Ενσωμάτωση Marketplace ΠορτογαλίαΠακέτα E-Commerce ΠορτογαλίαΕταιρική Ιστοσελίδα ΠορτογαλίαΠροσαρμοσμένο Λογισμικό ΠορτογαλίαΊδρυση Εταιρείας ΠορτογαλίαΚέντρο Fulfillment ΠορτογαλίαΑποθήκευση Προϊόντων ΠορτογαλίαΑνάπτυξη Mobile App Πορτογαλία
Σύνδεση
Πορτογαλία · E-Commerce

Πλήρης οδηγός RGPD + Lei 58/2019 LPDP 2026: αρχή CNPD, συναίνεση cookies, DPO, δικαιώματα, ειδοποίηση 72ω, πρόστιμα έως 20 εκατ. €.

🇵🇹 Οδηγός Συμμόρφωσης RGPD Πορτογαλίας — Έκδοση 2026

RGPD & CNPD για το Πορτογαλικό E-Commerce 2026: Προστασία Δεδομένων, Συναίνεση Cookies & Οδηγός Συμμόρφωσης

Η λειτουργία ενός ηλεκτρονικού καταστήματος στην Πορτογαλία το 2026 σημαίνει ότι κινείστε μέσα σε τρία επικαλυπτόμενα νομικά πλαίσια: το RGPD (ο ΓΚΠΔ της ΕΕ, τοπικά Regulamento Geral de Proteção de Dados), τον Lei n.º 58/2019 (LPDP) — τον πορτογαλικό νόμο εφαρμογής — και τις δεσμευτικές αποφάσεις της CNPD (Comissão Nacional de Proteção de Dados). Με πρόστιμα της CNPD που φτάνουν τα 20 εκατ. € ή 4% του παγκόσμιου κύκλου εργασιών, υποχρεωτική συναίνεση cookies για κάθε επισκέπτη, ένα παράθυρο ειδοποίησης παραβίασης 72 ωρών, και αυξημένο έλεγχο μετά την απόφαση Schrems II για κάθε μεταφορά εκτός ΕΟΧ, η συμμόρφωση έχει γίνει λειτουργική υποδομή. Αυτός ο οδηγός καλύπτει και τους δέκα πυλώνες της συμμόρφωσης με το RGPD για το πορτογαλικό e-commerce, τα ακριβή μοτίβα επιβολής της CNPD και μια πρακτική λίστα ελέγχου για το 2026.

✓ RGPD + Lei 58/2019 ✓ Μοτίβα επιβολής της CNPD ✓ Συναίνεση cookies + DPO ✓ Ειδοποίηση 72h + μεταφορές SCC
zunapro.com/panel/portugal/rgpd
RGPD Console 100% Συμμόρφωση
Βαθμολογία CNPD A+ / 10
Συναινέσεις
18.742
↑ 312 σήμερα
Ανοιχτά αιτήματα
4
↑ 0% SLA
Κίνδυνος παραβίασης
Χαμηλός
↑ 99,8%
Τελευταίες 7 ημέρες · Ποσοστό συναίνεσης % 71,4%↑ 8,2%
ΔευΤριΤετΠεμΠαρΣαβΣημ
Αιτήματα Υποκειμένων Δεδομένων Ζωντανά
#DSR-0412 Δικαίωμα πρόσβασης — joao.silva@… Εκκρεμεί
#DSR-0411 Δικαίωμα διαγραφής — m.santos@… Σε εξέλιξη
#DSR-0410 Φορητότητα δεδομένων — a.costa@… Ολοκληρώθηκε
RGPD Ενεργό · καταγραφή ελέγχου CNPD σε εξέλιξη · μητρώο ενημερωμένο
20 εκατ. €
Μέγιστο πρόστιμο RGPD (ή 4% κύκλου εργασιών)
72ω
Παράθυρο ειδοποίησης παραβίασης
30η
SLA αιτημάτων υποκειμένων δεδομένων
10έ
Διατήρηση τιμολογίων (Código do IVA)

Στιγμιότυπο του Πορτογαλικού RGPD 2026 — Γρήγορη Ανάγνωση

Η Πορτογαλία εφαρμόζει πλήρως τον ΓΚΠΔ της ΕΕ 2016/679 (RGPD), σε συνδυασμό με τον εθνικό Lei n.º 58/2019 (LPDP) που δημοσιεύθηκε στις 8 Αυγούστου 2019. Η εποπτική αρχή είναι η CNPD (Comissão Nacional de Proteção de Dados), με έδρα τη Λισαβόνα. Κάθε πορτογαλικός φορέας e-commerce πρέπει να διαθέτει συμβατό banner cookies, πολιτική απορρήτου στα πορτογαλικά, μητρώο δραστηριοτήτων επεξεργασίας (ROPA), Συμβάσεις Επεξεργασίας Δεδομένων βάσει του άρθρου 28 με κάθε εκτελούντα, καθώς και λειτουργική ικανότητα να ικανοποιεί αιτήματα υποκειμένων εντός 30 ημερών και να ειδοποιεί την CNPD για παραβιάσεις εντός 72 ωρών. Τα πρόστιμα φτάνουν έως 20 εκατ. € ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών — η CNPD έχει επιβάλει πολυεκατομμυριακές κυρώσεις από το 2018.

Το πορτογαλικό τοπίο προστασίας δεδομένων το 2026

Τρία νομικά εργαλεία και μία εποπτική αρχή διέπουν τα προσωπικά δεδομένα για κάθε επιχείρηση e-commerce στην Πορτογαλία. Η παρακάτω σειρά καρτών να την έχετε πρόχειρη καθώς διαβάζετε κάθε ενότητα.

RGPD — Regulamento Geral de Proteção de Dados

Κανονισμός ΕΕ 2016/679 · σε ισχύ από 25 Μαΐου 2018 · άμεσα εφαρμοστέος σε όλα τα 27 κράτη μέλη της ΕΕ, συμπεριλαμβανομένης της Πορτογαλίας

99 Άρθρα173 Αιτιολογικές σκέψεις · πρόστιμα 20 εκατ. € / 4%

Lei n.º 58/2019 — Πορτογαλικός LPDP

Εθνικός νόμος εφαρμογής · δημοσιεύθηκε στις 8 Αυγούστου 2019 · προσθέτει εθνικές ιδιαιτερότητες για την ηλικία συναίνεσης, τη βιντεοεπιτήρηση, την επεξεργασία για δημοσιογραφικούς σκοπούς

66 ΆρθραΗλικία συναίνεσης: 13

CNPD — Comissão Nacional de Proteção de Dados

Πορτογαλική Αρχή Προστασίας Δεδομένων · ιδρύθηκε το 1994 · έδρα Av. D. Carlos I 134, Λισαβόνα · 7 μέλη εκλεγμένα από το κοινοβούλιο

cnpd.ptΜέλος του EDPB · 30+ χρόνια ιστορίας

Οικοσύστημα ΓΚΠΔ της ΕΕ — EDPB & DPF

Ο EDPB εναρμονίζει τις πρακτικές μεταξύ των εποπτικών αρχών · το DPF ΕΕ-ΗΠΑ (Ιούλιος 2023) επανενεργοποιεί τις μεταφορές προς τις ΗΠΑ

27 Κράτη1 Κανονισμός · 1 EDPB

DPO / EPD — Encarregado de Proteção de Dados

Υποχρεωτικός για παρακολούθηση μεγάλης κλίμακας ή επεξεργασία ειδικών κατηγοριών δεδομένων · ανεξάρτητος · στοιχεία επικοινωνίας δημοσιευμένα στο μητρώο της CNPD και στην πολιτική απορρήτου

Άρθρα 37–39Πεδίο εφαρμογής RGPD · μητρώο CNPD

Διασυνοριακές Μεταφορές — SCC + DPF

Τυποποιημένες Συμβατικές Ρήτρες (SCC ΕΕ 2021) · πιστοποιημένοι εισαγωγείς βάσει του Πλαισίου Προστασίας Δεδομένων ΕΕ-ΗΠΑ · Εκτίμηση Αντίκτυπου Μεταφοράς (TIA) υποχρεωτική

Άρθρα 44–50Συμβατό με Schrems II

Έτοιμοι να κάνετε το πορτογαλικό σας κατάστημα συμβατό με την CNPD;

Η Zunapro ενσωματώνει τη συμμόρφωση με το RGPD σε κάθε πορτογαλική ενσωμάτωση marketplace — banner συναίνεσης, μητρώο δραστηριοτήτων, DPA βάσει άρθρου 28, ροή εργασιών για αιτήματα υποκειμένων και πλάνο δράσης 72 ωρών για παραβιάσεις. Η συμμόρφωση ως υποδομή, όχι ως ύστερη σκέψη.

🛡️ Ξεκινήστε την ενσωμάτωση με την Πορτογαλία

1. RGPD & Lei 58/2019 — το διπλό πορτογαλικό πλαίσιο

RGPD: Ένας κανονισμός, 27 χώρες

Ο Regulamento Geral de Proteção de Dados (RGPD) είναι η πορτογαλική ονομασία του Κανονισμού ΕΕ 2016/679, ο οποίος εγκρίθηκε στις 27 Απριλίου 2016 και εφαρμόζεται από τις 25 Μαΐου 2018. Ως Κανονισμός της ΕΕ (όχι Οδηγία), το RGPD έχει άμεση ισχύ στην Πορτογαλία — τα 99 άρθρα του δεσμεύουν κάθε υπεύθυνο και εκτελούντα την επεξεργασία που είναι εγκατεστημένος στην Πορτογαλία, καθώς και κάθε υπεύθυνο εκτός ΕΕ που προσφέρει αγαθά ή υπηρεσίες σε άτομα στην Πορτογαλία (άρθρο 3 παρ. 2, εξωεδαφικότητα).

