το Ηνωμένο Βασίλειο, την Τουρκία, την Ελβετία και την Ασία.
- Ορισμός δεδομένων προσωπικού χαρακτήρα (άρθρο 4) — εξαιρετικά ευρύς: οτιδήποτε «σχετίζεται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο». Διευθύνσεις IP, αναγνωριστικά cookies, δακτυλικά αποτυπώματα συσκευών, ακόμη και μοναδικές παράμετροι URL μπορούν να χαρακτηριστούν ως τέτοια.
Οι έξι νομικές βάσεις (Άρθρο 6)
Κάθε δραστηριότητα επεξεργασίας απαιτεί τουλάχιστον μία από έξι νομικές βάσεις:
- Συγκατάθεση — ελεύθερα δεδομένη, συγκεκριμένη, ενημερωμένη, χωρίς αμφισημία (άρθρο 4 παρ. 11 + άρθρο 7).
- Σύμβαση — επεξεργασία απαραίτητη για την εκτέλεση σύμβασης με το υποκείμενο δεδομένων (η τυπική βάση για την εκτέλεση μιας παραγγελίας).
- Νομική υποχρέωση — π.χ. τιμολόγηση ΦΠΑ, KYC, φορολογικά αρχεία.
- Ζωτικά συμφέροντα — σπάνια στο εμπορικό e-commerce.
- Δημόσιο συμφέρον — γενικά μη σχετικό με το ιδιωτικό λιανικό εμπόριο.
- Έννομα συμφέροντα — απαιτείται δοκιμή στάθμισης· χρησιμοποιείται για πρόληψη απάτης, ασφάλεια, βασική ανάλυση.
Το πιο συχνό λάθος συμμόρφωσης το 2026 είναι η σύγχυση των νομικών βάσεων — για παράδειγμα, να στηρίζεσαι στη «σύμβαση» για μηνύματα marketing μέσω email (που απαιτούν συγκατάθεση βάσει της Οδηγίας ePrivacy) ή στα «έννομα συμφέροντα» για cookies παρακολούθησης (που επίσης απαιτούν συγκατάθεση βάσει του άρθρου 5 παρ. 3 της Οδηγίας ePrivacy).
Ειδικές κατηγορίες δεδομένων (Άρθρο 9)
Δεδομένα υγείας, βιομετρικά δεδομένα, εθνοτική καταγωγή, θρησκευτικές πεποιθήσεις, συνδικαλιστική συμμετοχή, σεξουαλικός προσανατολισμός και πολιτικά φρονήματα αποτελούν ειδικές κατηγορίες δεδομένων. Η επεξεργασία τους απαγορεύεται εκτός εάν πληρούται μία από τις δέκα προϋποθέσεις του άρθρου 9 παρ. 2 — με τη ρητή συγκατάθεση να είναι η πιο συνηθισμένη στο e-commerce (π.χ. συνδρομές συμπληρωμάτων διατροφής που αποκαλύπτουν πληροφορίες υγείας, ή ιστότοποι μόδας που συνάγουν την εθνοτική καταγωγή από τα προτιμώμενα μεγέθη).
2. Συγκατάθεση cookies — TCF v2.2 και το πλαίσιο IAB Europe
Γιατί τα cookies είναι θέμα του GDPR
Τα cookies και παρόμοιες τεχνολογίες παρακολούθησης δεν διέπονται μόνο από τον GDPR, αλλά από το άρθρο 5 παρ. 3 της Οδηγίας ePrivacy 2002/58/ΕΚ (η «Οδηγία για τα cookies», όπως τροποποιήθηκε το 2009). Η Οδηγία απαιτεί προηγούμενη, ενημερωμένη συγκατάθεση για την αποθήκευση πληροφοριών ή την πρόσβαση σε πληροφορίες στη συσκευή ενός χρήστη, εκτός εάν αυτό είναι απολύτως αναγκαίο για την παροχή μιας υπηρεσίας που έχει ζητήσει ρητά ο χρήστης. Ο GDPR στη συνέχεια ορίζει το πρότυπο για το τι συνιστά έγκυρη συγκατάθεση (άρθρα 4 παρ. 11 και 7).
Ο συνδυασμένος πρακτικός κανόνας για τους πωλητές e-commerce το 2026 είναι:
- Απολύτως απαραίτητα cookies (καλάθι, σύνδεση, token CSRF, επιλογέας γλώσσας, βασική εξισορρόπηση φόρτου) — δεν απαιτείται συγκατάθεση, αλλά πρέπει να τεκμηριώνονται στην πολιτική απορρήτου.
- Όλα τα υπόλοιπα cookies — analytics (GA4, Plausible, Matomo με προεπιλεγμένη ρύθμιση), διαφήμιση (Meta Pixel, Google Ads, TikTok), εξατομίκευση, δοκιμές A/B, fingerprinting — απαιτούν συγκατάθεση opt-in πριν από την τοποθέτηση του cookie.
IAB Europe Transparency & Consent Framework v2.2
Το IAB Europe Transparency & Consent Framework (TCF) v2.2 — που κυκλοφόρησε στις 16 Μαΐου 2023 και είναι υποχρεωτικό από τις 20 Νοεμβρίου 2023 — αποτελεί το εκ των πραγμάτων πρότυπο του κλάδου για τη συλλογή, σηματοδότηση και διατήρηση της συγκατάθεσης cookies σε όλη την ΕΕ. Βασικά χαρακτηριστικά:
- 11 σκοποί + 3 «ειδικοί σκοποί» + 2 «λειτουργίες» + 2 «ειδικές λειτουργίες» — γρανιτώδης έλεγχος αντί για ένα απλό «Αποδοχή όλων»
- ~700 καταχωρημένοι προμηθευτές — κάθε συνεργάτης adtech, analytics και CDP δηλώνει σκοπούς και νομικές βάσεις στην Παγκόσμια Λίστα Προμηθευτών (GVL) του TCF
- Αλυσίδα TC (TC String) — ένα κωδικοποιημένο σε base64 σήμα, ενσωματωμένο στο
__tcfapi/__tcfapi v2, που συνοδεύει κάθε αίτημα adtech - Βελτιώσεις της v2.2 — σαφέστεροι σκοποί 1, 3, 4, κατάργηση του «έννομου συμφέροντος» ως εναλλακτικής βάσης για διαφήμιση/μέτρηση, υποχρεωτική ροή ανάκλησης
Τι πρέπει και τι δεν πρέπει να κάνει το περιβάλλον συγκατάθεσης
Τόσο οι Κατευθυντήριες Γραμμές 05/2020 του ΕΣΠΔ για τη συγκατάθεση όσο και οι Κατευθυντήριες Γραμμές 2020-091 της CNIL είναι απόλυτα σαφείς:
- Τα προεπιλεγμένα κουτάκια είναι άκυρα (Planet49, ΔΕΕ C-673/17, 1 Οκτωβρίου 2019)
- Η «συνέχιση της περιήγησης» δεν συνιστά συγκατάθεση — το κλικ, η κύλιση ή η παραμονή στη σελίδα δεν ισοδυναμεί με opt-in
- Η απόρριψη πρέπει να είναι εξίσου εύκολη με την αποδοχή — τα «Αποδοχή όλων» και «Απόρριψη όλων» πρέπει να είναι οπτικά και διαδικαστικά ισοδύναμα (η CNIL επέβαλε 60 εκατ. € στην Google και 60 εκατ. € στο Facebook τον Ιανουάριο του 2022 ρητά για αυτόν τον λόγο)
- Τα cookie walls — η εξάρτηση της πρόσβασης από τη συγκατάθεση — απαγορεύονται σε μεγάλο βαθμό (κατευθυντήρια γραμμή της ολλανδικής AP το 2019, Κατευθυντήριες Γραμμές 05/2020 του ΕΣΠΔ)
- Λεπτομέρεια — διακόπτες ανά σκοπό, όχι ένας ενιαίος γενικός διακόπτης
- Η ανάκληση της συγκατάθεσης πρέπει να είναι εξίσου εύκολη με την παροχή της (άρθρο 7 παρ. 3 GDPR)
Βέλτιστη πρακτική 2026: μια πλατφόρμα διαχείρισης συγκατάθεσης (CMP) συμβατή με το TCF v2.2, με ισοδύναμα κουμπιά «Αποδοχή όλων» / «Απόρριψη όλων» στο πρώτο επίπεδο, γρανιτώδεις διακόπτες στο δεύτερο επίπεδο, και έναν μόνιμο σύνδεσμο «Ρυθμίσεις cookies» στο υποσέλιδο. Τα καταστήματα Zunapro περιλαμβάνουν αυτή τη διαμόρφωση εκ κατασκευής. Δείτε τα καταστήματα Zunapro στην ΕΕ →
3. Πολιτική απορρήτου — Τα άρθρα 13 και 14 στην πράξη
Γιατί μια πολιτική απορρήτου δεν είναι διαπραγματεύσιμη
Τα άρθρα 13 και 14 του GDPR απαιτούν από κάθε υπεύθυνο επεξεργασίας να παρέχει ενημέρωση απορρήτου κατά τη στιγμή της συλλογής δεδομένων προσωπικού χαρακτήρα (άρθρο 13) ή, όταν τα δεδομένα συλλέγονται από τρίτο, εντός ενός μήνα (άρθρο 14). Στο e-commerce, αυτή είναι συνήθως η σελίδα που συνδέεται από το υποσέλιδο ως «Πολιτική Απορρήτου», «Ενημέρωση Απορρήτου» ή «Πληροφορίες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα».
