GDPR compliance checklist για ιδιοκτήτες sites: πρακτικός οδηγός από το μηδέν

Το GDPR (General Data Protection Regulation) παραμένει το πιο ολοκληρωμένο πλαίσιο προστασίας προσωπικών δεδομένων που επηρεάζει άμεσα όσους έχουν website ή web app — από ένα απλό blog μέχρι SaaS με παγκόσμιους πελάτες. Αν επεξεργάζεσαι προσωπικά δεδομένα κατοίκων της ΕΕ, η συμμόρφωση δεν είναι προαιρετική.

Το ρίσκο δεν είναι θεωρητικό: η μη συμμόρφωση μπορεί να οδηγήσει σε πρόστιμα έως €20 εκατ. ή 4% του παγκόσμιου ετήσιου τζίρου (όποιο είναι μεγαλύτερο). Και πέρα από τα πρόστιμα, οι αρχές μπορούν να επιβάλουν περιορισμούς επεξεργασίας ή διαγραφές δεδομένων.

Τι είναι το GDPR (σε 60 δευτερόλεπτα)

Το GDPR είναι κανονισμός της Ευρωπαϊκής Ένωσης που εφαρμόζεται από 25 Μαΐου 2018 και ορίζει κανόνες για το πώς οργανισμοί συλλέγουν, χρησιμοποιούν, αποθηκεύουν και μοιράζονται personal data (προσωπικά δεδομένα). Δεν αφορά μόνο εταιρείες εντός ΕΕ: ισχύει και για οργανισμούς εκτός ΕΕ αν επεξεργάζονται δεδομένα κατοίκων ΕΕ.

Κατανόησε τον ρόλο σου: Controller ή Processor;

Πριν κάνεις οτιδήποτε, πρέπει να «κουμπώσεις» σωστά τους ρόλους, γιατί αλλάζουν οι υποχρεώσεις:

• Data Controller: ορίζει το «γιατί» και το «πώς» της επεξεργασίας. Συνήθως είναι ο ιδιοκτήτης/η επιχείρηση πίσω από το website. Έχει την κύρια ευθύνη συμμόρφωσης.
• Data Processor: επεξεργάζεται δεδομένα για λογαριασμό Controller (π.χ. hosting provider, email marketing platform, analytics provider, CRM, support desk). Οφείλει επίσης τεχνικά/οργανωτικά μέτρα.
• Data Subject: το φυσικό πρόσωπο του οποίου τα δεδομένα επεξεργάζεσαι (επισκέπτης, πελάτης, subscriber).

Στην πράξη, μπορείς να είσαι και τα δύο: π.χ. ως εταιρεία είσαι Controller για τους πελάτες σου, αλλά ίσως είσαι Processor όταν διαχειρίζεσαι δεδομένα για λογαριασμό άλλης εταιρείας.

Οι 7 βασικές αρχές του GDPR (που διαπερνούν τα πάντα)

1. Lawfulness, fairness, and transparency: νόμιμη επεξεργασία, δίκαιη και με διαφάνεια (ο χρήστης ξέρει τι γίνεται).
2. Purpose limitation: συλλογή για συγκεκριμένο, νόμιμο σκοπό — όχι «για κάθε ενδεχόμενο».
3. Data minimization: μόνο τα ελάχιστα αναγκαία δεδομένα.
4. Accuracy: ακρίβεια και ενημέρωση δεδομένων.
5. Storage limitation: όχι αποθήκευση για περισσότερο από όσο χρειάζεται.
6. Integrity and confidentiality: ασφάλεια έναντι μη εξουσιοδοτημένης πρόσβασης/διαρροής.
7. Accountability: μπορείς να αποδείξεις τη συμμόρφωση (όχι απλώς να τη λες).