Οι ίδιες υποχρεώσεις ισχύουν είτε ο φορέας είναι ατομική επιχείρηση στη Λισαβόνα, μια sociedade por quotas (Lda) στο Πόρτο, μια γερμανική εταιρεία που αποστέλλει προϊόντα στην Πορτογαλία, είτε ένας αμερικανός έμπορος Shopify που στοχεύει πορτογάλους καταναλωτές. Ο κανονισμός είναι τεχνολογικά ουδέτερος και βασισμένος στον κίνδυνο: η επεξεργασία υψηλού κινδύνου (profiling, ειδικές κατηγορίες, παρακολούθηση μεγάλης κλίμακας) ενεργοποιεί βαρύτερες υποχρεώσεις.

Lei 58/2019: Το πορτογαλικό επίπεδο

Το RGPD αφήνει σκόπιμα πάνω από 50 «ρήτρες ανοίγματος» στα κράτη μέλη. Η Πορτογαλία άσκησε αυτές τις επιλογές μέσω του Lei n.º 58/2019, της 8ης Αυγούστου — του Lei de Proteção de Dados Pessoais (LPDP) — που δημοσιεύθηκε πάνω από έναν χρόνο μετά την ημερομηνία εφαρμογής του RGPD, αντικαθιστώντας τον προηγούμενο Lei 67/98. Ο LPDP προσθέτει ειδικούς για την Πορτογαλία κανόνες πάνω από το RGPD:

  • Ηλικία συναίνεσης — 13 έτη (άρθρο 16 LPDP, κάτω από την προεπιλογή των 16 ετών του RGPD). Παιδιά κάτω των 13 ετών απαιτούν επαληθεύσιμη γονική συναίνεση.
  • Καθεστώς βιντεοεπιτήρησης (άρθρα 19–22 LPDP) — σήμανση CCTV, διατήρηση (προεπιλογή 30 ημέρες), ειδοποίηση CNPD για δημόσιους χώρους.
  • Δημοσιογραφική/ακαδημαϊκή/καλλιτεχνική επεξεργασία (άρθρο 24 LPDP) — περιορισμένες εξαιρέσεις που εξισορροπούν την προστασία δεδομένων με την ελευθερία της έκφρασης.
  • Διοικητικά αδικήματα (άρθρα 37–50 LPDP) — ειδικοί για την Πορτογαλία διαδικαστικοί κανόνες που συμπληρώνουν τα πρόστιμα του άρθρου 83 RGPD.

Lei das Comunicações Eletrónicas — Το επίπεδο cookies

Ένα τρίτο εργαλείο ολοκληρώνει το πλαίσιο: ο Lei n.º 41/2004, η πορτογαλική μεταφορά της Οδηγίας ePrivacy της ΕΕ 2002/58/ΕΚ. Το άρθρο 5 παρ. 3 είναι η νομική βάση της απαίτησης συναίνεσης cookies — τα cookies, τα pixels, το fingerprinting και οι τεχνολογίες local storage απαιτούν προηγούμενη, ελεύθερη, ενημερωμένη συναίνεση, ανεξάρτητα από το αν επεξεργάζονται προσωπικά δεδομένα. Κάθε πορτογαλικός ιστότοπος e-commerce χρειάζεται banner cookies λόγω της νομοθεσίας ePrivacy, όχι λόγω του ίδιου του RGPD.

📋
Επίσημες πηγές: Το RGPD είναι διαθέσιμο στα πορτογαλικά στο EUR-Lex· ο Lei 58/2019 στο Diário da República· οι κατευθυντήριες γραμμές της CNPD στο cnpd.pt. Η Zunapro συγχρονίζει το ενοποιημένο κείμενο και των τριών εργαλείων στη μονάδα συμμόρφωσής της. Δείτε την επίσημη ιστοσελίδα της CNPD για το ζωντανό μητρώο αποφάσεων.

💡 Διαβάστε τον πλήρη οδηγό ενσωμάτωσης πορτογαλικού marketplace

Συνδέστε το Amazon.es/.fr, Worten, Fnac, Continente και KuantoKusta με λήψη συναίνεσης σύμφωνης με το RGPD και δημιουργία μητρώου δραστηριοτήτων.

Ενσωμάτωση με την Πορτογαλία →

2. CNPD — Η Πορτογαλική Αρχή Προστασίας Δεδομένων

Ο Θεσμός

Η Comissão Nacional de Proteção de Dados (CNPD) είναι η ανεξάρτητη εποπτική αρχή της Πορτογαλίας. Ιδρύθηκε με τον Lei n.º 10/91 της 29ης Απριλίου, είναι μία από τις παλαιότερες αρχές προστασίας δεδομένων στην ΕΕ, προϋπάρχοντας κατά τέσσερα χρόνια της Οδηγίας Προστασίας Δεδομένων του 1995. Η CNPD λειτουργεί υπό την εποπτεία της Assembleia da República με πλήρη λειτουργική και αποφασιστική ανεξαρτησία (άρθρο 52 RGPD).

Η CNPD απαρτίζεται από επτά μέλη: έναν πρόεδρο εκλεγμένο από το κοινοβούλιο για θητεία πέντε ετών χωρίς δυνατότητα ανανέωσης, συν έξι μέλη (δύο κοινοβουλευτικά, δύο κυβερνητικά, δύο συνεπιλεγμένα). Η έδρα της βρίσκεται στην Avenida D. Carlos I, n.º 134, 1200-651 Λισαβόνα.

Οι Εξουσίες της CNPD

Βάσει των άρθρων 57–58 RGPD, συμπληρωμένων από τον Lei 58/2019:

  • Διερευνητικές — αίτημα πληροφοριών, διεξαγωγή ελέγχων και επιθεωρήσεων, πρόσβαση σε εγκαταστάσεις και αρχεία επεξεργασίας
  • Διορθωτικές — προειδοποιήσεις, επιπλήξεις, εντολές συμμόρφωσης με αιτήματα υποκειμένων, διόρθωση, διαγραφή, απαγορεύσεις επεξεργασίας, αναστολή διασυνοριακών ροών
  • Διοικητικά πρόστιμα — έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών
  • Εξουσιοδότηση και συμβουλευτικός ρόλος — έγκριση δεσμευτικών εταιρικών κανόνων (BCR), SCC, μηχανισμών πιστοποίησης· συμβουλευτικός ρόλος προς το κοινοβούλιο και την κυβέρνηση

Πώς να Επικοινωνήσετε με την CNPD

  • Ιστοσελίδαcnpd.pt (μητρώο αποφάσεων, φόρμα καταγγελίας, φόρμα ειδοποίησης παραβίασης)
  • Γενικό email[email protected]
  • Ειδοποίηση παραβίασης — αποκλειστική ηλεκτρονική φόρμα στο cnpd.pt
  • Καταχώριση DPO — ηλεκτρονική φόρμα, τα στοιχεία επικοινωνίας απαιτούνται εντός 30 ημερών από τον ορισμό

CNPD έναντι Άλλων Αρχών της ΕΕ — Το Πορτογαλικό Στιλ

Το στιλ επιβολής της CNPD είναι μετριοπαθές αλλά τεχνικά αυστηρό. Σε σύγκριση με την ισπανική AEPD (ιδιαίτερα φιλόδικη, χιλιάδες αποφάσεις ετησίως) ή τη γαλλική CNIL (μεγάλες δημόσιες ανακοινώσεις κυρώσεων), η CNPD εκδίδει λιγότερες αποφάσεις αλλά επικεντρώνεται σε συστημικές παραβιάσεις και συνεργάζεται στενά μέσω του μηχανισμού συνέπειας του EDPB. Το πορτογαλικό e-commerce συνήθως προσελκύει την προσοχή της CNPD μέσω τριών οδών: καταγγελίες υποκειμένων δεδομένων, υποχρεωτικές ειδοποιήσεις παραβίασης και έλεγχοι που προκαλούνται από δημοσιογραφική ή πολιτική διαβούλευση.

🛡️ Η Zunapro συγχρονίζεται αυτόματα με τις απαιτήσεις της CNPD

Πρότυπο μητρώου δραστηριοτήτων, πλάνο δράσης για παραβιάσεις, ροή εργασιών αιτημάτων υποκειμένων και κάρτα επικοινωνίας DPO — όλα προδιαμορφωμένα στη μορφή της CNPD και σε κείμενο στα πορτογαλικά για τους καταναλωτές.

Δείτε το πακέτο συμμόρφωσης CNPD →

Η Νομική Βάση

Η υποχρέωση συναίνεσης cookies έχει δύο συμπληρωματικές νομικές βάσεις στην Πορτογαλία: το άρθρο 5 παρ. 3 της Οδηγίας ePrivacy 2002/58/ΕΚ της ΕΕ, όπως μεταφέρθηκε από τον Lei n.º 41/2004, και τις απαιτήσεις συναίνεσης του άρθρου 7 RGPD. Το συνδυαστικό αποτέλεσμα είναι ότι κάθε cookie, pixel, SDK, script fingerprinting, αντικείμενο local storage ή παρόμοια τεχνολογία παρακολούθησης που δεν είναι απολύτως απαραίτητη για την παροχή της υπηρεσίας που ζήτησε ρητά ο χρήστης απαιτεί προηγούμενη, ελεύθερη, συγκεκριμένη, ενημερωμένη και ρητή συναίνεση opt-in.

