Κίνδυνος μη συμμόρφωσης με τον GDPR: τι πρέπει να καταλάβει κάθε διευθυντής πριν από το 2026

Κατανόηση του κινδύνου μη συμμόρφωσης με τον GDPR για μια εταιρεία

Για τι ακριβώς μιλάμε;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) διέπει όλες τις λειτουργίες που εκτελούνται σε προσωπικά δεδομένα από τον Μάιο του 2018: συλλογή, αποθήκευση, διαβίβαση, δημιουργία προφίλ και διαγραφή. Οποιοσδήποτε οργανισμός επεξεργάζεται αυτά τα δεδομένα — πελάτες, υποψήφιοι πελάτες, εργαζόμενοι, προμηθευτές — εμπίπτει στο πεδίο εφαρμογής του, ανεξάρτητα από το μέγεθος ή τον τομέα του.

Η μη συμμόρφωση με τον ΓΚΠΔ δεν αποτελεί απλώς διοικητικό σφάλμα. Συνεπάγεται αστική, διοικητική και ενίοτε ποινική ευθύνη για τον υπεύθυνο επεξεργασίας δεδομένων, ο οποίος είναι τις περισσότερες φορές η ίδια η εταιρεία και ο νόμιμος εκπρόσωπός της.

Ποιος επηρεάζεται πραγματικά;

Ο κανόνας είναι γενικός: εάν η εταιρεία σας επεξεργάζεται προσωπικά δεδομένα ατόμων που διαμένουν στην Ευρωπαϊκή Ένωση, επηρεάζεστε. Αυτό ισχύει για τον τοπικό λιανοπωλητή που διαχειρίζεται ένα πρόγραμμα επιβράβευσης, καθώς και για την εταιρεία χαρτοφυλακίου που διαχειρίζεται έναν διεθνή όμιλο.

Τρεις παράγοντες βρίσκονται στην πρώτη γραμμή: οι υπεύθυνοι επεξεργασίας δεδομένων, οι επεξεργαστές δεδομένων (πάροχοι υπηρεσιών πληροφορικής, πρακτορεία μάρκετινγκ, πάροχοι φιλοξενίας) και τυχόν από κοινού υπεύθυνοι επεξεργασίας. Ο καθένας μπορεί να τιμωρηθεί ανεξάρτητα, γεγονός που πολλές εταιρείες δεν γνωρίζουν.

Γιατί αυτό το θέμα γίνεται ξανά καυτό θέμα συζήτησης;

Για πολύ καιρό, η εφαρμογή του GDPR φαινόταν άνιση. Αυτές οι εποχές έχουν τελειώσει. Το 2022, η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) εφάρμοσε μια απλοποιημένη διαδικασία κυρώσεων που της επιτρέπει να επιβάλλει γρήγορα πρόστιμα έως και 20.000 ευρώ χωρίς να αποκαλύπτει την ταυτότητα του οργανισμού. Ως αποτέλεσμα, εκδόθηκαν 69 απλοποιημένες κυρώσεις το 2024, σχεδόν τρεις φορές περισσότερες από ό,τι το 2023.

Σε σημαντικές υποθέσεις, τα ποσά που εμπλέκονται εκτοξεύονται στα ύψη. Το 2025, μόνο δύο αποφάσεις που σχετίζονται με cookies αντιστοιχούσαν σε 475 εκατομμύρια ευρώ, συμπεριλαμβανομένων 325 εκατομμυρίων ευρώ για την Google και 150 εκατομμυρίων ευρώ για την Shein. Το μήνυμα είναι σαφές: λιγότερες υποθέσεις, αλλά υποδειγματικές κυρώσεις.