Complete GDPR Compliance Checklist (αναλυτικά, χωρίς “άλματα”)

A. Data (χαρτογράφηση δεδομένων & ροών)

1) Έχεις λίστα με όλα τα είδη προσωπικών δεδομένων που κρατάς (τι, από πού, σε ποιον, γιατί, για πόσο)

Applies to: Data Controller, Data Processor

Θέλεις μια «λίστα στηλών» των δεδομένων που κρατάς (π.χ. όνομα, email, διεύθυνση, ΑΦΜ/ID όπου εφαρμόζει). Για κάθε τύπο δεδομένου τεκμηριώνεις:

• την πηγή (π.χ. φόρμα checkout, signup form, manual εισαγωγή, API)
• με ποιους μοιράζεται (π.χ. payment provider, couriers, CRM, email tool)
• τον σκοπό (π.χ. εκτέλεση σύμβασης, υποστήριξη, τιμολόγηση)
• τη διάρκεια τήρησης (retention period)

Reference: GDPR Article 30 – Records of processing activities

2) Έχεις λίστα με όλα τα “μέρη” που αποθηκεύεις δεδομένα και τις ροές μεταξύ τους

Applies to: Data Controller, Data Processor

Δεν είναι μόνο οι βάσεις (π.χ. MySQL). Είναι και logs, third-party dashboards, exports, backups, ακόμα και offline αποθήκευση (χαρτί). Καταγράφεις πού ζουν τα δεδομένα και πώς κινούνται από σύστημα σε σύστημα.

Reference: GDPR Article 30 – Records of processing activities

3) Έχεις δημόσια προσβάσιμη Privacy Policy που περιγράφει όλες τις διαδικασίες προσωπικών δεδομένων

Applies to: Data Controller, Data Processor

Η Privacy Policy πρέπει να καλύπτει τις διαδικασίες χειρισμού προσωπικών δεδομένων. Ιδανικά να περιλαμβάνει (ή να παραπέμπει) στα είδη δεδομένων που κρατάς και πού τα κρατάς.

Reference: GDPR Article 30 – Records of processing activities

4) Η Privacy Policy δηλώνει τη lawful basis (νομική βάση) για το γιατί επεξεργάζεσαι δεδομένα

Applies to: Data Controller

Πρέπει να εξηγείς τον νόμιμο λόγο της επεξεργασίας (π.χ. εκτέλεση σύμβασης).

Reference: GDPR Article 6 – Lawfulness of processing

B. Accountability & Management (οργανωτικά μέτρα & ευθύνη)

5) Έχεις ορίσει Data Protection Officer (DPO), όπου απαιτείται

Applies to: Data Controller, Data Processor

Ο DPO δεν είναι “always-on requirement”. Απαιτείται μόνο αν ισχύει ένα από τα παρακάτω σενάρια:

1. Η επεξεργασία γίνεται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια όταν ενεργούν δικαιοδοτικά.
2. Οι βασικές δραστηριότητες περιλαμβάνουν επεξεργασία που λόγω φύσης/κλίμακας/σκοπών απαιτεί τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα.
3. Οι βασικές δραστηριότητες περιλαμβάνουν επεξεργασία σε μεγάλη κλίμακα ειδικών κατηγοριών δεδομένων (ευαίσθητα) κατά Article 9 και δεδομένων σχετικών με ποινικές καταδίκες/αδικήματα κατά Article 10.

Αν απαιτείται DPO, πρέπει να έχει γνώση των οδηγιών GDPR και κατανόηση των εσωτερικών διαδικασιών που εμπλέκουν προσωπικά δεδομένα.

Reference: GDPR Article 37 – Designation of the data protection officer

6) Έχεις ενημερώσει/εκπαιδεύσει τους decision makers για τις απαιτήσεις του GDPR

Applies to: Data Controller, Data Processor

Οι βασικοί άνθρωποι που παίρνουν αποφάσεις πρέπει να έχουν πρόσφατη εικόνα της νομοθεσίας και των πρακτικών που επηρεάζουν προϊόν, marketing, analytics, onboarding και support.

Reference: GDPR Article 25 – Data protection by design and by default

7) Η τεχνική ασφάλεια είναι ενημερωμένη (τεχνικά μέτρα)

Applies to: Data Controller, Data Processor

Ειδικά σε SaaS, βοηθά να ξεκινήσεις από security checklists ώστε να βεβαιωθείς ότι εφαρμόζεις σωστά τεχνικά μέτρα (σκληρύνσεις συστήματος, πρόσβαση, logging, backups κ.λπ.).