Τι Θεωρείται «Απολύτως Απαραίτητο»

Μια στενή κατηγορία εξαιρείται από τη συναίνεση επειδή είναι απολύτως απαραίτητη για τη ζητούμενη υπηρεσία: cookies συνεδρίας (σύνδεση, καλάθι), tokens CSRF, cookies εξισορρόπησης φορτίου, το ίδιο το cookie προτίμησης συναίνεσης, η κατάσταση πολυμεσικού player για ενεργά ζητούμενο περιεχόμενο, και η επιλεγμένη από τον χρήστη προσαρμογή διεπαφής (γλώσσα, dark mode). Όλα τα υπόλοιπα — GA4, Meta Pixel, TikTok Pixel, Hotjar, Clarity, retargeting, cookies δοκιμών A/B, γραμματοσειρές τρίτων CDN, ενσωματωμένοι players YouTube/Vimeo, κουμπιά κοινωνικών μέσων που φορτώνουν πριν από αλληλεπίδραση — απαιτούν ρητή συναίνεση opt-in πριν από την τοποθέτηση.

Οι Orientações sobre cookies (2019/494) της CNPD, όπως ενημερώθηκαν το 2022, καθορίζουν τις ελάχιστες απαιτήσεις:

  • Το πρώτο επίπεδο πρέπει να προσφέρει «Αποδοχή», «Απόρριψη» και «Διαχείριση προτιμήσεων». Η Απόρριψη πρέπει να είναι εξίσου εμφανής με την Αποδοχή (ίδιο χρώμα, μέγεθος, θέση). Κουμπιά απόρριψης με ξεθωριασμένο κείμενο τύπου dark pattern απαγορεύονται (EDPB).
  • Το δεύτερο επίπεδο — λεπτομερείς διακόπτες ανά μη απαραίτητη κατηγορία, απενεργοποιημένοι από προεπιλογή.
  • Χωρίς cookie walls — η άρνηση πρόσβασης σε περίπτωση απόρριψης είναι παράνομη (Κατευθυντήριες Γραμμές EDPB 05/2020).
  • Χωρίς «η συνέχιση της περιήγησης ισοδυναμεί με συναίνεση» — η κύλιση ή η πλοήγηση δεν αποτελεί συναίνεση.
  • Η ανάκληση εξίσου εύκολη με τη χορήγηση συναίνεσης — μόνιμο αιωρούμενο κουμπί ή σύνδεσμος στο υποσέλιδο.
  • Επανάληψη αιτήματος κάθε 6–12 μήνες, καταγραφή ελέγχου συναίνεσης σύμφωνα με το άρθρο 7 παρ. 1 RGPD.
🍪

Η παγίδα του κουμπιού Απόρριψης: το πιο συχνό εύρημα της CNPD στους ελέγχους 2024–2026 είναι τα ασύμμετρα banner — ένα εμφανές πράσινο «Αποδοχή Όλων» δίπλα σε ένα μικρό, γκρι, υπογραμμισμένο κείμενο «Απόρριψη». Αυτό αντιμετωπίζεται ως αποτυχία λήψης έγκυρης συναίνεσης και εκθέτει κάθε τοποθέτηση cookie σε επιβολή κυρώσεων. Χρησιμοποιήστε το επικυρωμένο από την CNPD banner συναίνεσης της Zunapro →

Απολύτως Απαραίτητα
Πάντα Ενεργά
Συνεδρία, καλάθι, CSRF, γλώσσα, αποθήκευση συναίνεσης — δεν απαιτείται διακόπτης
Αναλυτικά & Απόδοση
Opt-In
Google Analytics 4, Plausible, Matomo, Hotjar, Microsoft Clarity, server-side tagging
Μάρκετινγκ & Στόχευση
Opt-In
Meta Pixel, TikTok Pixel, Google Ads, Criteo, LinkedIn Insight, retargeting

🍪 Διαβάστε τον πλήρη πορτογαλικό οδηγό συναίνεσης cookies

Οι Orientações 2019/494 της CNPD γραμμή προς γραμμή, λίστα ελέγχου dark pattern, ρύθμιση του Consent Mode v2 για το GA4, και το ενσωματωμένο banner συναίνεσης της Zunapro, προεπικυρωμένο για πορτογαλικό κοινό.

Οδηγός συναίνεσης cookies →

4. Πολιτική Απορρήτου — Υποχρεωτική και Πάντα Ενημερωμένη

Η Υποχρέωση Ενημέρωσης του Άρθρου 13

Τα άρθρα 12, 13 και 14 RGPD απαιτούν από κάθε υπεύθυνο επεξεργασίας να παρέχει στα υποκείμενα δεδομένων εκτενή ενημέρωση κατά τη στιγμή της συλλογής δεδομένων. Για έναν ιστότοπο e-commerce, αυτή η στιγμή είναι γενικά κάθε υποβολή φόρμας — εγγραφή, ολοκλήρωση παραγγελίας, newsletter, επικοινωνία, φόρμα αξιολόγησης. Στην πράξη, αυτή η ενημέρωση συγκεντρώνεται σε ένα ενιαίο έγγραφο, την Πολιτική Απορρήτου (Política de Privacidade), που συνδέεται από κάθε σελίδα και παρουσιάζεται ξανά σε κάθε σημείο συλλογής.

Ελάχιστο Υποχρεωτικό Περιεχόμενο

Μια πολιτική απορρήτου που μπορεί να υπερασπιστεί κανείς ενώπιον της CNPD το 2026 περιλαμβάνει τουλάχιστον:

  • Ταυτότητα του υπευθύνου — επωνυμία, NIPC, έδρα, email επικοινωνίας
  • Επικοινωνία DPO εάν έχει οριστεί — αποκλειστικό email όπως [email protected]
  • Σκοποί επεξεργασίας — αναλυτική λίστα (εκτέλεση παραγγελιών, εξυπηρέτηση πελατών, μάρκετινγκ, αναλυτικά, πρόληψη απάτης, λογιστική)
  • Νομική βάση ανά σκοπό — άρθρο 6 παρ. 1 RGPD (συναίνεση, σύμβαση, νομική υποχρέωση, ζωτικά συμφέροντα, δημόσιο συμφέρον, έννομα συμφέροντα)
  • Δοκιμή στάθμισης έννομων συμφερόντων όταν επικαλείται το άρθρο 6 παρ. 1 στοιχείο στ
  • Αποδέκτες — πύλες πληρωμών, μεταφορείς, marketplaces, cloud hosting, πάροχοι υπηρεσιών email
  • Διεθνείς μεταφορές — χώρες προορισμού, μηχανισμός (SCC / Απόφαση επάρκειας / DPF), σύνδεσμος στις διασφαλίσεις
  • Περίοδοι διατήρησης ανά κατηγορία (τιμολόγια 10 έτη, μάρκετινγκ όσο ισχύει η συναίνεση, αναλυτικά 14 μήνες)
  • Δικαιώματα υποκειμένων δεδομένων — πλήρης απαρίθμηση συμπεριλαμβανομένου του δικαιώματος καταγγελίας στην CNPD
  • Νομικός ή συμβατικός χαρακτήρας της παροχής δεδομένων και συνέπειες άρνησης
  • Αυτοματοποιημένη λήψη αποφάσεων και profiling, εάν υπάρχει, συμπεριλαμβανομένης της λογικής και της σημασίας
  • Ημερομηνία τελευταίας ενημέρωσης και ιστορικό εκδόσεων

Σαφή Πορτογαλικά — Άρθρο 12 RGPD

Το άρθρο 12 παρ. 1 RGPD απαιτεί μια συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη πολιτική σε σαφή, απλή γλώσσα. Η CNPD έχει επανειλημμένα επικρίνει πολιτικές που είναι μόνο στα αγγλικά όταν απευθύνονται σε πορτογάλους καταναλωτές (το άρθρο 2 του Lei 58/2019 ενισχύει την απαίτηση της πορτογαλικής γλώσσας), ανακυκλώνουν γενικά πρότυπα χωρίς να κατονομάζουν τους πραγματικούς εκτελούντες, κρύβουν ουσιώδεις πληροφορίες σε νομική ορολογία 10.000 λέξεων, ή συνδυάζουν την πολιτική απορρήτου με τους όρους χρήσης.

Πολυεπίπεδη Ειδοποίηση — Καλή Πρακτική

Η CNPD υποστηρίζει την προσέγγιση πολυεπίπεδης ειδοποίησης του EDPB: μια σύντομη περίληψη στην αρχή (1–2 παράγραφοι για ταυτότητα, σκοπούς και δικαιώματα) ακολουθούμενη από πλήρεις λεπτομέρειες σε αναπτυσσόμενες ενότητες, συν ένα «Ενημερωτικό Δελτίο» σε κάθε φόρμα (μια ειδοποίηση συλλογής 2–3 προτάσεων με σύνδεσμο προς την πλήρη πολιτική) για συμμόρφωση με το άρθρο 13.

📜 Αυτόματα Δημιουργημένη Πορτογαλική Πολιτική Απορρήτου

Η Zunapro δημιουργεί μια πολιτική απορρήτου στα πορτογαλικά που μπορεί να υπερασπιστεί κανείς ενώπιον της CNPD, βασισμένη στις πραγματικές ενσωματώσεις marketplace, τους παρόχους πληρωμών και τη στοίβα αναλυτικών σας — ενημερωμένη αυτόματα κάθε φορά που συνδέετε νέο εκτελούντα.

Δημιουργός Πολιτικής Απορρήτου →

5. Ορισμός DPO — Πότε και Πώς

Πότε Είναι Υποχρεωτικός ο DPO;

Το άρθρο 37 RGPD απαιτεί DPO (Encarregado de Proteção de Dados — EPD) σε τρία σενάρια: (α) δημόσιες αρχές (εκτός δικαστηρίων)· (β) κύρια δραστηριότητα = τακτική και συστηματική παρακολούθηση μεγάλης κλίμακας· (γ) κύρια δραστηριότητα = επεξεργασία μεγάλης κλίμακας ειδικών κατηγοριών δεδομένων ή ποινικών δεδομένων. Για το πορτογαλικό e-commerce, το πρακτικό κριτήριο είναι συνήθως το (β). Οι κατευθυντήριες γραμμές του EDPB (WP 243 rev.01, υιοθετημένες από την CNPD) διευκρινίζουν ότι η «κύρια δραστηριότητα» αποκλείει βοηθητικές λειτουργίες όπως τη μισθοδοσία· η «μεγάλη κλίμακα» είναι συγκειμενική (αριθμός υποκειμένων, όγκος, διάρκεια, γεωγραφική εμβέλεια).