Ο υποχρεωτικός κατάλογος περιεχομένου
Το άρθρο 13 απαιτεί, κατ' ελάχιστον, τα ακόλουθα — συνήθως δομημένα ως στρωματοποιημένη ενημέρωση με μια σύντομη περίληψη και μια πλήρη έκδοση:
- Ταυτότητα και στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας (και του εκπροσώπου στην ΕΕ, εφόσον εφαρμόζεται το άρθρο 27)
- Στοιχεία επικοινωνίας του DPO, εφόσον έχει οριστεί
- Σκοποί επεξεργασίας και νομική βάση για κάθε έναν (άρθρο 6, και άρθρο 9 για ειδικές κατηγορίες δεδομένων)
- Αποδέκτες ή κατηγορίες αποδεκτών — πάροχοι πληρωμών, συνεργάτες εκτέλεσης παραγγελιών, εργαλεία marketing, πάροχοι φιλοξενίας
- Διεθνείς διαβιβάσεις — εμπλεκόμενες τρίτες χώρες, αποφάσεις επάρκειας ή κατάλληλες εγγυήσεις (ΤΣΡ)
- Περίοδοι διατήρησης — ή τα κριτήρια που χρησιμοποιούνται για τον καθορισμό τους
- Δικαιώματα υποκειμένων δεδομένων — πρόσβαση, διόρθωση, διαγραφή, περιορισμό, φορητότητα, εναντίωση, αυτοματοποιημένες αποφάσεις
- Δικαίωμα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή (όπου η συγκατάθεση αποτελεί τη νομική βάση)
- Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
- Εάν η παροχή δεδομένων είναι υποχρεωτική, και οι συνέπειες της μη παροχής τους
- Ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, με χρήσιμη πληροφόρηση για τη λογική που εφαρμόζεται
Συχνά λάθη για τα οποία επιβάλλουν πρόστιμα η CNIL και η AEPD
- Τυποποιημένη ενημέρωση που δεν αντιστοιχεί στις πραγματικές δραστηριότητες επεξεργασίας — οι εποπτικές αρχές τη διασταυρώνουν με το μητρώο του άρθρου 30
- Αναφορά στα «έννομα συμφέροντα» χωρίς εξήγηση της δοκιμής στάθμισης
- Ασαφείς περίοδοι διατήρησης όπως «όσο χρειάζεται» χωρίς συγκεκριμένα χρονικά διαστήματα
- Ελλιπείς ή ξεπερασμένες γνωστοποιήσεις διεθνών διαβιβάσεων (ιδίως διαβιβάσεις προς τις ΗΠΑ μετά την υπόθεση Schrems II)
- Καμία αναφορά στο δικαίωμα υποβολής καταγγελίας σε αρχή προστασίας δεδομένων — συχνό εύρημα σε ελέγχους της AEPD
4. Υπεύθυνος Προστασίας Δεδομένων — Πότε εφαρμόζεται το άρθρο 37
Οι τρεις υποχρεωτικές περιπτώσεις
Το άρθρο 37 παρ. 1 επιβάλλει τον υποχρεωτικό ορισμό DPO σε τρεις περιπτώσεις:
- Δημόσια αρχή ή φορέας (πλην των δικαστηρίων)
- Οι βασικές δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση υποκειμένων δεδομένων σε μεγάλη κλίμακα
- Οι βασικές δραστηριότητες συνίστανται σε επεξεργασία μεγάλης κλίμακας ειδικών κατηγοριών δεδομένων (άρθρο 9) ή δεδομένων ποινικών καταδικών (άρθρο 10)
Η «μεγάλη κλίμακα» ορίζεται στις Κατευθυντήριες Γραμμές WP243 του ΕΣΠΔ βάσει τεσσάρων κριτηρίων: αριθμός υποκειμένων δεδομένων, όγκος δεδομένων, διάρκεια επεξεργασίας και γεωγραφική έκταση. Στο e-commerce, οι δραστηριότητες με έντονη συμπεριφορική διαφήμιση, τα marketplaces και οι μεγάλες πλατφόρμες λιανικής σχεδόν πάντα πληρούν το κατώφλι της «τακτικής και συστηματικής παρακολούθησης σε μεγάλη κλίμακα».
Ο μύθος των 250 εργαζομένων
Το ευρέως αναφερόμενο όριο των «250 εργαζομένων» αφορά το άρθρο 30 (αρχείο δραστηριοτήτων επεξεργασίας) και όχι τον ορισμό DPO. Το άρθρο 30 παρ. 5 απαλλάσσει τους οργανισμούς με λιγότερους από 250 εργαζομένους από την τήρηση αρχείου — αλλά μόνο εάν η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει ειδικές κατηγορίες δεδομένων και είναι απίθανο να προκαλέσει κίνδυνο για τα υποκείμενα δεδομένων. Για κάθε ενεργό πωλητή e-commerce, η εξαίρεση αυτή σχεδόν ποτέ δεν ισχύει στην πράξη: η αποστολή παραγγελιών σε χιλιάδες πελάτες δεν είναι εξ ορισμού περιστασιακή.
Εθνικές αυστηροποιήσεις
Τα κράτη μέλη μπορούν να επιβάλλουν πρόσθετες απαιτήσεις για DPO. Ο γερμανικός νόμος BDSG, για παράδειγμα, απαιτεί DPO όποτε 20 ή περισσότερα άτομα συμμετέχουν συνεχώς σε αυτοματοποιημένη επεξεργασία — πολύ χαμηλότερο όριο από τη βασική απαίτηση του GDPR. Αυτό είναι ένα από τα μεγαλύτερα πρακτικά κενά συμμόρφωσης μεταξύ γερμανικών, γαλλικών και ισπανικών δραστηριοτήτων e-commerce παρόμοιου μεγέθους.
Ανεξαρτησία και καθήκοντα του DPO
- Άρθρο 38 — πρέπει να συμμετέχει σε όλα τα ζητήματα προστασίας δεδομένων, να λαμβάνει πόρους, να αναφέρεται στην ανώτατη διοίκηση, δεν μπορεί να απολυθεί για την εκτέλεση των καθηκόντων του
- Άρθρο 39 — ενημερώνει και συμβουλεύει, παρακολουθεί τη συμμόρφωση, συμβουλεύει σχετικά με ΕΑΠΔ, συνεργάζεται με την εποπτική αρχή, ενεργεί ως σημείο επαφής για τα υποκείμενα δεδομένων
- Συγκρούσεις συμφερόντων — ο επικεφαλής marketing ή ο επικεφαλής IT συνήθως δεν μπορούν να είναι DPO (Κατευθυντήριες Γραμμές WP243 του ΕΣΠΔ· πρόστιμο 50.000 € επιβλήθηκε το 2020 από τη βελγική αρχή σε υπεύθυνο επεξεργασίας που είχε ορίσει τον επικεφαλής συμμόρφωσης, εσωτερικού ελέγχου και κινδύνου ως DPO)
💡 DPO-ως-υπηρεσία ή εσωτερικός;
Πολλές δραστηριότητες e-commerce της ΕΕ με λιγότερους από 50 εργαζομένους χρησιμοποιούν εξωτερικούς DPO για να διασφαλίσουν σαφή ανεξαρτησία. Ο πίνακας Zunapro περιλαμβάνει πεδίο επικοινωνίας DPO και δρομολογεί τα αιτήματα υποκειμένων δεδομένων απευθείας στα εισερχόμενα του DPO σας.
