Skip to content

Λογοδοσία κατά τον ΓΚΠΔ: τι πρέπει να τεκμηριώνουν οι εταιρείες στην ΕΕ

Λογοδοσία κατά τον ΓΚΠΔ σημαίνει να αποδεικνύετε τη συμμόρφωση, όχι απλώς να τη δηλώνετε. Ποια αρχεία πρέπει να τηρούν οι εταιρείες της ΕΕ — ROPA, DPIA, πολιτικές — και πώς να συγκροτήσετε τον φάκελο.

Διάσπαρτα αρχεία επεξεργασίας δεδομένων που ενοποιούνται σε έναν πλήρη, ελεγμένο φάκελο λογοδοσίας κατά τον ΓΚΠΔ, πάνω από έναν αχνό χάρτη της Ευρώπης — σε αποχρώσεις σκούρου μπλε και κοραλί σε κρεμ φόντο.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Οι περισσότερες εταιρείες αντιμετωπίζουν τη συμμόρφωση με τον ΓΚΠΔ ως μια κατάσταση που κατακτάς — υπογράφεις μια πολιτική, προσθέτεις ένα αναδυόμενο πλαίσιο για τα cookies, τελείωσες. Ο κανονισμός την αντιμετωπίζει ως κάτι που πρέπει να μπορείτε να αποδείξετε. Αυτή είναι η αρχή της λογοδοσίας, και αποτελεί το σιωπηλό κέντρο ολόκληρου του νόμου: βάσει του άρθρου 5 παράγραφος 2, μια εταιρεία φέρει την ευθύνη για τη συμμόρφωση με τις αρχές προστασίας δεδομένων και πρέπει να είναι σε θέση να την αποδείξει [1]. Στην πράξη, αυτή η απόδειξη είναι ένας φάκελος εγγράφων — αρχεία, εκτιμήσεις, πολιτικές και διαδικασίες που περιγράφουν, με ακρίβεια και συνέπεια, πώς ο οργανισμός σας χειρίζεται πραγματικά τα δεδομένα προσωπικού χαρακτήρα. Για μια ευρωπαϊκή εταιρεία χωρίς νομική υπηρεσία, η συγκρότηση και η συντήρηση αυτού του φακέλου είναι το πραγματικό έργο του ΓΚΠΔ. Ο οδηγός αυτός παρουσιάζει τι περιέχει ο φάκελος, γιατί υπάρχει κάθε στοιχείο και πώς διαφέρει η υποχρέωση σε ολόκληρη την Ευρώπη — μεταξύ άλλων, γιατί το «ευρωπαϊκό» δεν ταυτίζεται με το «βρετανικό».

Σύντομη απάντηση. Η λογοδοσία κατά τον ΓΚΠΔ (άρθρο 5 παράγραφος 2) σημαίνει ότι μια εταιρεία δεν αρκεί να συμμορφώνεται με το δίκαιο προστασίας δεδομένων, αλλά πρέπει να μπορεί να το αποδείξει — με τεκμηρίωση. Ο βασικός φάκελος περιλαμβάνει αρχεία των δραστηριοτήτων επεξεργασίας, ένα επίπεδο νομικής βάσης και ενημερώσεων απορρήτου, συμβάσεις με τους εκτελούντες την επεξεργασία και μια DPIA όπου ο κίνδυνος είναι υψηλός — όλα τηρούμενα με ακρίβεια, εξειδικευμένα ανά εταιρεία και εσωτερικά συνεπή.

Τι σημαίνει πραγματικά η λογοδοσία κατά τον ΓΚΠΔ

Οι περισσότερες υποχρεώσεις του ΓΚΠΔ είναι γνωστές στις γενικές τους γραμμές: να έχετε νομική βάση, να ενημερώνετε τα πρόσωπα για το τι κάνετε με τα δεδομένα τους, να τα διατηρείτε ασφαλή, να σέβεστε τα δικαιώματά τους. Η λογοδοσία είναι η αρχή που μετατρέπει αυτές τις υποχρεώσεις από προθέσεις σε κάτι ελέγξιμο. Το άρθρο 5 παράγραφος 2 καθιστά τον υπεύθυνο επεξεργασίας υπεύθυνο «και σε θέση να αποδείξει τη συμμόρφωση» με τις αρχές προστασίας δεδομένων, και το άρθρο 24 απαιτεί να εφαρμόζετε κατάλληλα μέτρα και να είστε σε θέση να αποδείξετε ότι η επεξεργασία σας συνάδει με τον κανονισμό [1]. Οι κρίσιμες λέξεις είναι σε θέση να αποδείξετε. Η συμμόρφωση που δεν μπορείτε να δείξετε, στα χαρτιά, όταν σας ζητηθεί, δεν μετράει.