Πρακτικά Παραδείγματα Ενεργοποίησης

Πραγματικά όρια όπου ο DPO είναι έντονα συνιστώμενος ή υποχρεωτικός:

  • 10.000+ πελάτες CRM με τμηματοποίηση συμπεριφοράς
  • Ζωντανό retargeting σε Meta + Google Ads + TikTok με cross-device matching
  • Πρόγραμμα πιστότητας που παρακολουθεί το ιστορικό συναλλαγών σε κανάλια και στον χρόνο
  • Φορέας marketplace που επεξεργάζεται ταυτόχρονα δεδομένα πωλητών και αγοραστών
  • E-commerce υγείας, ομορφιάς ή φαρμακείου που επεξεργάζεται δεδομένα που μπορεί να χαρακτηριστούν ως δεδομένα υγείας του άρθρου 9
  • Κατάστημα παιδικών προϊόντων που εκτελεί ροές γονικής συναίνεσης για κάτω των 13 ετών

Τι Κάνει ο DPO

Τα άρθρα 38–39 RGPD καθορίζουν τα καθήκοντα και τις προστασίες του DPO:

  • Ενημερώνει και συμβουλεύει τον υπεύθυνο, τον εκτελούντα και τους υπαλλήλους σχετικά με τις υποχρεώσεις τους
  • Παρακολουθεί τη συμμόρφωση με το RGPD, τον Lei 58/2019 και τις εσωτερικές πολιτικές, συμπεριλαμβανομένης της εκπαίδευσης
  • Συμβουλεύει για DPIA όταν ενεργοποιούνται από το άρθρο 35
  • Συνεργάζεται με την CNPD ως σημείο επαφής με την εποπτική αρχή
  • Ανεξαρτησία — δεν μπορεί να λαμβάνει εντολές για τα καθήκοντά του, δεν μπορεί να απολυθεί για την εκτέλεσή τους (άρθρο 38 παρ. 3)
  • Χωρίς σύγκρουση συμφερόντων — ο DPO δεν μπορεί να είναι CEO, CMO, διευθυντής IT ή διευθυντής HR

Εσωτερικός έναντι Εξωτερικού DPO + Καταχώριση στην CNPD

Ο DPO μπορεί να είναι υπάλληλος ή εξωτερικός πάροχος υπηρεσιών. Για τις πορτογαλικές ΜμΕ, ο εξωτερικός DPO-as-a-Service κοστίζει συνήθως 350–1.500 €/μήνα ανάλογα με την πολυπλοκότητα. Το άρθρο 37 παρ. 7 RGPD υποχρεώνει τον υπεύθυνο να δημοσιεύει τα στοιχεία επικοινωνίας του DPO και να ειδοποιεί την CNPD μέσω της ηλεκτρονικής φόρμας της, ενημερωμένη εντός 30 ημερών από οποιαδήποτε αλλαγή. Η μη ειδοποίηση αποτελεί διαδικαστική παραβίαση με πρόστιμο έως 10 εκατ. € ή 2% του κύκλου εργασιών.

👤 DPO-as-a-Service για Πορτογάλους Πωλητές

Η Zunapro συνεργάζεται με πορτογάλους ειδικούς RGPD για να παρέχει εξωτερικές υπηρεσίες DPO από 350 €/μήνα — καταχώριση στην CNPD, υποστήριξη DPIA, πλάνο δράσης για παραβιάσεις και τριμηνιαίος έλεγχος συμμόρφωσης συμπεριλαμβάνονται.

Λεπτομέρειες υπηρεσίας DPO →

6. Δικαιώματα Υποκειμένων Δεδομένων — Λειτουργικό SLA

Τα Οκτώ Δικαιώματα των Πορτογάλων Υποκειμένων Δεδομένων

Το Κεφάλαιο III RGPD παρέχει σε κάθε άτομο (είτε πελάτη, υποψήφιο πελάτη, επαφή προμηθευτή ή υπάλληλο) μια σειρά επιβλητών δικαιωμάτων:

  1. Δικαίωμα ενημέρωσης (άρθρα 13–14) — ασκείται μέσω της πολιτικής απορρήτου και των ειδοποιήσεων συλλογής
  2. Δικαίωμα πρόσβασης (άρθρο 15) — επιβεβαίωση ότι επεξεργάζονται δεδομένα συν αντίγραφο των δεδομένων και του πλαισίου επεξεργασίας
  3. Δικαίωμα διόρθωσης (άρθρο 16) — διόρθωση ανακριβών ή ελλιπών δεδομένων
  4. Δικαίωμα διαγραφής (άρθρο 17, «δικαίωμα στη λήθη») — διαγραφή όταν ισχύει ένας από τους έξι λόγους
  5. Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18) — προσωρινή «παγοποίηση» εν αναμονή επαλήθευσης
  6. Δικαίωμα φορητότητας δεδομένων (άρθρο 20) — εξαγωγή σε αναγνώσιμη από μηχανή μορφή των δεδομένων που παρείχε το υποκείμενο
  7. Δικαίωμα εναντίωσης (άρθρο 21) — απόλυτο έναντι του άμεσου μάρκετινγκ· δοκιμή στάθμισης για άλλη επεξεργασία
  8. Δικαίωμα μη υπαγωγής σε αποκλειστικά αυτοματοποιημένη λήψη αποφάσεων (άρθρο 22) — συμπεριλαμβανομένου του profiling με έννομα ή παρόμοια σημαντικά αποτελέσματα

Χρονοδιάγραμμα Απάντησης — Άρθρο 12 παρ. 3 RGPD

Οι υπεύθυνοι πρέπει να απαντούν εντός 30 ημερών, με δυνατότητα παράτασης κατά δύο μήνες λόγω πολυπλοκότητας ή όγκου — η παράταση πρέπει να κοινοποιείται εντός του πρώτου μήνα με τους λόγους. Για το πορτογαλικό e-commerce που διαχειρίζεται χιλιάδες εγγραφές σε πολλαπλά marketplaces, το SLA είναι λειτουργικά απαιτητικό. Οι περισσότερες αποτυχίες προέρχονται από κατακερματισμένα δεδομένα διάσπαρτα σε Shopify, Amazon Seller Central, Worten Marketplace, email και λογιστικό λογισμικό. Ένα κεντρικοποιημένο μητρώο δεδομένων πελατών όπως αυτό της Zunapro μειώνει τον χρόνο απάντησης του άρθρου 15 από ημέρες σε λεπτά.

Επαλήθευση Ταυτότητας & Άρνηση

Το άρθρο 12 παρ. 6 RGPD επιτρέπει πρόσθετη επαλήθευση ταυτότητας μόνο όταν υπάρχει εύλογη αμφιβολία. Κοινή πρακτική: επικύρωση του καταχωρισμένου email, προαιρετικό αίτημα για επεξεργασμένο έγγραφο ταυτότητας. Η άρνηση επιτρέπεται μόνο όταν το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό· ο υπεύθυνος πρέπει να το αποδείξει και μπορεί εναλλακτικά να χρεώσει ένα εύλογο τέλος.

Δικαίωμα Διαγραφής έναντι Νόμιμης Διατήρησης

Συνήθης λειτουργική ένταση: ένας πελάτης ζητά διαγραφή βάσει του άρθρου 17, αλλά ο υπεύθυνος πρέπει να διατηρήσει τα τιμολόγια για 10 έτη (Código do IVA άρθρο 52) και τα λογιστικά αρχεία για 10 έτη (Código Comercial άρθρο 40). Το άρθρο 17 παρ. 3 στοιχείο β RGPD επιλύει αυτό — η διαγραφή δεν εφαρμόζεται σε δεδομένα που επεξεργάζονται για συμμόρφωση με νομική υποχρέωση. Πρακτικός χειρισμός: ανωνυμοποίηση δεδομένων μάρκετινγκ και συμπεριφοράς, διατήρηση δεδομένων τιμολόγησης/λογιστικής σε κλειδωμένο αρχείο με περιορισμένη πρόσβαση, και γραπτή ενημέρωση του πελάτη για το τι διαγράφηκε έναντι του τι διατηρήθηκε.