Reference: GDPR Article 25 – Data protection by design and by default

8) Το προσωπικό (ιδίως σε Processor) είναι εκπαιδευμένο σε data protection

Applies to: Data Processor

Πολλά security incidents ξεκινούν από ανθρώπινο λάθος ή social engineering. Όσοι έχουν πρόσβαση σε εσωτερικά συστήματα πρέπει να αναγνωρίζουν τους κινδύνους και να ακολουθούν διαδικασίες.

Reference: GDPR Article 25 – Data protection by design and by default

9) Έχεις λίστα sub-processors και η Privacy Policy αναφέρει τη χρήση τους

Applies to: Data Processor

Αν ως Processor χρησιμοποιείς sub-processor, οφείλεις να ενημερώνεις τους πελάτες σου. Η συναίνεση δίνεται με την αποδοχή της Privacy Policy.

Reference: GDPR Article 28 – Processor

10) Αν λειτουργείς εκτός ΕΕ, έχεις ορίσει εκπρόσωπο εντός ΕΕ (EU representative)

Applies to: Data Controller, Data Processor

Αν η επιχείρηση είναι εκτός ΕΕ αλλά συλλέγει δεδομένα πολιτών ΕΕ, πρέπει να ορίσει εκπρόσωπο σε κράτος-μέλος. Αυτός χειρίζεται θέματα επεξεργασίας και μπορεί να επικοινωνήσει μαζί του η τοπική αρχή.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Έχεις διαδικασία αναφοράς data breaches σε αρχή και υποκείμενα

Applies to: Data Controller, Data Processor

Παραβιάσεις προσωπικών δεδομένων πρέπει να αναφέρονται εντός 72 ωρών στην αρμόδια αρχή. Αναφέρεις τι δεδομένα χάθηκαν, πιθανές συνέπειες και τι μέτρα πήρες. Εκτός αν τα δεδομένα που διέρρευσαν ήταν κρυπτογραφημένα, ενημερώνεις και το υποκείμενο (data subject) του οποίου τα δεδομένα επηρεάστηκαν.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Υπάρχουν συμβάσεις με κάθε Processor με τον οποίο μοιράζεσαι δεδομένα (DPA/όροι επεξεργασίας)

Applies to: Data Controller

Η σύμβαση πρέπει να έχει ρητές οδηγίες αποθήκευσης/επεξεργασίας και να ορίζει:

• το αντικείμενο και τη διάρκεια της επεξεργασίας
• τη φύση και τον σκοπό της επεξεργασίας
• τον τύπο προσωπικών δεδομένων
• τις κατηγορίες υποκειμένων
• τις υποχρεώσεις και τα δικαιώματα του Controller

Παράδειγμα: σύμβαση με hosting provider. Οι ίδιες απαιτήσεις ισχύουν όταν ένας Processor χρησιμοποιεί sub-processor για να εκτελέσει επεξεργασία για λογαριασμό Controller.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

C. New Rights (λειτουργικές ροές για δικαιώματα χρηστών)

13) Οι χρήστες μπορούν εύκολα να ζητήσουν πρόσβαση στα δεδομένα τους

Applies to: Data Controller, Data Processor

Χρειάζεσαι καθορισμένη διαδικασία για αιτήματα πρόσβασης (DSAR).

Reference: GDPR Article 15 – Right of access by the data subject

14) Οι χρήστες μπορούν εύκολα να διορθώσουν τα δεδομένα τους

Applies to: Data Controller, Data Processor

Δώσε μηχανισμό διόρθωσης ανακριβών δεδομένων (π.χ. προφίλ, φόρμα ενημέρωσης, διαδικασία μέσω support).

Reference: GDPR Article 16 – Right to rectification

15) Διαγράφεις αυτόματα δεδομένα που δεν χρειάζεσαι πια

Applies to: Data Controller, Data Processor

Ιδανικά αυτοματοποίηση: π.χ. διαγραφή δεδομένων πελατών των οποίων δεν ανανεώθηκε το συμβόλαιο.

Reference: GDPR Article 5 – Principles relating to processing of personal data

16) Οι χρήστες μπορούν εύκολα να ζητήσουν διαγραφή δεδομένων (right to be forgotten)

Applies to: Data Controller, Data Processor

Υλοποίησε διαδικασία για αιτήματα διαγραφής.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Οι χρήστες μπορούν εύκολα να ζητήσουν να σταματήσεις/περιορίσεις την επεξεργασία

Applies to: Data Controller, Data Processor

Το GDPR δίνει δικαίωμα περιορισμού επεξεργασίας. Πρακτικά σημαίνει ότι πρέπει να μπορείς να “παγώσεις” συγκεκριμένες ροές.