5. Δικαιώματα υποκειμένων δεδομένων — Άρθρα 15–22
Τα οκτώ δικαιώματα, με τη σειρά
Τα δικαιώματα του Κεφαλαίου III αποτελούν τη λειτουργική ραχοκοκαλιά του GDPR για κάθε επιχείρηση που απευθύνεται σε πελάτες:
- Δικαίωμα ενημέρωσης (άρθρα 13–14) — εκπληρώνεται μέσω της παραπάνω ενημέρωσης απορρήτου
- Δικαίωμα πρόσβασης (άρθρο 15) — επιβεβαίωση της επεξεργασίας + αντίγραφο των δεδομένων προσωπικού χαρακτήρα + τα μεταδεδομένα του άρθρου 13
- Δικαίωμα διόρθωσης (άρθρο 16) — διόρθωση ανακριβών δεδομένων, συμπλήρωση ελλιπών δεδομένων
- Δικαίωμα διαγραφής / «δικαίωμα στη λήθη» (άρθρο 17) — έξι συγκεκριμένοι λόγοι (δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, παράνομη επεξεργασία κ.λπ.)· δεν είναι απόλυτο
- Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18) — σήμανση δεδομένων ως «παγωμένα» ενώ επιλύεται μια διαφορά
- Δικαίωμα φορητότητας δεδομένων (άρθρο 20) — λήψη προσωπικών δεδομένων σε δομημένη, κοινώς χρησιμοποιούμενη, αναγνώσιμη από μηχανή μορφή, και διαβίβασή τους σε άλλον υπεύθυνο επεξεργασίας
- Δικαίωμα εναντίωσης (άρθρο 21) — στην επεξεργασία που βασίζεται σε έννομα συμφέροντα ή δημόσιο συμφέρον· απόλυτο για το απευθείας μάρκετινγκ
- Δικαίωμα να μην υπόκειται κανείς σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22) — περιορισμένες εξαιρέσεις για σύμβαση, νόμο, ρητή συγκατάθεση
Χρόνοι απάντησης και μορφή
Το άρθρο 12 ορίζει τους λειτουργικούς κανόνες:
- Ένας μήνας ως προεπιλογή — με δυνατότητα παράτασης κατά δύο ακόμη μήνες για σύνθετα ή πολυάριθμα αιτήματα, με αιτιολογημένη ειδοποίηση στο υποκείμενο δεδομένων
- Δωρεάν — εκτός από «προδήλως αβάσιμα ή υπερβολικά» αιτήματα, όπου επιτρέπεται εύλογη χρέωση ή άρνηση (το βάρος απόδειξης φέρει ο υπεύθυνος επεξεργασίας)
- Ίδια μορφή με το αίτημα — αίτημα μέσω email, απάντηση μέσω email· δομημένη, αναγνώσιμη από μηχανή για τη φορητότητα
- Επαλήθευση ταυτότητας απαιτείται, αλλά αναλογική — υπερβολικά επαχθείς έλεγχοι ταυτότητας συνιστούν οι ίδιοι παραβίαση (κατευθυντήρια γραμμή CNIL)
Πώς το εφαρμόζουν λειτουργικά οι πωλητές e-commerce
- Αποκλειστική θυρίδα DSR (π.χ.
[email protected]) που δρομολογείται στον DPO ή στην ομάδα απορρήτου - Ροή εργασίας εισιτηρίων με χρονόμετρο SLA ενός μήνα και αυτόματη κλιμάκωση στις 25 ημέρες
- Χάρτης δεδομένων αναφοράς (το μητρώο του άρθρου 30) που δείχνει ποια συστήματα κατέχουν ποια δεδομένα — η Zunapro το κεντρικοποιεί αυτό για marketplaces, καταστήματα, CRM και δεδομένα πληρωμών
- Πρότυπες απαντήσεις με τα νομικά απαιτούμενα μεταδεδομένα προσυμπληρωμένα
- Ίχνος ελέγχου κάθε αιτήματος και απάντησης — οι εποπτικές αρχές ζητούν συχνά τα αρχεία DSR των τελευταίων 12 μηνών σε έρευνες
6. Γνωστοποίηση παραβίασης — Το ρολόι των 72 ωρών (Άρθρα 33–34)
Τι θεωρείται «παραβίαση δεδομένων προσωπικού χαρακτήρα»
Το άρθρο 4 παρ. 12 ορίζει την παραβίαση δεδομένων προσωπικού χαρακτήρα ως «παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία». Τρεις κατηγορίες ακολουθούν τις Κατευθυντήριες Γραμμές 9/2022 του ΕΣΠΔ:
- Παραβίαση εμπιστευτικότητας — μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση (τυπικό hack / διαρροή βάσης δεδομένων)
- Παραβίαση ακεραιότητας — μη εξουσιοδοτημένη μεταβολή δεδομένων
- Παραβίαση διαθεσιμότητας — τυχαία ή παράνομη απώλεια πρόσβασης ή καταστροφή (τυπικό ransomware)
Η γνωστοποίηση 72 ωρών στην αρχή προστασίας δεδομένων
Το άρθρο 33 απαιτεί τη γνωστοποίηση στην αρμόδια εποπτική αρχή «χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, το αργότερο εντός 72 ωρών αφότου ο υπεύθυνος επεξεργασίας αντιλήφθηκε το γεγονός», εκτός εάν είναι απίθανο η παραβίαση να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Οι καθυστερημένες γνωστοποιήσεις πρέπει να συνοδεύονται από αιτιολόγηση της καθυστέρησης. Το ρολόι ξεκινά όταν ο υπεύθυνος επεξεργασίας έχει εύλογο βαθμό βεβαιότητας ότι έχει συμβεί παραβίαση — όχι τη στιγμή της πρώτης ασαφούς ειδοποίησης.
Η ειδοποίηση πελατών σε περίπτωση «υψηλού κινδύνου»
Το άρθρο 34 επιβάλλει παράλληλη υποχρέωση ειδοποίησης των θιγόμενων ατόμων «χωρίς αδικαιολόγητη καθυστέρηση» όταν η παραβίαση είναι πιθανό να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες τους. Εξαιρέσεις: κρυπτογραφημένα δεδομένα, μέτρα μετριασμού που εφαρμόστηκαν εκ των υστέρων, ή δυσανάλογη προσπάθεια (τότε αρκεί δημόσια ανακοίνωση).
Τι περιλαμβάνει μια γνωστοποίηση παραβίασης
- Η φύση της παραβίασης, συμπεριλαμβανομένων των κατηγοριών και του κατά προσέγγιση αριθμού υποκειμένων δεδομένων και εγγραφών που αφορά
- Τα στοιχεία επικοινωνίας του DPO ή άλλο σημείο επαφής
- Οι πιθανές συνέπειες
- Τα μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση της παραβίασης και τον μετριασμό των πιθανών δυσμενών επιπτώσεών της
Συνήθη μοτίβα επιβολής
Οι καθυστερημένες ή ελλείπουσες γνωστοποιήσεις οδηγούν συστηματικά σε πρόστιμα, ανεξάρτητα από την υποκείμενη παραβίαση. Παραδείγματα: Η Twitter International (νυν X) επιβλήθηκε πρόστιμο 450.000 € από την ιρλανδική DPC το 2020 για καθυστερημένη γνωστοποίηση παραβίασης· η Uber επιβλήθηκε πρόστιμο 600.000 € από την ολλανδική AP για μη γνωστοποίηση παραβίασης του 2016 εντός 72 ωρών από την έναρξη ισχύος του GDPR. Και στις δύο περιπτώσεις, η ίδια η τεχνική παραβίαση ήταν σχετικά ήσσονος σημασίας· η διαδικαστική αστοχία καθόρισε το πρόστιμο.