Ποια ποινή GDPR ισχύει για μια εταιρεία που δεν συμμορφώνεται με τον GDPR;

Διοικητικά πρόστιμα που επιβλήθηκαν από την CNIL

Ο ΓΚΠΔ ορίζει δύο ανώτατα όρια. Το πρώτο, έως 10 εκατομμύρια ευρώ ή 2 % παγκόσμιου ετήσιου κύκλου εργασιών, στοχεύει σε παραβιάσεις όπως η απουσία μητρώου επεξεργασίας ή η μη διεξαγωγή εκτίμησης επιπτώσεων. Το δεύτερο, έως 20 εκατομμύρια ευρώ ή 4 % παγκόσμιου κύκλου εργασιών, τιμωρεί τις πιο σοβαρές παραβιάσεις: έλλειψη νομικής βάσης, παραβίαση δικαιωμάτων των υποκειμένων των δεδομένων και μη ρυθμιζόμενες διεθνείς διαβιβάσεις.

Το πιο αποκαλυπτικό πρόστιμο της CNIL τα τελευταία χρόνια δεν είναι ένα πρόστιμο πολλών εκατομμυρίων ευρώ, αλλά μάλλον αυτό που επιβλήθηκε τον Δεκέμβριο του 2024 στην Amazon France Logistique: 32 εκατομμύρια ευρώ για παρακολούθηση που κρίθηκε δυσανάλογη σε σχέση με αυτήν των υπευθύνων συλλογής παραγγελιών. Το μήνυμα είναι σαφές: ακόμη και ένα σύστημα που παρουσιάζεται ως «παραγωγικό» μπορεί να ξεπεράσει τα όρια της παρανομίας εάν παραβιάζει το απόρρητο των εργαζομένων.

Ποινικές κυρώσεις GDPR

Πέρα από τις διοικητικές πτυχές, ο γαλλικός ποινικός κώδικας προβλέπει ποινικές κυρώσεις που σχετίζονται με τον ΓΚΠΔ, οι οποίες φτάνουν έως και πέντε έτη φυλάκισης και πρόστιμο 300.000 ευρώ για φυσικά πρόσωπα και 1,5 εκατομμύριο ευρώ για νομικά πρόσωπα. Αυτές οι κυρώσεις καλύπτουν τη δόλια συλλογή δεδομένων, την επεξεργασία ευαίσθητων δεδομένων χωρίς νομική βάση και την κακή χρήση δεδομένων. Ενώ τέτοιες διώξεις παραμένουν σπάνιες, μπορούν να προστεθούν σε μια διαδικασία της CNIL (Γαλλική Αρχή Προστασίας Δεδομένων).

Οι έμμεσες συνέπειες, συχνά οι πιο δαπανηρές

Μια κύρωση βάσει του GDPR έχει κόστος που υπερβαίνει κατά πολύ το πρόστιμο: βλάβη στην εικόνα, ειδικά στις αγορές B2B όπου η συμμόρφωση έχει γίνει κριτήριο αγοράς· απώλεια συμβάσεων, καθώς ορισμένοι πελάτες απαιτούν πλέον επίσημη απόδειξη συμμόρφωσης στις προσκλήσεις υποβολής προσφορών τους· αγωγές αποκατάστασης από τα εμπλεκόμενα πρόσωπα, ατομικά ή μέσω ομαδικών αγωγών· εσωτερικό κόστος αποκατάστασης που συχνά υπερβαίνει το ίδιο το πρόστιμο.

Πώς ενεργοποιείται ένας έλεγχος CNIL;

Πηγές και μορφές ελέγχου

Ένας έλεγχος της CNIL μπορεί να ενεργοποιηθεί από μια καταγγελία (η CNIL έλαβε σχεδόν 17.800 το 2024), μια ειδοποίηση παραβίασης που έστειλε η εταιρεία, ένα ετήσιο ζήτημα προτεραιότητας ή μια αρνητική κάλυψη από τα μέσα ενημέρωσης. Υπάρχουν τέσσερις μορφές: επιτόπια επιθεώρηση, ακρόαση, διαδικτυακή αναθεώρηση και αναθεώρηση εγγράφων. Η τελευταία, με τη χρήση λεπτομερούς ερωτηματολογίου, είναι η πιο συχνή και η πιο υποτιμημένη.