Reference: GDPR Article 18 – Right to restriction of processing

18) Οι χρήστες μπορούν εύκολα να ζητήσουν εξαγωγή/παράδοση δεδομένων (data portability)

Applies to: Data Controller, Data Processor

Data portability σημαίνει παράδοση σε δομημένο, ευρέως χρησιμοποιούμενο, machine-readable format.

Reference: GDPR Article 20 – Right to data portability

19) Οι χρήστες μπορούν να εναντιωθούν σε profiling/automated decision making που τους επηρεάζει

Applies to: Data Controller

Αφορά μόνο αν κάνεις profiling ή αυτοματοποιημένη λήψη αποφάσεων που μπορεί να επηρεάσει σημαντικά άτομα.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

D. Consent (συναίνεση: πώς να μην την “κάψεις” στην πράξη)

20) Όταν βασίζεσαι σε consent, πρέπει να είναι ελεύθερη, συγκεκριμένη, ενημερωμένη και ανακλητή

Applies to: Data Controller

Αν το site συλλέγει δεδομένα, χρειάζεσαι εμφανές link στην Privacy Policy και επιβεβαίωση αποδοχής όρων. Η συναίνεση απαιτεί affirmative action: προ-τσεκαρισμένα κουτάκια δεν επιτρέπονται.

Reference: GDPR Article 7 – Conditions for consent

21) Η Privacy Policy πρέπει να είναι καθαρή, κατανοητή και χωρίς “κρυφές” προθέσεις

Applies to: Data Controller

Γράφεται με απλούς όρους. Αν είναι δυσνόητη/παραπλανητική, μπορεί να ακυρώσει τη συμφωνία. Σε υπηρεσίες προς παιδιά, πρέπει να είναι αρκετά απλή ώστε να την καταλαβαίνουν.

Reference: GDPR Article 7.2 – Conditions for consent

22) Η ανάκληση consent πρέπει να είναι το ίδιο εύκολη με την παροχή της

Applies to: Data Controller

Δεν γίνεται να ζητάς 1 click για opt-in και 5 βήματα για opt-out. Η ανάκληση δεν πρέπει να είναι δυσκολότερη από τη συγκατάθεση.

Reference: GDPR Article 7.3 – Conditions for consent

23) Αν επεξεργάζεσαι δεδομένα παιδιών, επιβεβαιώνεις ηλικία και ζητάς consent από κηδεμόνα

Applies to: Data Controller

Για παιδιά κάτω των 16, χρειάζεσαι συγκατάθεση νόμιμου κηδεμόνα. Αν το consent δίνεται μέσω website, πρέπει να προσπαθείς να διασφαλίσεις ότι όντως έγινε από κηδεμόνα (και όχι από το παιδί).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Όταν ενημερώνεις την Privacy Policy, ειδοποιείς τους υπάρχοντες πελάτες

Applies to: Data Controller

Π.χ. email για αλλαγές, με απλή περιγραφή του τι άλλαξε.

Reference: GDPR Article 7 – Conditions for consent

E. Follow-up (συντήρηση συμμόρφωσης)

25) Κάνεις τακτικό review πολιτικών και αλλαγών (και για χώρες όπου “ρέουν” δεδομένα)

Applies to: Data Controller

Η συμμόρφωση είναι διαδικασία: επανεξέταση πολιτικών για αλλαγές, αποτελεσματικότητα, αλλαγές στη διαχείριση δεδομένων και αλλαγές στην κατάσταση άλλων χωρών προς τις οποίες μεταφέρονται δεδομένα.

Reference: GDPR Article 25 – Data protection by design and by default

F. Special cases (όταν τα πράγματα γίνονται “high-risk”)

26) Ξέρεις πότε απαιτείται DPIA για υψηλού κινδύνου επεξεργασία

Applies to: Data Controller

Αφορά οργανισμούς που κάνουν large-scale επεξεργασία, profiling και άλλες δραστηριότητες με υψηλό κίνδυνο για δικαιώματα/ελευθερίες. Σε αυτές τις περιπτώσεις απαιτείται Data Protection Impact Assessment (DPIA).