Επιχειρησιακή συμβουλή: ένα τεκμηριωμένο εγχειρίδιο απόκρισης σε περιστατικά με ρολόι 72 ωρών, ονομαστικά ορισμένο DPO εφημερίας, προδιατυπωμένο πρότυπο γνωστοποίησης προς την αρχή προστασίας δεδομένων, και προχαρτογραφημένες αρχές ανά κράτος μέλος είναι το απόλυτο ελάχιστο. Η Zunapro καταγράφει κάθε συμβάν πιστοποίησης, κάθε εξαγωγή δεδομένων και κάθε ενέργεια διαχείρισης, ώστε το χρονικό μοτίβο των 72 ωρών να μπορεί να ανασυγκροτηθεί σε ώρες, όχι σε ημέρες. Δείτε εργαλεία απόκρισης σε παραβιάσεις →
7. Διασυνοριακές διαβιβάσεις — ΤΣΡ, επάρκεια και Schrems II
Ο προεπιλεγμένος κανόνας — Κεφάλαιο V
Το Κεφάλαιο V του GDPR (άρθρα 44–50) απαγορεύει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε «τρίτη χώρα» (εκτός ΕΕ/ΕΟΧ) ή διεθνή οργανισμό, εκτός εάν ισχύει μία από τρεις εγγυήσεις:
- Απόφαση επάρκειας (άρθρο 45) — η Επιτροπή έχει επίσημα αποφασίσει ότι η τρίτη χώρα προσφέρει «ουσιωδώς ισοδύναμο» επίπεδο προστασίας.
- Κατάλληλες εγγυήσεις (άρθρο 46) — Τυποποιημένες Συμβατικές Ρήτρες (ΤΣΡ), Δεσμευτικοί Εταιρικοί Κανόνες (BCR), εγκεκριμένοι κώδικες δεοντολογίας ή πιστοποιήσεις.
- Ειδικές παρεκκλίσεις (άρθρο 49) — περιορισμένες εξαιρέσεις: ρητή συγκατάθεση, εκτέλεση σύμβασης, σπουδαίο δημόσιο συμφέρον, ζωτικά συμφέροντα.
Αποφάσεις επάρκειας σε ισχύ (2026)
Από το 2026, πλήρεις ή μερικές αποφάσεις επάρκειας καλύπτουν: την Ανδόρα, την Αργεντινή, τον Καναδά (εμπορικοί οργανισμοί), τα νησιά Φερόε, το Γκέρνζι, το Ισραήλ, τη νήσο Μαν, την Ιαπωνία, την Τζέρζι, τη Νέα Ζηλανδία, τη Δημοκρατία της Κορέας (Νότια Κορέα), την Ελβετία, το Ηνωμένο Βασίλειο (ανανεώθηκε το 2025, σε ισχύ έως το 2031), την Ουρουγουάη, και — βάσει του Πλαισίου Προστασίας Δεδομένων ΕΕ–ΗΠΑ (DPF) που εγκρίθηκε στις 10 Ιουλίου 2023 — τους πιστοποιημένους αμερικανικούς οργανισμούς.
Schrems II και οι ΤΣΡ
Στις 16 Ιουλίου 2020 το ΔΕΕ, στην υπόθεση Schrems II (C-311/18), ακύρωσε την Ασπίδα Προστασίας Ιδιωτικότητας ΕΕ–ΗΠΑ και διευκρίνισε ότι οι ΤΣΡ από μόνες τους δεν αρκούν όταν το δίκαιο της τρίτης χώρας (π.χ. το άρθρο 702 του αμερικανικού FISA) δημιουργεί αντικρουόμενες υποχρεώσεις. Οι υπεύθυνοι επεξεργασίας πρέπει:
- Να χρησιμοποιούν τις νέες ΤΣΡ που εγκρίθηκαν με την Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021, οργανωμένες σε τέσσερις ενότητες (C2C, C2P, P2P, P2C)
- Να διενεργούν Εκτίμηση Αντικτύπου Διαβίβασης (TIA) για το νομικό πλαίσιο της χώρας εισαγωγής
- Να εφαρμόζουν συμπληρωματικά μέτρα όπου η TIA αποκαλύπτει κίνδυνο — συνήθως κρυπτογράφηση από άκρο σε άκρο, ψευδωνυμοποίηση, ή συμβατικούς/οργανωτικούς ελέγχους (Συστάσεις 01/2020 του ΕΣΠΔ)
Το Πλαίσιο Προστασίας Δεδομένων ΕΕ–ΗΠΑ
Το DPF του 2023 επανίδρυσε έναν μηχανισμό επάρκειας τύπου Privacy Shield για πιστοποιημένους αμερικανικούς αποδέκτες. Οι πωλητές που διαβιβάζουν δεδομένα σε πιστοποιημένο από το DPF αμερικανικό εκτελούντα την επεξεργασία (οι περισσότεροι μεγάλοι πάροχοι υπολογιστικού νέφους — AWS, Google Cloud, Microsoft Azure — είναι πιστοποιημένοι) δεν χρειάζονται ΤΣΡ για τον συγκεκριμένο αυτόν αποδέκτη, αλλά θα πρέπει και πάλι να τεκμηριώνουν τη βάση και να παρακολουθούν πιθανές νέες διαφορές: μια προσφυγή τύπου «Schrems III» εκκρεμεί ήδη και θα μπορούσε να επανανοίξει το ζήτημα.
Τι σημαίνει αυτό λειτουργικά
- Χαρτογραφήστε κάθε υποεκτελούντα και τη χώρα όπου πράγματι επεξεργάζονται τα δεδομένα (όχι μόνο τη διεύθυνση χρέωσης)
- Υπογράψτε τις ΤΣΡ του 2021 με αποδέκτες χωρίς απόφαση επάρκειας, με τη σωστή ενότητα για κάθε σχέση
- Διατηρήστε TIA για κάθε περίπτωση — οι περισσότερες CMP και τα εργαλεία διαχείρισης αρχών προσφέρουν πρότυπα
- Ενημερώνετε ετησίως ή όταν αλλάζει η νομοθεσία ή οι υποεκτελούντες
8. Ο επερχόμενος Κανονισμός ePrivacy — Τι αλλάζει για τα cookies και το μάρκετινγκ
Το νομοθετικό υπόβαθρο
Ο Κανονισμός ePrivacy (ePR) προτάθηκε από την Επιτροπή τον Ιανουάριο του 2017 για να αντικαταστήσει την Οδηγία ePrivacy 2002/58/ΕΚ (την «Οδηγία για τα cookies»). Σε αντίθεση με μια οδηγία, θα εφαρμόζεται απευθείας, χωρίς εθνική μεταφορά — επιλύοντας το σημερινό μωσαϊκό στο οποίο η Γαλλία (Απόφαση CNIL 2020-091), η Γερμανία (TTDSG/TDDDG), η Ισπανία (LSSI-CE), η Ιταλία (κατευθυντήριες γραμμές Garante 2021 για τα cookies) και άλλες χώρες ερμηνεύουν διαφορετικά την ίδια βασική απαίτηση της ΕΕ.
Τι είναι πιθανό να καλύπτεται (Κατάσταση 2026)
- Cookies και παρόμοιες τεχνολογίες — συμπεριλαμβανομένου του fingerprinting και αναγνωριστικών σε επίπεδο SDK
- Μεταδεδομένα ηλεκτρονικών επικοινωνιών — επέκταση του απορρήτου των επικοινωνιών πέρα από τους παραδοσιακούς τηλεπικοινωνιακούς παρόχους στα OTT μηνύματα
- Απευθείας μάρκετινγκ — opt-in για ηλεκτρονικό μάρκετινγκ (email, SMS) με το υφιστάμενο «ήπιο opt-in» για παρόμοια προϊόντα στο πλαίσιο της σχέσης με τον πελάτη
- Σήματα συγκατάθεσης σε επίπεδο browser — ρητή αναγνώριση σημάτων τύπου «Do Not Track» / Global Privacy Control
- Ανεπιθύμητες επικοινωνίες — αυστηρό opt-in για B2C, λιγότερο αυστηρό για B2B
Τι δεν αλλάζει
Ο GDPR παραμένει το lex generalis όσον αφορά την ποιότητα της συγκατάθεσης (άρθρα 4 παρ. 11, 7). Ο ePR είναι lex specialis σχετικά με το πότε απαιτείται συγκατάθεση για ηλεκτρονικές επικοινωνίες και παρακολούθηση. Μια CMP TCF v2.2 σχεδιασμένη σήμερα θα πρέπει να είναι μελλοντικά συμβατή με τη μετάβαση στον ePR.