Η διαδικασία

Εάν εντοπιστούν παραβάσεις, η CNIL εκδίδει πρώτα επίσημη ειδοποίηση με προθεσμία. Το 2024, εκδόθηκαν 180 επίσημες ειδοποιήσεις. Αυτή είναι συχνά η τελευταία ευκαιρία για να αποφευχθεί μια δημόσια κύρωση. Διαφορετικά, η περιορισμένη επιτροπή ξεκινά μια διαδικασία που μπορεί να διαρκέσει από έξι έως δεκαοκτώ μήνες. Για περισσότερες πληροφορίες, μπορείτε να συμβουλευτείτε την Οδηγός Viqtor για τον έλεγχο συμμόρφωσης με τον GDPR.

Οι πιο συχνές περιοχές ευπάθειας στις επιχειρήσεις

Μια ελαττωματική διακυβέρνηση δεδομένων

Αυτός είναι ο κύριος παράγοντας κινδύνου. Πολλές εταιρείες συνέταξαν μια πολιτική GDPR το 2018, την κατέθεσαν και δεν την επανεξέτασαν ποτέ. Ωστόσο, τα εργαλεία, οι πάροχοι υπηρεσιών και οι ροές δεδομένων εξελίσσονται συνεχώς. Χωρίς συνεχή παρακολούθηση, το χάσμα με την πραγματικότητα διευρύνεται. Αυτό το ζήτημα εμπίπτει πλήρως στην αρμοδιότητα της διοίκησης: η αρχή της λογοδοσίας που κατοχυρώνεται στο Άρθρο 5.2 του GDPR απαιτεί την απόδειξη συμμόρφωσης ανά πάσα στιγμή. Δεν πρόκειται για υποχρέωση μέσων, αλλά για υποχρέωση απόδειξης.

Η απουσία ή η κακή τοποθέτηση του ΥΠΔ

Ο διορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) είναι υποχρεωτικός για τις δημόσιες αρχές, τους οργανισμούς που επεξεργάζονται ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή για όσους παρακολουθούν συστηματικά άτομα. Στην πράξη, πολλές εταιρείες επωφελούνται από τον διορισμό ενός ακόμη και χωρίς επίσημη υποχρέωση, καθώς ενισχύει την αλυσίδα ευθύνης. Ωστόσο, ο ΥΠΔ πρέπει να διαθέτει τους απαραίτητους πόρους για να ενεργεί: άμεση πρόσβαση στη διοίκηση, προϋπολογισμό, ανεξαρτησία και συμμετοχή σε έργα. Αρκετές πρόσφατες κυρώσεις έχουν στοχεύσει συγκεκριμένα εταιρείες που διόρισαν έναν καθαρά επίσημο ΥΠΔ.

Υποβαθμισμένη τεχνική ασφάλεια

Αυτός έχει γίνει ο νούμερο ένα λόγος για σημαντικές κυρώσεις. Το 2025, το 29% των ευρωπαϊκών προστίμων αφορούσε ανεπαρκή τεχνικά και οργανωτικά μέτρα. Η υπόθεση Free and Free Mobile, η οποία κυρώθηκε τον Ιανουάριο του 2026 με συνολικό ποσό 42 εκατομμυρίων ευρώ, καταδεικνύει τέλεια αυτό το σημείο: η έλλειψη πολυπαραγοντικού ελέγχου ταυτότητας στην πρόσβαση σε VPN και η αναποτελεσματικότητα των συστημάτων ανίχνευσης απαγωγής θεωρήθηκαν σοβαρές παραβιάσεις, αφού μια εισβολή έθεσε σε κίνδυνο 24 εκατομμύρια συμβόλαια.

Για να δομήσουμε αυτή τη διάσταση, το Ενότητα διακυβέρνησης GDPR της Viqtor προσφέρει ένα άμεσα χρησιμοποιήσιμο λειτουργικό πλαίσιο βιβλικής απλότητας.