Πρόκειται για μετατόπιση του βάρους της απόδειξης. Μια εποπτική αρχή που ανοίγει έρευνα, ένας εταιρικός πελάτης που διενεργεί δέουσα επιμέλεια προμηθευτών ή ένας αντισυμβαλλόμενος που διαπραγματεύεται μια σύμβαση δεν ξεκινούν υποθέτοντας ότι δεν συμμορφώνεστε — αλλά από τη στιγμή που θα ζητήσουν «δείξτε μου», η ευθύνη να προσκομίσετε συνεκτικά αποδεικτικά στοιχεία είναι δική σας, όχι δική τους. Και το κριτήριο που εφαρμόζουν δεν είναι ο όγκος. Ένας κλασέρ με γενικόλογες πολιτικές δεν εντυπωσιάζει κανέναν· αυτό που αναζητούν οι αρχές είναι η εξειδίκευση και η εσωτερική συνέπεια — έγγραφα που περιγράφουν την πραγματική σας επεξεργασία, κατονομάζουν τα πραγματικά σας συστήματα και τους προμηθευτές σας και δεν αλληλοαναιρούνται. Η ίδια η καθοδήγηση της Ευρωπαϊκής Επιτροπής προς τους οργανισμούς θέτει το καθήκον ακριβώς με αυτούς τους όρους: απόδειξη της συμμόρφωσης μέσω αρχείων, εκτιμήσεων αντικτύπου και τεκμηρίωσης παραβιάσεων [2].

Το διακύβευμα πίσω από αυτή τη λέξη δεν είναι αφηρημένο. Ο ΓΚΠΔ στηρίζει τη λογοδοσία με διοικητικά πρόστιμα έως 20 εκατομμύρια EUR ή έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο, για τις σοβαρότερες παραβάσεις [1]. Όμως για τις περισσότερες μικρές και μεσαίες επιχειρήσεις η πιο έντονη και πιο συχνή πίεση είναι εμπορική και όχι ρυθμιστική: η διαδικασία προμηθειών ή δέουσας επιμέλειας ενός μεγαλύτερου πελάτη ζητά το ROPA σας, τη σύμβαση ανάθεσης επεξεργασίας και την τεκμηρίωση ασφάλειάς σας προτού υπογράψει — και μια συμφωνία παγώνει την εβδομάδα που δεν μπορείτε να τα προσκομίσετε. Η τεκμηρίωση λογοδοσίας έχει γίνει αθόρυβα προϋπόθεση για τις πωλήσεις προς μεγαλύτερους οργανισμούς, και η ίδια λογική επεκτείνεται σε ασφαλιστές και συνεργάτες. Γι' αυτό οι εταιρείες συγκροτούν όλο και περισσότερο τον φάκελο προληπτικά, ως εμπορικό διαπιστευτήριο που επιτρέπει σε έναν αντισυμβαλλόμενο να τους εμπιστευτεί δεδομένα προσωπικού χαρακτήρα, αντί να περιμένουν να ρωτήσει μια ρυθμιστική αρχή.

Η λογοδοσία, λοιπόν, επαναπροσδιορίζει ολόκληρο το εγχείρημα. Το ερώτημα δεν είναι πια «συμμορφωνόμαστε;» στο αφηρημένο, αλλά «τι μπορούμε να δείξουμε, αυτή τη στιγμή, για καθετί που κάνουμε με δεδομένα προσωπικού χαρακτήρα;». Όλα όσα ακολουθούν αποτελούν απάντηση σε αυτό το ερώτημα.

Ο φάκελος τεκμηρίωσης: τι πρέπει να αποδεικνύουν οι ευρωπαϊκές εταιρείες

Δεν υπάρχει ένα ενιαίο «πιστοποιητικό ΓΚΠΔ». Αντιθέτως, η λογοδοσία αποδεικνύεται μέσα από έναν φάκελο εγγράφων, καθένα συνδεδεμένο με μια συγκεκριμένη υποχρέωση, που μαζί καλύπτουν κάθε δραστηριότητα στην οποία ο οργανισμός σας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα. Ποια στοιχεία χρειάζεστε εξαρτάται από το τι κάνετε — η αποκλειστική στήριξη σε έναν προμηθευτή απαιτεί σύμβαση ανάθεσης επεξεργασίας, η υψηλού κινδύνου επεξεργασία απαιτεί εκτίμηση αντικτύπου — αλλά η ραχοκοκαλιά είναι σταθερή για όλες τις ευρωπαϊκές εταιρείες.