Reference: GDPR Article 35 – Data protection impact assessment

27) Μεταφέρεις δεδομένα εκτός ΕΕ μόνο σε χώρες με κατάλληλο επίπεδο προστασίας (και το δηλώνεις)

Applies to: Data Controller, Data Processor

Οι διεθνείς μεταφορές πρέπει να γίνονται μόνο με κατάλληλες εγγυήσεις. Επίσης οφείλεις να τις αποκαλύπτεις στην Privacy Policy. Για μεταφορές σε non-adequate χώρες, χρησιμοποίησε Standard Contractual Clauses (SCCs) ή Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Δικαιώματα Υποκειμένων (Data Subject Rights) — τι πρέπει να υποστηρίζεις ως σύστημα

Ανεξάρτητα από το αν είσαι Controller ή Processor, τα παρακάτω είναι τα δικαιώματα που το GDPR “χτίζει” για τους χρήστες/πελάτες (Data Subjects). Σε αρκετά από αυτά, η τεχνική υλοποίηση (exports, deletes, logs) είναι το δύσκολο κομμάτι.

Right to transparent information

Ο Controller πρέπει να παρέχει πληροφορίες για την επεξεργασία με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο, με σαφή και απλή γλώσσα — ειδικά όταν αφορά παιδιά. Η ενημέρωση μπορεί να δοθεί γραπτώς ή/και ηλεκτρονικά.

Reference: GDPR Article 12

Right to receive specific information όταν τα δεδομένα συλλέγονται απευθείας

Πρέπει να παρέχονται συγκεκριμένες πληροφορίες, όπως:

1. Η ταυτότητα και τα στοιχεία επικοινωνίας του Controller
2. Τα στοιχεία επικοινωνίας του DPO (όπου απαιτείται)
3. Οι σκοποί επεξεργασίας και η νομική βάση
4. Τα έννομα συμφέροντα του Controller (όπου εφαρμόζει)
5. Οι αποδέκτες ή κατηγορίες αποδεκτών των προσωπικών δεδομένων
6. Πληροφορίες για μεταφορές σε τρίτες χώρες

Reference: GDPR Article 13

Right to receive specific information όταν τα δεδομένα δεν συλλέγονται απευθείας

Όταν τα δεδομένα προέρχονται από άλλη πηγή (όχι από το ίδιο το υποκείμενο), παρέχονται αντίστοιχες πληροφορίες, συμπεριλαμβανομένων των κατηγοριών δεδομένων και της πηγής.

Reference: GDPR Article 14

Right of access

Δικαίωμα επιβεβαίωσης ότι γίνεται επεξεργασία και πρόσβαση σε:

• τους σκοπούς επεξεργασίας
• τις κατηγορίες προσωπικών δεδομένων
• τους αποδέκτες (σε ποιον αποκαλύφθηκαν/θα αποκαλυφθούν)
• την προβλεπόμενη περίοδο διατήρησης
• την ύπαρξη δικαιωμάτων διόρθωσης, διαγραφής, περιορισμού, εναντίωσης
• το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
• πληροφορίες για την πηγή (αν δεν συλλέχθηκαν από το υποκείμενο)
• την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένου profiling

Reference: GDPR Article 15

Right to rectification

Δικαίωμα διόρθωσης ανακριβών δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και συμπλήρωσης ελλιπών δεδομένων.

Reference: GDPR Article 16

Right to erasure (right to be forgotten)

Δικαίωμα διαγραφής όταν:

1. Τα δεδομένα δεν είναι πλέον απαραίτητα για τον αρχικό σκοπό
2. Ανακαλείται η συγκατάθεση και δεν υπάρχει άλλη νομική βάση
3. Υπάρχει εναντίωση στην επεξεργασία και δεν υπάρχουν υπέρτεροι νόμιμοι λόγοι
4. Η επεξεργασία ήταν παράνομη
5. Τα δεδομένα πρέπει να διαγραφούν για συμμόρφωση με νομική υποχρέωση
6. Τα δεδομένα συλλέχθηκαν στο πλαίσιο υπηρεσιών της κοινωνίας της πληροφορίας που προσφέρθηκαν σε παιδί