⚖️

Λειτουργική συμβουλή: Δημιουργήστε μια ροή εργασιών αιτημάτων υποκειμένων που παράγει αρχεία έτοιμα για έλεγχο: χρονοσήμανση παραλαβής, επαλήθευση ταυτότητας, εύρος αναζήτησης, εξαγόμενα δεδομένα, εφαρμοσμένες επεξεργασίες απόκρυψης, παραδοθείσα απάντηση. Η CNPD θα ζητήσει αυτό το ίχνος σε κάθε έλεγχο που προκαλείται από καταγγελία. Η ροή εργασιών αιτημάτων υποκειμένων της Zunapro →

7. Παραβίαση Προσωπικών Δεδομένων — Το Παράθυρο Ειδοποίησης 72 Ωρών

Τι Θεωρείται Παραβίαση

Το άρθρο 4 παρ. 12 RGPD ορίζει μια παραβίαση προσωπικών δεδομένων ως «παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάστηκαν, αποθηκεύτηκαν ή υπέστησαν άλλη επεξεργασία». Τρεις κατηγορίες επικαλύπτονται στην πράξη:

  • Παραβίαση εμπιστευτικότητας — μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση (διαρροή δεδομένων, εξαγωγή από hacker, λανθασμένα κατευθυνόμενο email)
  • Παραβίαση ακεραιότητας — μη εξουσιοδοτημένη μεταβολή δεδομένων (παραποίηση βάσης δεδομένων, κρυπτογράφηση από ransomware)
  • Παραβίαση διαθεσιμότητας — απώλεια πρόσβασης σε δεδομένα (κλείδωμα ransomware χωρίς ανάκτηση, καταστροφή διακομιστή)

Ειδοποίηση προς την CNPD — Άρθρο 33

Όταν συμβαίνει παραβίαση, ο υπεύθυνος πρέπει να ειδοποιήσει την CNPD εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση, εκτός αν είναι απίθανο να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. Η ειδοποίηση πρέπει να περιλαμβάνει:

  • Τη φύση της παραβίασης, συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των θιγόμενων υποκειμένων δεδομένων και εγγραφών
  • Το όνομα και τα στοιχεία επικοινωνίας του DPO ή άλλου σημείου επαφής
  • Τις πιθανές συνέπειες της παραβίασης
  • Τα μέτρα που έχουν ληφθεί ή προτείνονται για την αντιμετώπιση της παραβίασης και τον μετριασμό των πιθανών δυσμενών επιπτώσεών της

Όταν οι πλήρεις πληροφορίες δεν μπορούν να παρασχεθούν εντός 72 ωρών, γίνεται αποδεκτή μερική ειδοποίηση, με το υπόλοιπο να ακολουθεί χωρίς αδικαιολόγητη καθυστέρηση. Η ηλεκτρονική φόρμα ειδοποίησης παραβίασης της CNPD υποστηρίζει σταδιακές ενημερώσεις — η αρχική υποβολή μπορεί να είναι μια προσωρινή ειδοποίηση ακολουθούμενη από λεπτομερείς ενημερώσεις εντός ημερών.

Ειδοποίηση προς τα Υποκείμενα Δεδομένων — Άρθρο 34

Εάν η παραβίαση ενδέχεται να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες, ο υπεύθυνος πρέπει επίσης να κοινοποιήσει την παραβίαση στα θιγόμενα υποκείμενα δεδομένων χωρίς αδικαιολόγητη καθυστέρηση, σε σαφή πορτογαλικά, περιγράφοντας συγκεκριμένα την παραβίαση με στοιχεία επικοινωνίας DPO, συνέπειες και μέτρα μετριασμού. Τρεις εξαιρέσεις του άρθρου 34 παρ. 3 απαλλάσσουν από την άμεση ειδοποίηση: τα δεδομένα ήταν κρυπτογραφημένα με κλειδιά που δεν παραβιάστηκαν, μεταγενέστερα μέτρα εξάλειψαν τον υψηλό κίνδυνο, ή η ειδοποίηση θα απαιτούσε δυσανάλογη προσπάθεια (οπότε απαιτείται δημόσια ανακοίνωση αντ' αυτού).

Εσωτερικό Μητρώο Παραβιάσεων & Πλάνο Δράσης 2026

Το άρθρο 33 παρ. 5 RGPD απαιτεί την τεκμηρίωση όλων των παραβιάσεων προσωπικών δεδομένων (ακόμα και εκείνων χαμηλού κινδύνου που δεν απαιτούσαν ειδοποίηση): χρονοσήμανση αντίληψης, πηγή εντοπισμού, ταξινόμηση, εύρος, κατηγορίες και αριθμό υποκειμένων, εκτίμηση κινδύνου, απόφαση ειδοποίησης και χρονοσημάνσεις, αποκατάσταση, ανάλυση βασικής αιτίας, διδάγματα. Ένα λειτουργικό πλάνο δράσης 72 ωρών:

  • Ώρα 0 — Εντοπισμός — ειδοποίηση, άμεση διαλογή, προσδιορισμός εύρους
  • Ώρες 0–4 — Περιορισμός — ανάκληση διαπιστευτηρίων, απομόνωση συστημάτων, διατήρηση δικανικών στοιχείων
  • Ώρες 4–24 — Εκτίμηση κινδύνου — ο DPO ηγείται της ανάλυσης, απόφαση ειδοποίησης
  • Ώρες 24–48 — Αρχική ειδοποίηση προς την CNPD μέσω της φόρμας cnpd.pt (αποδεκτή προσωρινή ειδοποίηση)
  • Ώρες 48–72 — Πλήρης ειδοποίηση, απόφαση για κοινοποίηση προς τα υποκείμενα βάσει του άρθρου 34
  • Ημέρες 3–7 — Κοινοποίηση προς τα υποκείμενα εάν απαιτείται (email + δημόσια δήλωση)
  • Από την ημέρα 7 και μετά — Διδάγματα, ενημέρωση μητρώου, παρακολούθηση με την CNPD
🚨

Το χρονόμετρο ξεκινά με την «αντίληψη», όχι με την «επέλευση». Μια παραβίαση που συνέβη πριν από εβδομάδες αλλά εντοπίστηκε μόλις σήμερα ενεργοποιεί ένα παράθυρο 72 ωρών από τον εντοπισμό. Αντίστροφα, η υποψία ότι «κάτι μπορεί να μην πάει καλά» δεν αποτελεί ακόμα αντίληψη — μόνο η εύλογη βεβαιότητα ότι έχει συμβεί παραβίαση ξεκινά το χρονόμετρο. Ο εντοπισμός παραβιάσεων + το πλάνο δράσης 72h της Zunapro →

8. Διασυνοριακές Μεταφορές Δεδομένων — SCC Μετά την Απόφαση Schrems II

Ο Σεισμός Schrems II

Στις 16 Ιουλίου 2020, το Δικαστήριο της Ευρωπαϊκής Ένωσης εξέδωσε την απόφαση Schrems II (C-311/18), ακυρώνοντας το πλαίσιο EU-US Privacy Shield που μέχρι τότε διείπε περίπου 5.000 διατλαντικές ροές δεδομένων. Το δικαστήριο επιβεβαίωσε την εγκυρότητα των Τυποποιημένων Συμβατικών Ρητρών (SCC), αλλά πρόσθεσε μια κρίσιμη προϋπόθεση: ο υπεύθυνος πρέπει να επαληθεύσει ότι η νομοθεσία και η πρακτική της χώρας προορισμού παρέχουν προστασία ουσιαστικά ισοδύναμη με το RGPD· εάν όχι, πρέπει να εφαρμοστούν συμπληρωματικά μέτρα ή να διακοπεί η μεταφορά.

Η Εργαλειοθήκη Μεταφορών 2026

Πέντε μηχανισμοί στο Κεφάλαιο V RGPD μπορούν να εξουσιοδοτήσουν νόμιμα μεταφορές εκτός ΕΟΧ:

  • Άρθρο 45 — Απόφαση Επάρκειας — επί του παρόντος: Ανδόρα, Αργεντινή, Καναδάς (εμπορικά), Νήσοι Φερόε, Γκέρνσεϊ, Ισραήλ, Νήσος Μαν, Ιαπωνία, Τζέρσεϋ, Νέα Ζηλανδία, Νότια Κορέα, Ελβετία, Ηνωμένο Βασίλειο, Ουρουγουάη. Η Ισλανδία, το Λιχτενστάιν και η Νορβηγία λογίζονται ως ΕΟΧ.
  • Άρθρο 46 — Κατάλληλες Διασφαλίσεις — SCC, BCR, εγκεκριμένοι κώδικες δεοντολογίας, πιστοποιήσεις.
  • Άρθρο 47 — Δεσμευτικοί Εταιρικοί Κανόνες — ενδοομιλικά, εγκεκριμένοι από την επικεφαλής αρχή και τον EDPB.
  • Άρθρο 49 — Παρεκκλίσεις — ρητή συναίνεση (μόνο περιστασιακά), αναγκαιότητα σύμβασης, δημόσια/ζωτικά συμφέροντα. Δεν ενδείκνυται για τακτική επιχειρηματική δραστηριότητα.
  • Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ (DPF) — σε ισχύ από τις 10 Ιουλίου 2023, αντικαθιστώντας το Privacy Shield. Οι αυτοπιστοποιημένοι αμερικανοί εισαγωγείς (AWS, Google, Microsoft, Meta, Salesforce, HubSpot, Mailchimp, Stripe, Shopify) λαμβάνουν βάση επάρκειας του άρθρου 45.

Οι SCC της ΕΕ του 2021 + Εκτίμηση Αντίκτυπου Μεταφοράς

Οι SCC 2021 της Επιτροπής (Εκτελεστική Απόφαση 2021/914) είναι δομοστοιχειωτές με τέσσερα σενάρια: Υπεύθυνος→Υπεύθυνος, Υπεύθυνος→Εκτελών, Εκτελών→Εκτελών, Εκτελών→Υπεύθυνος. Οι παλιές SCC του 2010 καταργήθηκαν για νέες συμβάσεις από τις 27 Σεπτεμβρίου 2021 και για όλες τις συμβάσεις από τις 27 Δεκεμβρίου 2022 — οποιαδήποτε SCC του 2010 το 2026 είναι άκυρη και πρέπει να μεταφερθεί αμέσως.

Μετά την απόφαση Schrems II και τις Συστάσεις 01/2020 του EDPB, οι υπεύθυνοι πρέπει να ολοκληρώνουν μια Εκτίμηση Αντίκτυπου Μεταφοράς (TIA) για κάθε μεταφορά χωρίς απόφαση επάρκειας: χαρτογράφηση της μεταφοράς, μηχανισμός (SCC/BCR/DPF), αξιολόγηση της νομοθεσίας κρατικής πρόσβασης της τρίτης χώρας (FISA 702 στις ΗΠΑ), συμπληρωματικά μέτρα (κρυπτογράφηση σε κατάσταση αδράνειας με κλειδιά που διατηρούνται στην ΕΕ, ψευδωνυμοποίηση), συμπέρασμα σχετικά με την ουσιαστικά ισοδύναμη προστασία. Η CNPD δεν απαιτεί προηγούμενη υποβολή της TIA, αλλά θα την απαιτήσει σε κάθε έλεγχο που εμπλέκει εκτελούντες εκτός ΕΟΧ.