Με απλά λόγια, ο φάκελος συγκροτείται δραστηριότητα προς δραστηριότητα:

  • Αρχεία των δραστηριοτήτων επεξεργασίας (ROPA), άρθρο 30. Το θεμελιώδες έγγραφο: ένα ευρετήριο κάθε δραστηριότητας επεξεργασίας — ποια δεδομένα, ποιανού, για ποιον σκοπό, σε ποια βάση, με ποιον κοινοποιούνται, για πόσο διατηρούνται, τι τα προστατεύει. Εθνικές αρχές όπως η γαλλική CNIL δημοσιεύουν πρότυπα ακριβώς επειδή αυτό είναι το εργαλείο στο οποίο ανατρέχουν πρώτα· είναι, με τα λόγια των αρχών, ένα έγγραφο με σκοπούς ευρετηρίασης και ανάλυσης που πρέπει να αντικατοπτρίζει την πραγματικότητα της επεξεργασίας σας [1][4].
  • Μια νομική βάση για κάθε δραστηριότητα, άρθρο 6 — συν εκτίμηση εννόμου συμφέροντος. Κάθε δραστηριότητα χρειάζεται μία από τις έξι νομικές βάσεις. Όπου στηρίζεστε στο έννομο συμφέρον (άρθρο 6 παράγραφος 1 στοιχείο στ)), πρέπει να τεκμηριώσετε μια τριμερή στάθμιση — σκοπός, αναγκαιότητα και η εξισορρόπηση έναντι των δικαιωμάτων του ατόμου — μια πειθαρχία που επιβεβαίωσε εκ νέου το Δικαστήριο της Ευρωπαϊκής Ένωσης στην απόφασή του του 2024 στην υπόθεση C-621/22 (KNLTB) [1][9].
  • Ενημερώσεις απορρήτου, άρθρα 13–14. Τι ενημερώνετε τα πρόσωπα των οποίων τα δεδομένα τηρείτε, ανάλογα με το αν τα συλλέξατε απευθείας από αυτά ή όχι. Η ενημέρωση πρέπει να συμφωνεί με το ROPA· μια αναντιστοιχία ανάμεσα σε αυτό που λέτε και σε αυτό που καταγράφετε είναι ακριβώς το είδος της αντίφασης που αναζητά μια αρχή [1].
  • Συμβάσεις ανάθεσης επεξεργασίας, άρθρο 28. Όποτε ένας προμηθευτής επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό σας — γραφείο μισθοδοσίας, πάροχος cloud, πλατφόρμα email — το άρθρο 28 απαιτεί μια σύμβαση με καθορισμένους όρους. Η Επιτροπή δημοσιεύει επίσημες τυποποιημένες συμβατικές ρήτρες ακριβώς γι' αυτόν τον σκοπό, πάνω στις οποίες μπορεί να βασιστεί μια συμμορφούμενη σύμβαση [1][5].
  • Εγγυήσεις διαβίβασης, κεφάλαιο V. Εάν δεδομένα προσωπικού χαρακτήρα εξέρχονται από τον Ευρωπαϊκό Οικονομικό Χώρο, χρειάζεστε έναν έγκυρο μηχανισμό διαβίβασης — μια απόφαση επάρκειας ή τις τυποποιημένες συμβατικές ρήτρες της Επιτροπής για διεθνείς διαβιβάσεις [1][6].
  • Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA), άρθρο 35. Απαιτείται όπου η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο — μεγάλης κλίμακας ειδικές κατηγορίες δεδομένων, συστηματική παρακολούθηση, εκτεταμένη κατάρτιση προφίλ. Η ευρωπαϊκή καθοδήγηση ορίζει εννέα κριτήρια και θεωρεί τα δύο ή περισσότερα ως το έναυσμα· κάθε εθνική αρχή δημοσιεύει επίσης τον δικό της κατάλογο υποχρεωτικής DPIA [1][3].
  • Διαδικασίες, όχι μόνο έγγραφα. Γύρω από τον φάκελο υπάρχουν τα λειτουργικά στοιχεία: μια διαδικασία για τον χειρισμό αιτημάτων των υποκειμένων εντός της προθεσμίας του ενός μήνα (άρθρα 12–22), μια διαδικασία για παραβιάσεις ικανή να γνωστοποιεί στην αρχή εντός 72 ωρών όπου απαιτείται (άρθρα 33–34) και μια εσωτερική πολιτική που περιγράφει τα τεχνικά και οργανωτικά μέτρα που διατηρούν τα δεδομένα ασφαλή (άρθρα 24, 32) [1].