Αναμενόμενος αντίκτυπος στο e-commerce
- Οι εθνικές διαφορές (π.χ. οι λεπτομέρειες του γερμανικού δικαίου τηλεπικοινωνιών) συμπιέζονται προς έναν ενιαίο κανόνα ΕΕ
- Τα σήματα «Απόρριψη όλων» σε επίπεδο browser γίνονται πιο δύσκολο να αγνοηθούν — τα analytics και τα adtech stacks πρέπει να τα σέβονται αυτόματα
- Οι κανόνες B2B μάρκετινγκ ενδέχεται να αποκλίνουν περισσότερο από το B2C, με ορισμένα κράτη μέλη να διατηρούν αυστηρότερα καθεστώτα B2C
- Οι διασυνοριακές καμπάνιες μάρκετινγκ γίνονται ευκολότερα ελέγξιμες ως προς τη συμμόρφωση από μία ενιαία πηγή αλήθειας
9. Πρόστιμα — 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου κύκλου εργασιών (Άρθρο 83)
Τα δύο επίπεδα
Το άρθρο 83 ορίζει δύο μέγιστα επίπεδα προστίμων:
- Επίπεδο 1 — έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών, όποιο είναι υψηλότερο: παραβιάσεις των υποχρεώσεων υπευθύνου/εκτελούντος την επεξεργασία (άρθρα 8, 11, 25–39, 42, 43)
- Επίπεδο 2 — έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών, όποιο είναι υψηλότερο: παραβιάσεις των βασικών αρχών (άρθρο 5), της νομικής βάσης (άρθρο 6), των προϋποθέσεων για τη συγκατάθεση (άρθρο 7), των ειδικών κατηγοριών δεδομένων (άρθρο 9), των δικαιωμάτων των υποκειμένων δεδομένων (άρθρα 12–22) και των διεθνών διαβιβάσεων (άρθρα 44–49)
Πώς υπολογίζουν τα ποσά οι αρχές προστασίας δεδομένων
Το ΕΣΠΔ εξέδωσε τις Κατευθυντήριες Γραμμές 04/2022 για τον υπολογισμό των διοικητικών προστίμων (εγκρίθηκαν στις 24 Μαΐου 2023), οι οποίες ορίζουν μια μεθοδολογία πέντε βημάτων:
- Προσδιορισμός των πράξεων επεξεργασίας και εφαρμογή του άρθρου 83 παρ. 3 για να καθοριστεί εάν ισχύει ένα ή περισσότερα πρόστιμα
- Προσδιορισμός του αρχικού ποσού βάσει της σοβαρότητας της παράβασης (άρθρο 83 παρ. 2 στοιχεία α, β, ζ)
- Εφαρμογή επιβαρυντικών ή ελαφρυντικών περιστάσεων (άρθρο 83 παρ. 2 στοιχεία γ–ια)
- Διασφάλιση ότι δεν υπερβαίνεται το δυναμικό ανώτατο όριο (άρθρο 83 παρ. 4–6)
- Αξιολόγηση αποτελεσματικότητας, αναλογικότητας και αποτρεπτικού χαρακτήρα
Το τοπίο προστίμων το 2026
Τα σωρευτικά πρόστιμα GDPR υπερβαίνουν τα 5,5 δισεκατομμύρια ευρώ έως το 2026. Στις κορυφαίες κυρώσεις περιλαμβάνονται:
- 1,2 δισεκατομμύρια ευρώ — Meta Platforms Ireland (ιρλανδική DPC, 22 Μαΐου 2023) — παράνομες διαβιβάσεις προς τις ΗΠΑ
- 746 εκατομμύρια ευρώ — Amazon Europe Core (λουξεμβουργιανή CNPD, 16 Ιουλίου 2021) — συγκατάθεση adtech
- 405 εκατομμύρια ευρώ — Meta / Instagram (ιρλανδική DPC, 5 Σεπτεμβρίου 2022) — δεδομένα ανηλίκων
- 390 εκατομμύρια ευρώ — Meta / Facebook + Instagram (ιρλανδική DPC, Ιανουάριος 2023) — νομική βάση για διαφημίσεις
- 345 εκατομμύρια ευρώ — TikTok (ιρλανδική DPC, Σεπτέμβριος 2023) — απόρρητο ανηλίκων
- 290 εκατομμύρια ευρώ — Uber B.V. (ολλανδική AP, Αύγουστος 2024) — δεδομένα οδηγών προς τις ΗΠΑ
- 225 εκατομμύρια ευρώ — WhatsApp (ιρλανδική DPC, Σεπτέμβριος 2021) — αστοχίες διαφάνειας
Η πραγματικότητα για τις ΜμΕ
Τα εντυπωσιακά πρόστιμα στοχεύουν τους μεγαλύτερους υπευθύνους επεξεργασίας, αλλά αρχές όπως η AEPD επιβάλλουν συστηματικά εκατοντάδες πρόστιμα από 1.000–50.000 € ετησίως σε ΜμΕ — με τυπικές παραβάσεις να είναι οι ελλιπείς ενημερώσεις απορρήτου, η μη δηλωμένη βιντεοεπιτήρηση, τα παράνομα cookies και οι καθυστερημένες απαντήσεις σε DSR. Για έναν online πωλητή της ΕΕ με κύκλο εργασιών 1–10 εκατ. €, η ρεαλιστική έκθεση κυμαίνεται στα 5.000–100.000 € ανά εύρημα — σημαντική, αλλά διαχειρίσιμη, εφόσον υπάρχει βασική συμμόρφωση.
📊 Πρόβλεψη κινδύνου προστίμων στον πίνακα
Ο πίνακας συμμόρφωσης της Zunapro διασταυρώνει τις δραστηριότητες επεξεργασίας σας με τη μεθοδολογία υπολογισμού προστίμων του ΕΣΠΔ και επισημαίνει πρώτα τα κενά υψηλότερου κινδύνου.