Πρακτική Στοίβα 2026

  • Cloud (AWS / GCP / Azure) — πιστοποιημένο DPF + περιοχές ΕΕ· προτιμήστε περιοχές ΕΕ, τεκμηριώστε το DPF ως εναλλακτική
  • Email (Mailchimp, SendGrid) — πιστοποιημένο DPF· εναλλακτικές λύσεις ΕΕ όπως το Brevo συχνά προτιμότερες
  • Αναλυτικά (GA4) — πιστοποιημένο DPF + Consent Mode v2 + ανωνυμοποίηση IP
  • Υποστήριξη πελατών (Zendesk, Intercom) — DPF + διαθέσιμες προσθήκες κατοικίας δεδομένων ΕΕ
  • API marketplace (Amazon SP-API) — δρομολογημένα μέσω ΕΕ για ευρωπαϊκούς λογαριασμούς πωλητών

🌍 Κατοικία Δεδομένων στην ΕΕ ως Προεπιλογή

Η Zunapro φιλοξενεί όλα τα δεδομένα πορτογάλων πελατών σε περιοχές ΕΕ (Φρανκφούρτη + εφεδρεία Λισαβόνας), με πιστοποιημένη εναλλακτική DPF για κάθε υπο-εκτελούντα αποκλειστικά στις ΗΠΑ. Τα πρότυπα TIA είναι προσυμπληρωμένα για τη στοίβα σας.

Λεπτομέρειες κατοικίας δεδομένων →

9. Πρόστιμα CNPD — Έως 20 Εκατ. € ή 4% Παγκόσμιου Κύκλου Εργασιών

Διαβαθμισμένες Κυρώσεις του Άρθρου 83

Το άρθρο 83 RGPD καθιερώνει δύο κλιμάκια προστίμων, με την CNPD να μπορεί να επιβάλει το υψηλότερο μεταξύ του σταθερού ανώτατου ορίου ή του ποσοστού κύκλου εργασιών:

Κλιμάκιο Μέγιστο Πρόστιμο Καλυπτόμενες Παραβιάσεις
Κλιμάκιο 1 (Άρθρο 83 παρ. 4) 10 εκατ. € ή 2% παγκόσμιου ετήσιου κύκλου εργασιών Μητρώα (άρθρο 30), ασφάλεια (άρθρο 32), ειδοποίηση παραβίασης (άρθρα 33–34), ορισμός DPO (άρθρα 37–39), DPIA (άρθρα 35–36), συναίνεση παιδιών (άρθρο 8), πιστοποίηση, κώδικες δεοντολογίας
Κλιμάκιο 2 (Άρθρο 83 παρ. 5) 20 εκατ. € ή 4% παγκόσμιου ετήσιου κύκλου εργασιών Νομική βάση (άρθρα 5–6), προϋποθέσεις συναίνεσης (άρθρο 7), ειδικές κατηγορίες (άρθρο 9), δικαιώματα υποκειμένων δεδομένων (άρθρα 12–22), διεθνείς μεταφορές (άρθρα 44–49), μη συμμόρφωση με εντολές της CNPD
Lei 58/2019 Ειδικά πορτογαλικά διοικητικά αδικήματα Τα άρθρα 37–50 LPDP προσθέτουν διαβαθμισμένα πρόστιμα για ειδικά πορτογαλικά θέματα (CCTV χωρίς σήμανση, παραβίαση της δημοσιογραφικής εξαίρεσης κ.λπ.)

Πώς Υπολογίζει η CNPD το Πρόστιμο

Παράγοντες του άρθρου 83 παρ. 2 που εξετάζει η CNPD: φύση, βαρύτητα και διάρκεια· εκ προθέσεως ή εξ αμελείας χαρακτήρας· προσπάθειες μετριασμού· τεχνικά και οργανωτικά μέτρα· προηγούμενες παραβιάσεις· συνεργασία με την CNPD· κατηγορίες θιγόμενων δεδομένων· τρόπος με τον οποίο έγινε γνωστή η παραβίαση· τήρηση κωδίκων δεοντολογίας· οικονομικά οφέλη που αποκτήθηκαν ή ζημιές που αποφεύχθηκαν.

Αξιοσημείωτα Πρόστιμα της CNPD — Ιστορικό

  • 4,3 εκατ. € — INE (Instituto Nacional de Estatística, 2021) — μεταφορά δεδομένων απογραφής σε αμερικανό υπο-εκτελούντα χωρίς διασφαλίσεις του άρθρου 46· το μεγαλύτερο πορτογαλικό πρόστιμο RGPD μέχρι σήμερα
  • 1,25 εκατ. € — Hospital do Barreiro (2018) — υπερβολική πρόσβαση σε κλινικά αρχεία· η υγεία είναι τομέας προτεραιότητας για την CNPD
  • 400.000 € — Câmara Municipal de Lisboa (2021) — γνωστοποίηση προσωπικών δεδομένων διοργανωτών διαδηλώσεων
  • 170.000 € — Banco Santander Totta (2021) — ανεπαρκής ανταπόκριση σε αιτήματα υποκειμένων δεδομένων
  • Πολλαπλά πρόστιμα 10.000–75.000 € σε ΜμΕ για banner cookies, ελλιπή στοιχεία επικοινωνίας DPO και εκπρόθεσμες ειδοποιήσεις παραβίασης

Πέρα από το Πρόστιμο — Αστική Ευθύνη

Το άρθρο 82 RGPD παρέχει στα υποκείμενα δεδομένων δικαίωμα αποζημίωσης για υλική ή ηθική ζημία. Τα πορτογαλικά δικαστήρια έχουν αρχίσει να επιδικάζουν ηθική αποζημίωση (άγχος, απώλεια ελέγχου) ύψους 500–5.000 € ανά θιγόμενο υποκείμενο — πολλαπλασιαζόμενη σε χιλιάδες υποκείμενα, η αστική ευθύνη μπορεί να ξεπεράσει κατά πολύ το διοικητικό πρόστιμο. Η κάλυψη από τον Τύπο των αποφάσεων της CNPD είναι σταθερή και επιζήμια για τη φήμη, ιδίως για επιχειρήσεις B2C.

💼 Συστάσεις Ασφάλισης Cyber + RGPD

Οι περισσότερες πορτογαλικές εμπορικές ασφαλιστικές εταιρείες προσφέρουν πλέον ειδικά συμβόλαια cyber-RGPD που καλύπτουν πρόστιμα της CNPD (όπου είναι ασφαλίσιμα), αστική ευθύνη βάσει του άρθρου 82 και κόστη αντιμετώπισης παραβιάσεων. Η Zunapro δημοσιεύει μια εξακριβωμένη λίστα μεσιτών.

Κέντρο Πόρων Ασφάλισης →

10. Η Λίστα Ελέγχου Συμμόρφωσης RGPD 2026 για το Πορτογαλικό E-Commerce

Το πιο χρήσιμο εργαλείο για τη μετάφραση της νομοθεσίας σε λειτουργικές πρακτικές είναι μια συγκεκριμένη λίστα ελέγχου. Η παρακάτω λίστα συνοψίζει κάθε πρακτικό στοιχείο που καλύπτεται σε αυτόν τον οδηγό, ταξινομημένο κατά κίνδυνο επιβολής.

Διακυβέρνηση & Τεκμηρίωση

  • Ορίστε DPO εάν ισχύουν τα κριτήρια του άρθρου 37 και καταχωρίστε στην CNPD
  • Διατηρήστε ένα ROPA (Άρθρο 30) που καλύπτει κάθε σκοπό, νομική βάση, κατηγορία, διατήρηση, αποδέκτη και μεταφορά
  • Διεξάγετε DPIA (Άρθρο 35) για επεξεργασία υψηλού κινδύνου
  • Υπογράψτε DPA βάσει του Άρθρου 28 με κάθε εκτελούντα (cloud, email, αναλυτικά, marketplaces, πληρωμές, μεταφορείς)
  • Τεκμηριώστε TIA για κάθε μεταφορά εκτός ΕΟΧ
  • Διατηρήστε εσωτερικό μητρώο παραβιάσεων (Άρθρο 33 παρ. 5)

Προς τον Χρήστη

  • Δημοσιεύστε πολιτική απορρήτου στα πορτογαλικά που καλύπτει κάθε στοιχείο των άρθρων 13/14, πολυεπίπεδη και με έκδοση
  • Εφαρμόστε banner cookies συμβατό με την CNPD — συμμετρικό Αποδοχή/Απόρριψη, λεπτομερείς κατηγορίες απενεργοποιημένες από προεπιλογή, μόνιμη δυνατότητα ανάκλησης
  • Εμφανίστε ειδοποιήσεις σημείου συλλογής σε κάθε φόρμα (εγγραφή, ολοκλήρωση παραγγελίας, newsletter, αξιολόγηση)
  • Παρέχετε εύκολο κανάλι για αιτήματα υποκειμένων — email και/ή φόρμα ιστού με απάντηση εντός 30 ημερών
  • Τηρήστε άμεσα την εναντίωση στο άμεσο μάρκετινγκ (το άρθρο 21 παρ. 3 είναι απόλυτο)