Reference: GDPR Article 17

Right to restriction of processing

Δικαίωμα περιορισμού όταν:

1. Αμφισβητείται η ακρίβεια (για διάστημα που επιτρέπει την επαλήθευση)
2. Η επεξεργασία είναι παράνομη και το υποκείμενο αντιτίθεται στη διαγραφή
3. Ο Controller δεν χρειάζεται πλέον τα δεδομένα αλλά το υποκείμενο τα χρειάζεται για νομικές αξιώσεις
4. Υπάρχει εναντίωση στην επεξεργασία εν αναμονή επαλήθευσης των νόμιμων λόγων

Reference: GDPR Article 18

Right to be notified σχετικά με rectification/erasure/restriction

Ο Controller οφείλει να γνωστοποιεί οποιαδήποτε διόρθωση, διαγραφή ή περιορισμό σε κάθε αποδέκτη στον οποίο έχουν αποκαλυφθεί δεδομένα, εκτός αν αυτό είναι αδύνατο ή απαιτεί δυσανάλογη προσπάθεια.

Reference: GDPR Article 19

Right to data portability

Δικαίωμα λήψης δεδομένων σε δομημένη, ευρέως χρησιμοποιούμενη και machine-readable μορφή και μεταφοράς τους σε άλλον Controller χωρίς εμπόδια.

Reference: GDPR Article 20

Right to object

Δικαίωμα εναντίωσης, για λόγους που σχετίζονται με την ιδιαίτερη κατάσταση του υποκειμένου, σε επεξεργασία που βασίζεται σε έννομα συμφέροντα ή δημόσιο συμφέρον, συμπεριλαμβανομένου profiling.

Reference: GDPR Article 21

Right not to be subject to automated decision-making

Δικαίωμα να μην υπόκειται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία (συμπεριλαμβανομένου profiling) που παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το άτομο.

Reference: GDPR Article 22

Πρακτικά βήματα υλοποίησης (implementation) για websites

1) Σκλήρυνε την ασφάλεια του site σου

• Εγκατάστησε SSL certificate και επέβαλε HTTPS για κρυπτογράφηση δεδομένων μεταξύ browser και server
• Χρησιμοποίησε strong passwords για όλους τους admin λογαριασμούς
• Πρόσθεσε extra protection για χειρισμό payment information
• Χρησιμοποίησε CDN provider που προσφέρει προστασία από DDoS
• Εγκατέστησε/χρησιμοποίησε anti-virus software για αποτροπή μη εξουσιοδοτημένης πρόσβασης
• Κάνε data minimization: μάζευε μόνο τα απολύτως απαραίτητα
• Κάνε pseudonymization ή anonymization πριν την αποθήκευση όπου γίνεται
• Κράτα backups σε πολλαπλές ασφαλείς τοποθεσίες
• Κάνε delete data όταν δεν χρειάζονται πλέον

2) Βάλε Cookie Consent Banner με πραγματικό blocking

Αν χρησιμοποιείς μη απαραίτητα cookies, χρειάζεσαι ρητή συναίνεση πριν ενεργοποιηθούν.

Το cookie banner σου πρέπει να:

• Κάνει block cookies until consent: να φορτώνει μόνο τα απολύτως απαραίτητα μέχρι να γίνει opt-in
• Χρησιμοποιεί simple, clear language: τι cookies, γιατί υπάρχουν
• Δείχνει ίσα accept/reject buttons: να μην κρύβεται η απόρριψη
• Προσφέρει granular options: επιλογή ανά κατηγορία cookies
• Επιτρέπει consent withdrawal: εύκολος τρόπος αλλαγής επιλογών αργότερα
• Κάνει record consent: αποθήκευση επιλογών με timestamps για απόδειξη συμμόρφωσης

3) Έλεγξε όλες τις φόρμες του site (contact, checkout, signup)

Κάθε φόρμα που συλλέγει προσωπικά δεδομένα πρέπει να είναι GDPR-friendly:

• Βάλε privacy statement: γιατί ζητάς τα δεδομένα
• Πρόσθεσε unticked checkbox για consent όπου απαιτείται
• Δώσε ξεχωριστό opt-in για marketing επικοινωνίες
• Κάνε link στην Privacy Policy
• Γράψε με clear, simple language