10. Λίστα ελέγχου GDPR για e-commerce + Εθνικές αρχές
Η λίστα ελέγχου 12 σημείων για λειτουργική χρήση
- Ορισμός υπευθύνου επεξεργασίας και (εφόσον απαιτείται) DPO — τεκμηρίωση του ορισμού και των στοιχείων επικοινωνίας δημόσια
- Τήρηση μητρώου κατά το άρθρο 30 δραστηριοτήτων επεξεργασίας, με ευρετηρίαση βάσει σκοπού, νομικής βάσης, αποδεκτών, διατήρησης, διαβιβάσεων
- Δημοσίευση συμμορφούμενης με τον GDPR πολιτικής απορρήτου κατά τα άρθρα 13–14 — στρωματοποιημένη, σαφώς διατυπωμένη, στη γλώσσα της αγοράς
- Ανάπτυξη CMP συμβατής με το TCF v2.2 με ισοδύναμα κουμπιά «Αποδοχή όλων» / «Απόρριψη όλων» και γρανιτώδεις διακόπτες
- Τεκμηρίωση της νομικής βάσης για κάθε δραστηριότητα επεξεργασίας — με ιδιαίτερη διάκριση μεταξύ σύμβασης, έννομων συμφερόντων και συγκατάθεσης
- Υπογραφή DPA (άρθρο 28) με κάθε εκτελούντα την επεξεργασία — πάροχοι πληρωμών, πάροχοι φιλοξενίας, συνεργάτες εκτέλεσης παραγγελιών, εργαλεία μάρκετινγκ
- Διαμόρφωση ροών εργασίας DSR — άρθρα 15–22, SLA ενός μήνα, επαλήθευση ταυτότητας, ίχνος ελέγχου
- Καθορισμός περιόδων διατήρησης και διαγραφής — δεδομένα παραγγελιών, δεδομένα μάρκετινγκ, δεδομένα καταγραφής, δεδομένα πληρωμών, καθένα με το δικό του ρολόι
- Εφαρμογή σχεδίου απόκρισης σε παραβιάσεις εντός 72 ωρών — εγχειρίδιο, ονομαστικά ορισμένος DPO, πρότυπα για την αρχή προστασίας δεδομένων, παρακολούθηση
- Υπογραφή ΤΣΡ 2021 + διενέργεια TIA για κάθε διαβίβαση χωρίς απόφαση επάρκειας· στήριξη στο DPF ΕΕ–ΗΠΑ όπου ο εκτελών είναι πιστοποιημένος
- Διενέργεια ΕΑΠΔ (άρθρο 35) για επεξεργασίες υψηλού κινδύνου — κατάρτιση προφίλ, ειδικές κατηγορίες δεδομένων μεγάλης κλίμακας, συστηματική παρακολούθηση
- Εκπαίδευση προσωπικού, καταγραφή αποφάσεων, πλήρης τεκμηρίωση — η λογοδοσία (άρθρο 5 παρ. 2) αποτελεί η ίδια ουσιαστική υποχρέωση
Εθνικές εποπτικές αρχές — Ποιον να επικοινωνήσετε και πότε
| Κράτος μέλος | Αρχή | Πόλη | Σημαντική εστίαση επιβολής 2026 |
|---|---|---|---|
| Γαλλία | CNIL | Παρίσι | Cookies, adtech, TCF, υψηλά πρόστιμα |
| Ισπανία | AEPD | Μαδρίτη | Επιβολή σε ΜμΕ, βιντεοεπιτήρηση, καθυστερήσεις DSR |
| Ιταλία | Garante | Ρώμη | AI/ChatGPT, τηλεμάρκετινγκ, cookies |
| Γερμανία — ομοσπονδιακό | BfDI | Βόννη | Ομοσπονδιακοί φορείς, τηλεπικοινωνίες, ταχυδρομεία |
| Γερμανία — κρατίδια | 16 περιφερειακές αρχές | Ανά ομόσπονδο κρατίδιο | Επιβολή στον ιδιωτικό τομέα (LfDI BW, BlnBDI, HmbBfDI οι πιο ενεργές) |
| Κάτω Χώρες | Autoriteit Persoonsgegevens (AP) | Χάγη | Cookie walls, μητρώο AI, διαρροές δεδομένων δημόσιου τομέα |
| Ιρλανδία | Data Protection Commission (DPC) | Δουβλίνο | Κύρια αρχή για τις big tech, μεγαλύτερα πρόστιμα |
| Ουγγαρία | NAIH | Βουδαπέστη | Βιντεοεπιτήρηση, αναγνώριση προσώπου, δεδομένα προσωπικού |
| Βέλγιο | Gegevensbeschermingsautoriteit (APD/GBA) | Βρυξέλλες | Adtech, αποφάσεις TCF της IAB Europe |
| Ηνωμένο Βασίλειο | ICO (UK GDPR) | Wilmslow | Adtech, κώδικας προστασίας παιδιών, κατευθυντήριες γραμμές AI |
Πώς να διαβάσετε τον πίνακα: για διασυνοριακές υποθέσεις εφαρμόζεται ο μηχανισμός «μίας στάσης» και η επικεφαλής αρχή είναι η αρχή προστασίας δεδομένων της κύριας εγκατάστασης του υπευθύνου επεξεργασίας. Για καθαρά εγχώριες καταγγελίες, η υπόθεση χειρίζεται η τοπική αρχή. Η Zunapro αποθηκεύει για κάθε πελάτη μια διαμόρφωση επικεφαλής αρχής, ώστε οι καταγγελίες πελατών να δρομολογούνται αυτόματα.
Πώς να καταστήσετε ένα κατάστημα Zunapro έτοιμο για τον GDPR — Βήμα προς βήμα
1. Διαμόρφωση του υπευθύνου επεξεργασίας και του DPO
Στον πίνακα Zunapro → Ρυθμίσεις → Απόρρητο, δηλώστε τη νομική οντότητα του υπευθύνου επεξεργασίας, την καταχωρημένη διεύθυνση, τον εκπρόσωπο στην ΕΕ (εάν είστε εκτός ΕΕ) και τα στοιχεία επικοινωνίας του DPO. Αυτές οι τιμές τροφοδοτούν αυτόματα την ενημέρωση απορρήτου κατά το άρθρο 13, το πρώτο επίπεδο του banner cookies και τη διαμόρφωση της θυρίδας DSR.
2. Ενεργοποίηση της CMP TCF v2.2
- Ενεργοποιήστε την πλατφόρμα διαχείρισης συγκατάθεσης στις Ρυθμίσεις → Cookies
- Επιλέξτε τη διάταξη (banner, modal, μπάρα) και επιβεβαιώστε την ισοδύναμη μεταχείριση «Αποδοχή όλων» / «Απόρριψη όλων»
- Επιλέξτε τους σκοπούς 1–11 από τη GVL του TCF — η Zunapro προεπιλέγει τις προεπιλογές e-commerce
- Επιβεβαιώστε τον μόνιμο σύνδεσμο «Ρυθμίσεις cookies» στο υποσέλιδο
3. Δημιουργία της ενημέρωσης απορρήτου κατά το άρθρο 13
Η Zunapro παράγει μια πολύγλωσση ενημέρωση από τα δεδομένα που εισαγάγατε στο βήμα 1 και τις ενοποιήσεις που έχετε συνδέσει (πάροχοι πληρωμών, εργαλεία μάρκετινγκ, περιοχή φιλοξενίας). Ελέγξτε, επεξεργαστείτε την τοπικοποιημένη έκδοση ανά αγορά, δημοσιεύστε.
4. Ρύθμιση της ροής εργασίας DSR
- Διαμορφώστε τη θυρίδα απορρήτου (ή ένα endpoint φόρμας ιστού)
- Αντιστοιχίστε κάθε δικαίωμα (πρόσβαση, διαγραφή κ.λπ.) στο SLA του και στα συστήματα που πρέπει να ενεργήσουν
- Ενεργοποιήστε το ημερολόγιο ελέγχου
5. Ενεργοποίηση παρακολούθησης παραβιάσεων + βιβλιοθήκης ΤΣΡ
Ενεργοποιήστε το εγχειρίδιο απόκρισης σε περιστατικά 72 ωρών και εισαγάγετε προϋπογεγραμμένες ΤΣΡ 2021 για κάθε υποεκτελούντα που δραστηριοποιείται εκτός ΕΕ/ΕΟΧ. Η Zunapro αποστέλλει ετήσιες υπενθυμίσεις ανανέωσης TIA.
6. Έναρξη λειτουργίας
- Συνδεθείτε στη Zunapro και ανοίξτε την ενότητα ΕΕ
- Ενεργοποιήστε το Privacy Hub στις Ρυθμίσεις
- Ακολουθήστε τον οδηγό — υπεύθυνος επεξεργασίας, DPO, CMP, ενημέρωση απορρήτου, DSR, σχέδιο παραβιάσεων, ΤΣΡ
- Μεταφράστε για κάθε αγορά στην οποία πουλάτε (η Zunapro προσφέρει πρότυπα σε EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
- Έναρξη λειτουργίας — το πρώτο πλήρες πέρασμα συνήθως ολοκληρώνεται σε 10–15 λεπτά για ένα μεμονωμένο κατάστημα
Καταστήστε κάθε κατάστημα της ΕΕ έτοιμο για τον GDPR από έναν ενιαίο πίνακα
CMP TCF v2.2 · Ενημέρωση απορρήτου κατά το άρθρο 13 · Ροή εργασίας DSR · Απόκριση σε παραβιάσεις εντός 72 ωρών · ΤΣΡ 2021 + TIA · προχαρτογραφημένη βιβλιοθήκη αρχών για CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Ενοποίηση σε 10 λεπτά, χωρίς απαίτηση επίδειξης.