Τεχνικά & Οργανωτικά

  • Εφαρμόστε την ασφάλεια του άρθρου 32 — κρυπτογράφηση σε κατάσταση αδράνειας και κατά τη μεταφορά, έλεγχο πρόσβασης, MFA σε πίνακες διαχείρισης, σαρώσεις ευπάθειας
  • Εφαρμόστε ελαχιστοποίηση δεδομένων εκ σχεδιασμού (άρθρο 25)
  • Επιβάλετε πολιτικές διατήρησης με αυτοματοποιημένη διαγραφή
  • Ψευδωνυμοποιήστε ή ανωνυμοποιήστε όπου είναι δυνατόν, ιδίως στα αναλυτικά
  • Δοκιμάστε ετησίως το πλάνο δράσης 72 ωρών μέσω άσκησης προσομοίωσης
  • Εκπαιδεύστε το προσωπικό που χειρίζεται προσωπικά δεδομένα — ελάχιστη ετήσια ανανέωση

Τριμηνιαίος Έλεγχος Συμμόρφωσης

Διεξάγετε δομημένο τριμηνιαίο έλεγχο που καλύπτει: επικαιρότητα του ROPA σε σύγκριση με τους συνδεδεμένους εκτελούντες· έκδοση της πολιτικής απορρήτου σε σχέση με την τρέχουσα πραγματικότητα επεξεργασίας· λίστα scripts του banner cookies σε σύγκριση με τις δηλωμένες κατηγορίες· μητρώο αιτημάτων υποκειμένων (αριθμός, χρόνος απάντησης, αιτίες καθυστέρησης)· μητρώο παραβιάσεων (περιστατικά, βασικές αιτίες, αποκατάσταση)· απόθεμα DPA βάσει άρθρου 28· απόθεμα TIA· αρχείο εκπαίδευσης προσωπικού· αρχείο δραστηριότητας DPO (συμβουλές, DPIA, αλληλεπιδράσεις με την CNPD).

Συγκεντρώστε την πορτογαλική σας συμμόρφωση με το RGPD σε έναν πίνακα

Η Zunapro συγκεντρώνει κάθε απαίτηση του RGPD — banner συναίνεσης, ROPA, DPA βάσει άρθρου 28, ροή εργασιών αιτημάτων υποκειμένων, πλάνο δράσης για παραβιάσεις, πρότυπα TIA και μητρώο DPO σε μορφή CNPD — μαζί με τις ενσωματώσεις σας με τα marketplaces Amazon, Worten, Fnac και Continente. Η συμμόρφωση ως υποδομή, όχι ως ύστερη σκέψη.

Ενεργοποιήστε τη συμμόρφωση RGPD →

Συχνές Ερωτήσεις για το Πορτογαλικό RGPD 2026

Τι είναι το RGPD και πώς σχετίζεται με τον ΓΚΠΔ;

Το RGPD (Regulamento Geral de Proteção de Dados) είναι απλώς η πορτογαλική ονομασία του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ 2016/679 (ΓΚΠΔ). Πρόκειται κυριολεκτικά για τον ίδιο κανονισμό, μόνο η γλωσσική ονομασία διαφέρει.

Στην Πορτογαλία, το RGPD συμπληρώνεται από τον Lei n.º 58/2019 (LPDP — Lei de Proteção de Dados Pessoais), τον εθνικό νόμο εφαρμογής που δημοσιεύθηκε στις 8 Αυγούστου 2019, και επιβάλλεται από την CNPD (Comissão Nacional de Proteção de Dados), την πορτογαλική εποπτική αρχή.

Ποια είναι η CNPD και ποιες εξουσίες έχει;

Η CNPD (Comissão Nacional de Proteção de Dados) είναι η ανεξάρτητη αρχή προστασίας δεδομένων της Πορτογαλίας, που ιδρύθηκε με τον Lei n.º 10/91 — καθιστώντας την μία από τις παλαιότερες αρχές προστασίας δεδομένων στην ΕΕ. Απαρτίζεται από επτά μέλη υπό την εποπτεία της Assembleia da República.

Η CNPD διερευνά καταγγελίες, ελέγχει υπευθύνους και εκτελούντες την επεξεργασία, εκδίδει δεσμευτικές αποφάσεις και επιβάλλει διοικητικά πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών για σοβαρές παραβιάσεις του RGPD. Η έδρα της βρίσκεται στην Avenida D. Carlos I, n.º 134, στη Λισαβόνα.

Είναι νομικά υποχρεωτικό το banner συναίνεσης cookies στην Πορτογαλία;

Ναι. Το άρθρο 5 παρ. 3 της Οδηγίας ePrivacy 2002/58/ΕΚ της ΕΕ, όπως μεταφέρθηκε από τον Lei n.º 41/2004, απαιτεί συναίνεση opt-in πριν από την τοποθέτηση οποιουδήποτε μη απαραίτητου cookie. Οι Orientações 2019/494 της CNPD (ενημερωμένες το 2022) αναλύουν τις απαιτήσεις: συμμετρικό Αποδοχή/Απόρριψη, λεπτομερείς κατηγορίες απενεργοποιημένες από προεπιλογή, χωρίς cookie walls, χωρίς «η συνέχιση της περιήγησης ισοδυναμεί με συναίνεση».

Μόνο τα απολύτως απαραίτητα cookies (συνεδρία, καλάθι, CSRF, προτίμηση γλώσσας, αποθήκευση της ίδιας της συναίνεσης) εξαιρούνται από την απαίτηση συναίνεσης. Όλα τα υπόλοιπα — Google Analytics, Meta Pixel, TikTok Pixel, retargeting, ενσωματωμένο περιεχόμενο τρίτων — απαιτούν ρητή προηγούμενη συναίνεση.

Πότε πρέπει ένας πορτογαλικός ιστότοπος e-commerce να ορίσει DPO;

Το άρθρο 37 RGPD καθιστά υποχρεωτικό τον DPO (Encarregado de Proteção de Dados — EPD) όταν: (α) η κύρια δραστηριότητα περιλαμβάνει συστηματική παρακολούθηση ατόμων σε μεγάλη κλίμακα (παρακολούθηση συμπεριφοράς, profiling, retargeting)· (β) η κύρια δραστηριότητα περιλαμβάνει επεξεργασία ειδικών κατηγοριών δεδομένων σε μεγάλη κλίμακα (υγεία, βιομετρικά, φυλετική καταγωγή)· ή (γ) ο υπεύθυνος επεξεργασίας είναι δημόσιος φορέας.

Μεσαίοι έως μεγάλοι πορτογαλικοί φορείς e-commerce που εφαρμόζουν retargeting, προγραμματιστική διαφήμιση, profiling πιστότητας, ή επεξεργάζονται 10.000+ εγγραφές πελατών συνήθως πληρούν αυτά τα κριτήρια και πρέπει να ορίσουν DPO και να καταχωρίσουν την επαφή του στην CNPD. Ο εξωτερικός DPO-as-a-Service είναι ευρέως διαθέσιμος από 350 €/μήνα.

Ποια δικαιώματα έχουν οι πορτογάλοι καταναλωτές βάσει του RGPD;

Τα άρθρα 15–22 RGPD παρέχουν στα υποκείμενα δεδομένων οκτώ δικαιώματα: πρόσβαση, διόρθωση, διαγραφή («δικαίωμα στη λήθη»), περιορισμό της επεξεργασίας, φορητότητα δεδομένων σε αναγνώσιμη από μηχανή μορφή, εναντίωση στην επεξεργασία (απόλυτη έναντι του άμεσου μάρκετινγκ), και το δικαίωμα μη υπαγωγής σε αποκλειστικά αυτοματοποιημένη λήψη αποφάσεων με έννομα αποτελέσματα.

Οι υπεύθυνοι πρέπει να απαντούν εντός 30 ημερών, με δυνατότητα παράτασης 60 ημερών για σύνθετα αιτήματα. Η απάντηση είναι δωρεάν, εκτός αν το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό. Η άρνηση πρέπει να αιτιολογείται και μπορεί να προσβληθεί ενώπιον της CNPD.

Τι είναι ο κανόνας ειδοποίησης παραβίασης εντός 72 ωρών;

Το άρθρο 33 RGPD απαιτεί από τους υπευθύνους να ειδοποιούν την CNPD εντός 72 ωρών από τη στιγμή που λαμβάνουν γνώση μιας παραβίασης προσωπικών δεδομένων, εκτός αν η παραβίαση δεν είναι πιθανό να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων δεδομένων. Η CNPD παρέχει ηλεκτρονική φόρμα ειδοποίησης στο cnpd.pt.

Εάν η παραβίαση ενδέχεται να προκαλέσει υψηλό κίνδυνο, το άρθρο 34 απαιτεί επίσης άμεση ειδοποίηση στα θιγόμενα υποκείμενα δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Η μη ειδοποίηση εντός 72 ωρών συνιστά η ίδια παραβίαση του RGPD που επισύρει πρόστιμο (έως 10 εκατ. € ή 2% του κύκλου εργασιών). Το χρονόμετρο ξεκινά με την αντίληψη, όχι με την επέλευση.

Πώς διαχειρίζεται η Πορτογαλία τις διασυνοριακές μεταφορές δεδομένων μετά την απόφαση Schrems II;

Μετά την απόφαση Schrems II του ΔΕΕ (C-311/18, Ιούλιος 2020), οι μεταφορές προσωπικών δεδομένων εκτός ΕΟΧ απαιτούν εγγύηση βάσει του άρθρου 46 RGPD. Ο προεπιλεγμένος μηχανισμός για το πορτογαλικό e-commerce είναι οι Τυποποιημένες Συμβατικές Ρήτρες της ΕΕ του 2021 (Εκτελεστική Απόφαση 2021/914).

Οι μεταφορές προς τις ΗΠΑ μπορούν επίσης να στηρίζονται στο Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ (DPF, σε ισχύ από τον Ιούλιο του 2023) για πιστοποιημένους εισαγωγείς — AWS, Google, Microsoft, Meta, Salesforce, HubSpot και άλλους. Η CNPD αναμένει από τους υπευθύνους να τεκμηριώνουν μια Εκτίμηση Αντίκτυπου Μεταφοράς (TIA) για κάθε μεταφορά εκτός ΕΟΧ.