4) Consent για marketing emails (χωρίς “γκρίζες ζώνες”)

• Χρησιμοποίησε clear opt-in only: unticked checkbox ειδικά για email consent
• Εφάρμοσε double opt-in: επιβεβαίωση εγγραφής μέσω email
• Κράτα consent records: ημερομηνία, ώρα, μέθοδος, σκοπός
• Βάλε ορατό unsubscribe link: one-click σε κάθε email
• Κάνε prompt unsubscribes: ιδανικά εντός 24 ωρών

5) Προετοιμάσου για data breaches (πριν συμβούν)

• Ενημέρωσε την εποπτική αρχή εντός 72 ωρών
• Ενημέρωσε τους επηρεαζόμενους χρήστες αν υπάρχει high risk στα δικαιώματά τους
• Κάνε document everything για accountability
• Κάνε update policies και τεχνικά μέτρα ώστε να μη ξανασυμβεί

Σημεία ειδικά για WordPress sites

Αν τρέχεις WordPress, έχεις συγκεκριμένα πρακτικά πράγματα να “κλειδώσεις”:

• Κράτα ενημερωμένα WordPress core, themes, plugins
• Χρησιμοποίησε contact form plugins που υποστηρίζουν GDPR (π.χ. consent checkboxes)
• Βάλε σωστή λύση για cookie consent
• Χρησιμοποίησε GDPR-compliant analytics λύση
• Κάνε review τι δεδομένα συλλέγουν τα plugins (και πού τα στέλνουν)
• Υλοποίησε λειτουργίες user data export/deletion

Πρόστιμα και διοικητικά μέτρα: τι ρισκάρεις

Το GDPR προβλέπει δύο επίπεδα προστίμων:

• Lower tier violations: έως €10 εκατ. ή 2% του παγκόσμιου ετήσιου τζίρου
• Upper tier violations: έως €20 εκατ. ή 4% του παγκόσμιου ετήσιου τζίρου

Εκτός από πρόστιμα, οι αρχές μπορούν επίσης να:

• εκδώσουν προειδοποιήσεις
• επιβάλλουν προσωρινή ή μόνιμη απαγόρευση επεξεργασίας
• διατάξουν διαγραφή δεδομένων
• περιορίσουν μεταφορές δεδομένων

FAQ

Τι είναι ένα GDPR compliance checklist;

Είναι μια λίστα ενεργειών που πρέπει να υλοποιήσεις για να συμμορφώνεσαι με το GDPR. Σε βοηθά να εντοπίσεις κενά στις πρακτικές προστασίας δεδομένων και να οργανώσεις τεχνικά και οργανωτικά μέτρα.

Ποιος είναι υπεύθυνος για τη συμμόρφωση με GDPR;

Ο data controller (συνήθως ο ιδιοκτήτης του website/η επιχείρηση) έχει την κύρια ευθύνη. Οι data processors έχουν επίσης υποχρεώσεις συμμόρφωσης.

Ισχύει το GDPR για επιχειρήσεις στις ΗΠΑ;

Ναι, αν επεξεργάζονται προσωπικά δεδομένα κατοίκων ΕΕ — ανεξάρτητα από το πού βρίσκεται η επιχείρηση.

Ποια είναι η μέγιστη ποινή για μη συμμόρφωση;

Έως €20 εκατ. ή 4% του ετήσιου παγκόσμιου τζίρου, όποιο είναι μεγαλύτερο.

Χρειάζομαι cookie banner;

Ναι, αν το site χρησιμοποιεί μη απαραίτητα cookies και έχει επισκέπτες από ΕΕ. Η συναίνεση πρέπει να δίνεται πριν ενεργοποιηθούν τα μη απαραίτητα cookies.

Χρειάζομαι Data Protection Officer (DPO);

Μόνο αν: (1) είσαι δημόσια αρχή, (2) οι βασικές δραστηριότητές σου απαιτούν μεγάλης κλίμακας, συστηματική παρακολούθηση ατόμων, ή (3) επεξεργάζεσαι ευαίσθητα δεδομένα σε μεγάλη κλίμακα.