Σύνδεση με marketplaces της ΕΕ →Συχνές ερωτήσεις GDPR ΕΕ 2026
Τι είναι ο GDPR και πότε τέθηκε σε ισχύ;
Ο GDPR είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων — επίσημα ο Κανονισμός (ΕΕ) 2016/679. Εγκρίθηκε στις 27 Απριλίου 2016 και κατέστη απευθείας εφαρμοστέος στα 27 κράτη μέλη της ΕΕ και στις τρεις χώρες του ΕΟΧ (Νορβηγία, Ισλανδία, Λιχτενστάιν) στις 25 Μαΐου 2018.
Επειδή πρόκειται για Κανονισμό και όχι για Οδηγία, τέθηκε σε ισχύ την ίδια ημερομηνία σε κάθε κράτος μέλος, χωρίς εθνική μεταφορά. Αντικατέστησε την Οδηγία περί Προστασίας Δεδομένων του 1995 (95/46/ΕΚ).
Χρειάζομαι συγκατάθεση GDPR για τα cookies στον ιστότοπό μου e-commerce;
Ναι, για οποιοδήποτε μη απολύτως απαραίτητο cookie: analytics, διαφήμιση, εξατομίκευση, δοκιμές A/B, ενσωματωμένο περιεχόμενο τρίτων. Τα απολύτως απαραίτητα cookies (καλάθι, συνεδρία σύνδεσης, token CSRF) εξαιρούνται αλλά πρέπει και πάλι να τεκμηριώνονται.
Το πλαίσιο IAB Europe TCF v2.2, υποχρεωτικό από τον Νοέμβριο του 2023, είναι το πρότυπο για τη συλλογή και σηματοδότηση της συγκατάθεσης. Τα προεπιλεγμένα κουτάκια, τα cookie walls χωρίς ισοδύναμη επιλογή απόρριψης και η «συνέχιση της περιήγησης ως συγκατάθεση» απαγορεύονται ρητά βάσει των κατευθυντήριων γραμμών του ΕΣΠΔ και των αποφάσεων επιβολής της CNIL/AEPD.
Είναι υποχρεωτική η πολιτική απορρήτου βάσει του GDPR;
Ναι. Τα άρθρα 13 και 14 του GDPR απαιτούν από κάθε υπεύθυνο επεξεργασίας — συμπεριλαμβανομένου κάθε πωλητή e-commerce — να παρέχει σαφή, διαφανή ενημέρωση απορρήτου. Το υποχρεωτικό περιεχόμενο περιλαμβάνει την ταυτότητα του υπευθύνου επεξεργασίας, τους σκοπούς και τις νομικές βάσεις της επεξεργασίας, τις περιόδους διατήρησης, τους αποδέκτες, τις διεθνείς διαβιβάσεις, τα δικαιώματα των υποκειμένων δεδομένων και το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή.
Η ενημέρωση πρέπει να είναι σε απλή γλώσσα, εύκολα προσβάσιμη (συνήθως συνδεδεμένη στο υποσέλιδο κάθε σελίδας) και να αντιστοιχεί στις πραγματικές δραστηριότητες επεξεργασίας σας. Οι τυποποιημένες ενημερώσεις που δεν αντιστοιχούν στο μητρώο του άρθρου 30 αποτελούν συχνό μοτίβο επιβολής προστίμου.
Πότε μια επιχείρηση e-commerce πρέπει να ορίσει DPO;
Το άρθρο 37 του GDPR απαιτεί Υπεύθυνο Προστασίας Δεδομένων όταν (α) η επεξεργασία διενεργείται από δημόσια αρχή, (β) οι βασικές δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση υποκειμένων δεδομένων σε μεγάλη κλίμακα, ή (γ) οι βασικές δραστηριότητες περιλαμβάνουν επεξεργασία μεγάλης κλίμακας ειδικών κατηγοριών δεδομένων ή δεδομένων ποινικών καταδικών.
Το ευρέως αναφερόμενο όριο των 250 εργαζομένων αφορά την τήρηση αρχείου κατά το άρθρο 30, όχι τον ορισμό DPO. Στην πράξη, οι περισσότερες αγορές (marketplaces), οι μεγάλοι λιανοπωλητές και οι δραστηριότητες e-commerce με έντονη συμπεριφορική διαφήμιση χρειάζονται DPO ανεξαρτήτως προσωπικού. Οι εθνικοί κανόνες μπορεί να είναι αυστηρότεροι — ο γερμανικός νόμος BDSG απαιτεί DPO από 20 άτομα που συμμετέχουν σε αυτοματοποιημένη επεξεργασία.
Ποια είναι τα δικαιώματα των υποκειμένων δεδομένων βάσει του GDPR;
Το Κεφάλαιο III (άρθρα 15–22) παρέχει οκτώ δικαιώματα: πρόσβαση (άρθρο 15), διόρθωση (άρθρο 16), διαγραφή / δικαίωμα στη λήθη (άρθρο 17), περιορισμό της επεξεργασίας (άρθρο 18), φορητότητα δεδομένων (άρθρο 20), εναντίωση (άρθρο 21), και το δικαίωμα να μην υπόκειται κανείς σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22), καθώς και το δικαίωμα ενημέρωσης (άρθρα 13–14).
Το άρθρο 12 ορίζει τους λειτουργικούς κανόνες: απάντηση εντός ενός μήνα, με δυνατότητα παράτασης κατά δύο ακόμη μήνες για σύνθετα ή πολυάριθμα αιτήματα, δωρεάν εκτός εάν το αίτημα είναι «προδήλως αβάσιμο ή υπερβολικό».
Τι είναι ο κανόνας των 72 ωρών για τη γνωστοποίηση παραβίασης δεδομένων;
Το άρθρο 33 του GDPR απαιτεί από τους υπευθύνους επεξεργασίας να γνωστοποιούν στην αρμόδια εποπτική αρχή μια παραβίαση δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από τη στιγμή που την αντιλήφθηκαν, εκτός εάν είναι απίθανο να προκύψει κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν υπάρχει υψηλός κίνδυνος, το άρθρο 34 απαιτεί επίσης ενημέρωση των θιγόμενων ατόμων χωρίς αδικαιολόγητη καθυστέρηση.
Οι καθυστερημένες ή ελλείπουσες γνωστοποιήσεις οδηγούν συστηματικά σε πρόστιμα, ανεξάρτητα από την υποκείμενη παραβίαση — η Twitter International (450.000 €, ιρλανδική DPC 2020) και η Uber (600.000 €, ολλανδική AP) είναι γνωστά παραδείγματα.
Πώς μεταφέρω δεδομένα πελατών e-commerce εκτός ΕΕ μετά την υπόθεση Schrems II;
Μετά την υπόθεση Schrems II (ΔΕΕ C-311/18, 16 Ιουλίου 2020), η Ασπίδα Προστασίας Ιδιωτικότητας ακυρώθηκε. Οι διαβιβάσεις σε τρίτη χώρα απαιτούν πλέον είτε (i) απόφαση επάρκειας της Επιτροπής — που καλύπτει σήμερα, μεταξύ άλλων, το Ηνωμένο Βασίλειο, την Ελβετία, την Ιαπωνία, τη Νότια Κορέα, τον Καναδά (εμπορικοί οργανισμοί), το Ισραήλ, καθώς και το Πλαίσιο Προστασίας Δεδομένων ΕΕ–ΗΠΑ που εγκρίθηκε τον Ιούλιο του 2023 — είτε (ii) τις Τυποποιημένες Συμβατικές Ρήτρες του 2021 σε συνδυασμό με εκτίμηση αντικτύπου διαβίβασης και συμπληρωματικά τεχνικά μέτρα.
Η κρυπτογράφηση από άκρο σε άκρο, η ψευδωνυμοποίηση και τα συμβατικά/οργανωτικά μέτρα είναι οι πιο συνηθισμένες συμπληρωματικές εγγυήσεις (Συστάσεις 01/2020 του ΕΣΠΔ).