Ποια είναι τα μέγιστα πρόστιμα της CNPD βάσει του RGPD;

Το άρθρο 83 RGPD ορίζει δύο κλιμάκια: έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών για διαδικαστικές παραβιάσεις (μητρώα, ασφάλεια, ειδοποίηση παραβίασης, DPO), και έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών για ουσιαστικές παραβιάσεις (νομική βάση, συναίνεση, δικαιώματα υποκειμένων δεδομένων, διεθνείς μεταφορές). Ισχύει το υψηλότερο μεταξύ ανώτατου ορίου ή ποσοστού.

Η CNPD έχει επιβάλει πολυεκατομμυριακά πρόστιμα, συμπεριλαμβανομένων 4,3 εκατ. € στο INE (Instituto Nacional de Estatística) το 2021 για μη διασφαλισμένες μεταφορές προς τις ΗΠΑ, 1,25 εκατ. € στο Hospital do Barreiro, και μια σειρά προστίμων σε ΜμΕ για banner cookies και διαχείριση αιτημάτων υποκειμένων.

Χρειάζομαι γραπτή πολιτική απορρήτου στον πορτογαλικό ιστότοπο e-commerce μου;

Ναι. Τα άρθρα 12, 13 και 14 RGPD απαιτούν από τους υπευθύνους να παρέχουν στα υποκείμενα δεδομένων πλήρη ενημέρωση σχετικά με την επεξεργασία — ταυτότητα του υπευθύνου και του DPO, σκοπούς και νομικές βάσεις, αποδέκτες, χώρες διεθνούς μεταφοράς, περιόδους διατήρησης, δικαιώματα υποκειμένων δεδομένων συμπεριλαμβανομένου του δικαιώματος καταγγελίας στην CNPD.

Η πολιτική απορρήτου πρέπει να είναι σε σαφή, απλά πορτογαλικά (το άρθρο 2 του Lei 58/2019 ενισχύει αυτή τη γλωσσική απαίτηση), ξεχωριστή από τους όρους χρήσης, εύκολα προσβάσιμη από κάθε σελίδα (συνήθως μέσω συνδέσμου στο υποσέλιδο), και ενημερωμένη κάθε φορά που προστίθενται νέοι εκτελούντες ή νέοι σκοποί. Οι γενικές πρότυπες πολιτικές αποτυγχάνουν συστηματικά στους ελέγχους της CNPD.

Για πόσο χρόνο πρέπει να διατηρώ δεδομένα πελατών βάσει του RGPD;

Το RGPD απαιτεί ελαχιστοποίηση δεδομένων και περιορισμό της περιόδου διατήρησης (άρθρο 5 παρ. 1 στοιχεία γ–ε). Η διατήρηση στο πορτογαλικό e-commerce είναι διαβαθμισμένη: δεδομένα τιμολόγησης 10 έτη (Código do IVA άρθρο 52)· λογιστικά αρχεία 10 έτη (Código Comercial άρθρο 40)· συναίνεση μάρκετινγκ επ' αόριστον όσο ισχύει, αλλά πρέπει να επαληθεύεται περιοδικά· web analytics συνήθως 14–26 μήνες· υλικό βιντεοεπιτήρησης έως 30 ημέρες κατ' ανώτατο όριο (Απόφαση CNPD 7680/2014).

Κάθε κατηγορία πρέπει να τεκμηριώνεται στο Μητρώο Δραστηριοτήτων Επεξεργασίας (άρθρο 30 RGPD) και να αναφέρεται στην πολιτική απορρήτου. Η διαγραφή βάσει του άρθρου 17 δεν υπερισχύει των νομικών υποχρεώσεων διατήρησης — για τα τιμολόγια, διατηρήστε τα σε κλειδωμένο αρχείο αντί να τα διαγράψετε.

Είναι νόμιμο το Google Analytics στην Πορτογαλία το 2026;

Ναι, με τις κατάλληλες διασφαλίσεις. Μετά την απόφαση Schrems II, αρκετές αρχές προστασίας δεδομένων της ΕΕ (Αυστρία, Γαλλία, Ιταλία) έκριναν παράνομες τις τυπικές εφαρμογές του GA3. Το Google Analytics 4 (GA4) σε συνδυασμό με την πιστοποίηση του Πλαισίου Προστασίας Δεδομένων ΕΕ-ΗΠΑ (σε ισχύ από τον Ιούλιο του 2023) και την ανωνυμοποίηση IP προσφέρουν πλέον υπερασπίσιμη θέση στην Πορτογαλία — η CNPD δεν έχει απαγορεύσει το GA4.

Βέλτιστη πρακτική: ανάπτυξη του GA4 με Consent Mode v2, ενεργοποιημένη ανωνυμοποίηση IP, απενεργοποιημένα Google Signals όπου δεν είναι απολύτως απαραίτητα, και τεκμηριωμένη Εκτίμηση Αντίκτυπου Μεταφοράς. Η επισήμανση από την πλευρά του διακομιστή μέσω GTM SS σε περιοχή της ΕΕ μειώνει περαιτέρω την έκθεση στις μεταφορές. Αποκλειστικά ευρωπαϊκές εναλλακτικές λύσεις όπως το Plausible και το Matomo εξαλείφουν πλήρως το ζήτημα.

Ποια είναι η διαφορά μεταξύ υπευθύνου και εκτελούντος την επεξεργασία;

Άρθρο 4 RGPD: ένας υπεύθυνος επεξεργασίας (responsável pelo tratamento) καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας — συνήθως η ίδια η επιχείρηση e-commerce. Ένας εκτελών την επεξεργασία (subcontratante) επεξεργάζεται δεδομένα για λογαριασμό του υπευθύνου σύμφωνα με τεκμηριωμένες οδηγίες — συνήθως πάροχοι όπως εταιρείες φιλοξενίας cloud, πάροχοι υπηρεσιών email, marketplaces και πύλες πληρωμών.

Το άρθρο 28 RGPD απαιτεί γραπτή Σύμβαση Επεξεργασίας Δεδομένων (DPA) μεταξύ υπευθύνου και εκτελούντος για κάθε δραστηριότητα επεξεργασίας. Marketplaces όπως η Amazon και μεγάλοι πάροχοι SaaS δημοσιεύουν τυποποιημένες DPA· μικρότεροι πορτογάλοι πωλητές συχνά χρειάζονται προσαρμοσμένη DPA στα πορτογαλικά. Τόσο ο υπεύθυνος όσο και ο εκτελών αντιμετωπίζουν πρόστιμα του άρθρου 83 σε περίπτωση μη συμμόρφωσης.

Μπορώ να χρησιμοποιήσω το έννομο συμφέρον ως νομική βάση αντί για τη συναίνεση;

Μερικές φορές. Το άρθρο 6 παρ. 1 στοιχείο στ RGPD επιτρέπει την επεξεργασία βάσει έννομων συμφερόντων μόνο μετά από τεκμηριωμένη δοκιμή στάθμισης τριών βημάτων: (1) το συμφέρον είναι έννομο· (2) η επεξεργασία είναι αναγκαία· (3) το συμφέρον δεν υπερισχύεται από τα δικαιώματα του υποκειμένου.

Λειτουργεί για την πρόληψη απάτης, την εσωτερική διοίκηση, την ασφάλεια δικτύου, και κάποιο άμεσο μάρκετινγκ B2B. Δεν λειτουργεί για cookies/trackers (η νομοθεσία ePrivacy υπερισχύει), ούτε για ειδικές κατηγορίες δεδομένων, ούτε για μάρκετινγκ προς όσους έχουν εναντιωθεί. Η δοκιμή στάθμισης πρέπει να τεκμηριώνεται στο ROPA.

Τι συμβαίνει εάν ένας πελάτης υποβάλει καταγγελία στην CNPD;

Η CNPD ανοίγει φάκελο, επικοινωνεί με τον υπεύθυνο για γραπτές παρατηρήσεις (συνήθως εντός 10–20 εργάσιμων ημερών), μπορεί να ζητήσει τεκμηρίωση (ROPA, πολιτική απορρήτου, μητρώο αιτημάτων υποκειμένων, μητρώο παραβιάσεων, DPA), και διεξάγει γραπτή ή επιτόπια έρευνα. Η διαδικασία ολοκληρώνεται με απόρριψη, προειδοποίηση, διορθωτική εντολή ή διοικητικό πρόστιμο.

Η συνεργασία και μια αποδεδειγμένη στάση συμμόρφωσης μειώνουν δραστικά την πιθανότητα προστίμου. Η κονσόλα RGPD της Zunapro παράγει κατ' απαίτηση όλη την τυπική τεκμηρίωση στη μορφή πορτογαλικών που αποδέχεται η CNPD.

Κάντε το πορτογαλικό σας e-commerce έτοιμο για το RGPD με ένα κλικ

Banner cookies συμβατό με την CNPD · πολιτική απορρήτου στα πορτογαλικά · ROPA · DPA βάσει άρθρου 28 · ροή εργασιών αιτημάτων υποκειμένων · πλάνο δράσης 72 ωρών για παραβιάσεις · πρότυπα TIA · κάρτα επικοινωνίας DPO. Ενσωματωμένα σε κάθε πορτογαλική ενσωμάτωση marketplace στη Zunapro. Χωρίς απαίτηση για επίδειξη legal-tech, χωρίς μακροχρόνιες συμβάσεις.

🛡️ Ενεργοποιήστε τη συμμόρφωση RGPD →
Κοινοποίηση:

Χρειάζεστε βοήθεια;

Σχετική υπηρεσία: E-Commerce

Επικοινωνία

Δωρεάν συμβουλευτική για το e-commerce έργο σας.

Συνομιλία στο WhatsApp