Πώς θα αλλάξει ο επικείμενος Κανονισμός ePrivacy τους κανόνες για τα cookies;
Ο Κανονισμός ePrivacy, ο οποίος προορίζεται να αντικαταστήσει την Οδηγία ePrivacy του 2002/2009 (Οδηγία 2002/58/ΕΚ, η «Οδηγία για τα cookies»), βρίσκεται υπό διαπραγμάτευση από το 2017. Μόλις εγκριθεί, θα εναρμονίσει τους κανόνες για τα cookies, το ηλεκτρονικό μάρκετινγκ και τα μεταδεδομένα σε όλη την ΕΕ σε επίπεδο κανονισμού, αντικαθιστώντας το τρέχον μωσαϊκό εθνικών νόμων.
Η τρέχουσα προσδοκία για το 2026 είναι η οριστικοποίησή του υπό τη νέα θητεία της Επιτροπής. Έως τότε, οι εθνικοί νόμοι ePrivacy (LCEN στη Γαλλία / Απόφαση CNIL 2020-091, TTDSG/TDDDG στη Γερμανία, LSSI-CE στην Ισπανία, κατευθυντήριες γραμμές Garante 2021 για τα cookies στην Ιταλία) παραμένουν σε ισχύ παράλληλα με τον GDPR. Μια CMP TCF v2.2 είναι μελλοντικά συμβατή με το σχέδιο του ePR.
Πόσο υψηλά είναι τα πρόστιμα του GDPR και ποιος τα επιβάλλει;
Το άρθρο 83 του GDPR ορίζει δύο επίπεδα: έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών (όποιο είναι υψηλότερο) για διοικητικές παραβάσεις, και έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών για παραβάσεις των βασικών αρχών, της νομικής βάσης, των δικαιωμάτων των υποκειμένων δεδομένων και των διεθνών διαβιβάσεων.
Τα πρόστιμα επιβάλλονται από τις εθνικές εποπτικές αρχές — CNIL (Γαλλία), AEPD (Ισπανία), Garante (Ιταλία), BfDI και οι 16 περιφερειακές αρχές (Γερμανία), AP (Κάτω Χώρες), NAIH (Ουγγαρία), ICO (Ηνωμένο Βασίλειο βάσει του UK GDPR), η ιρλανδική DPC (κύρια αρχή στις περισσότερες υποθέσεις big tech). Το μεγαλύτερο μεμονωμένο πρόστιμο μέχρι σήμερα ανέρχεται σε 1,2 δισεκατομμύρια ευρώ κατά της Meta Platforms Ireland (ιρλανδική DPC, Μάιος 2023).
Πώς μοιάζει μια ελάχιστη λίστα ελέγχου GDPR για έναν πωλητή e-commerce της ΕΕ;
Δώδεκα βασικά σημεία: (1) ορισμός υπευθύνου επεξεργασίας και, εφόσον απαιτείται, DPO· (2) τήρηση αρχείου δραστηριοτήτων επεξεργασίας κατά το άρθρο 30· (3) δημοσίευση πολιτικής απορρήτου σύμφωνης με τον GDPR· (4) εφαρμογή συγκατάθεσης cookies TCF v2.2· (5) τεκμηρίωση της νομικής βάσης για κάθε δραστηριότητα επεξεργασίας· (6) υπογραφή συμφωνιών επεξεργασίας δεδομένων με κάθε εκτελούντα την επεξεργασία· (7) διαμόρφωση ροών εργασίας για αιτήματα υποκειμένων δεδομένων με σαφή SLA· (8) καθορισμός περιόδων διατήρησης και διαγραφής· (9) εφαρμογή σχεδίου απόκρισης σε παραβιάσεις εντός 72 ωρών· (10) θέσπιση ΤΣΡ 2021 και TIA για διαβιβάσεις χωρίς απόφαση επάρκειας· (11) διενέργεια ΕΑΠΔ για επεξεργασίες υψηλού κινδύνου· (12) εκπαίδευση προσωπικού και πλήρης τεκμηρίωση.
Ισχύει ο GDPR για πωλητές εκτός ΕΕ που αποστέλλουν στην ΕΕ;
Ναι. Το άρθρο 3 παράγραφος 2 του GDPR έχει εξωεδαφική εμβέλεια: κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εκτός ΕΕ που προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα δεδομένων στην ΕΕ/ΕΟΧ, ή παρακολουθεί τη συμπεριφορά τους, υπόκειται στον GDPR.
Οι πωλητές εκτός ΕΕ πρέπει, στις περισσότερες περιπτώσεις, να ορίσουν εκπρόσωπο στην ΕΕ βάσει του άρθρου 27 — φυσικό ή νομικό πρόσωπο εγκατεστημένο στην ΕΕ που ενεργεί ως σημείο επικοινωνίας για τις εποπτικές αρχές και τα υποκείμενα δεδομένων. Οι τουρκικές, βρετανικές, αμερικανικές και ασιατικές δραστηριότητες e-commerce που πωλούν διασυνοριακά στην ΕΕ χρειάζονται επομένως όλες συμμόρφωση με τον GDPR και, συνήθως, εκπρόσωπο κατά το άρθρο 27.
Ποια είναι η διαφορά μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία;
Ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας — συνήθως ο ίδιος ο πωλητής e-commerce. Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας βάσει τεκμηριωμένων οδηγιών — τυπικά πάροχοι πληρωμών, συνεργάτες εκτέλεσης παραγγελιών, εργαλεία μάρκετινγκ, πάροχοι φιλοξενίας.
Το άρθρο 28 απαιτεί γραπτή Συμφωνία Επεξεργασίας Δεδομένων (DPA) μεταξύ τους, που να καλύπτει το αντικείμενο, τη διάρκεια, τη φύση, τον σκοπό, τις κατηγορίες δεδομένων και τις υποχρεώσεις υπευθύνου και εκτελούντος (συμπεριλαμβανομένης της εξουσιοδότησης υποεκτελούντων, της γνωστοποίησης παραβιάσεων στον υπεύθυνο επεξεργασίας, και της διαγραφής/επιστροφής των δεδομένων στο τέλος της υπηρεσίας).
Πόσος χρόνος χρειάζεται για να καταστεί ένα κατάστημα Zunapro συμμορφωμένο με τον GDPR;
Περίπου 10 λεπτά για το τεχνικό επίπεδο. Η Zunapro προσφέρει καταστήματα έτοιμα για τον GDPR με πλατφόρμα διαχείρισης συγκατάθεσης συμβατή με το TCF v2.2, πρότυπα ενημέρωσης απορρήτου κατά το άρθρο 13 σε 12 γλώσσες της ΕΕ, ροές εργασίας για αιτήματα υποκειμένων δεδομένων, ρυθμιζόμενους κανόνες διατήρησης, αυτοματοποιημένα εργαλεία γνωστοποίησης παραβιάσεων και προϋπογεγραμμένες ΤΣΡ 2021 για τους υποεκτελούντες.
Η υπόλοιπη εργασία αφορά περισσότερο την πολιτική παρά τον κώδικα: την τεκμηρίωση των νομικών σας βάσεων ανά δραστηριότητα επεξεργασίας, τη συμπλήρωση του μητρώου σας κατά το άρθρο 30, και την ευθυγράμμιση των στοιχείων επικοινωνίας με την εποπτική σας αρχή. Οι περισσότεροι πωλητές ολοκληρώνουν το πρώτο πλήρες πέρασμα μέσα σε ένα απόγευμα και στη συνέχεια βελτιώνουν σταδιακά.
Ξεκινήστε τη στοίβα e-commerce σας στην ΕΕ — συμμορφωμένη με τον GDPR εξ ορισμού
Κανονισμός (ΕΕ) 2016/679 · Συγκατάθεση cookies TCF v2.2 · Ενημέρωση απορρήτου κατά το άρθρο 13 · 8 δικαιώματα υποκειμένων δεδομένων · Απόκριση σε παραβιάσεις εντός 72 ωρών · ΤΣΡ 2021 + TIA · προχαρτογραφημένη βιβλιοθήκη αρχών για CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Ένας πίνακας, κάθε κατάστημα της ΕΕ, κάθε marketplace.
🇪🇺 Ξεκινήστε σε όλη την ΕΕ →Χρειάζεστε βοήθεια;
Σχετική υπηρεσία: E-Commerce