Αυτή είναι η ανατομία. Η τέχνη είναι να τον κάνετε δικό σας — με κάθε πεδίο ιχνηλάσιμο σε κάτι αληθινό για την εταιρεία σας — αντί για έναν φάκελο με εύλογο αλλά γενικόλογο κείμενο.

Ένας κανονισμός, πολλές αρχές — η ευρωπαϊκή εικόνα

Εδώ είναι που έχει σημασία η ευρωπαϊκή οπτική, και που είναι εύκολο να σφάλει κανείς διαβάζοντας συμβουλές με βρετανικό επίκεντρο. Ο ΓΚΠΔ είναι κανονισμός, όχι οδηγία: ο Κανονισμός (ΕΕ) 2016/679 εφαρμόζεται άμεσα σε κάθε κράτος μέλος της ΕΕ και στον ευρύτερο Ευρωπαϊκό Οικονομικό Χώρο, που περιλαμβάνει τη Νορβηγία, την Ισλανδία και το Λιχτενστάιν [1][2]. Τα κρίσιμα άρθρα — λογοδοσία, νομική βάση, ROPA, DPIA, δικαιώματα των υποκειμένων — είναι πανομοιότυπο κείμενο στη Γερμανία, τη Γαλλία, την Ιταλία, την Ισπανία, την Πολωνία, τη Σλοβακία και παντού αλλού. Μια εταιρεία που δραστηριοποιείται σε ολόκληρη την Ευρώπη συγκροτεί τον πυρήνα της ΕΕ μία φορά.

Αυτό που αλλάζει είναι ένα εθνικό επίπεδο που εδράζεται πάνω σε αυτόν τον πυρήνα. Κάθε χώρα έχει τη δική της εποπτική αρχή — τη CNIL στη Γαλλία, την Garante στην Ιταλία, την AEPD στην Ισπανία, την ΑΠΔΠΧ στην Ελλάδα, την BfDI και τις αρχές των Länder στη Γερμανία, και ούτω καθεξής — και καθεμία μπορεί να εκδίδει εθνικές ιδιαιτερότητες: την ηλικία στην οποία ένα παιδί μπορεί να συναινέσει σε επιγραμμικές υπηρεσίες (που ορίζεται οπουδήποτε μεταξύ 13 και 16 ετών στην Ένωση), τους κανόνες για τα δεδομένα εργαζομένων και τον δικό της κατάλογο πράξεων που απαιτούν πάντα DPIA. Η συνέπεια μεταξύ αυτών των αρχών διασφαλίζεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και τον μηχανισμό της μίας στάσης, ώστε ο πυρήνας να μην κατακερματίζεται [8]. Για έναν φάκελο λογοδοσίας, αυτό σημαίνει ότι η δομή είναι ομοιόμορφη και η διακύμανση οριοθετημένη: αποτυπώστε τον πυρήνα της ΕΕ και έπειτα προσθέστε τις λίγες εθνικές ιδιαιτερότητες για κάθε χώρα στην οποία δραστηριοποιείστε.

Και ακριβώς γι' αυτό το ευρωπαϊκό δεν ταυτίζεται με το βρετανικό. Από το Brexit, το Ηνωμένο Βασίλειο βρίσκεται εκτός του ΓΚΠΔ της ΕΕ. Εφαρμόζει τον δικό του UK GDPR παράλληλα με τον Data Protection Act 2018, υπό την εποπτεία του ICO, και έχει αρχίσει να αποκλίνει από το κείμενο της ΕΕ μέσω εσωτερικής μεταρρύθμισης. Η Ελβετία, που ουδέποτε ανήκε στην ΕΕ, έχει τον δικό της αναθεωρημένο ομοσπονδιακό νόμο για την προστασία των δεδομένων. Επομένως, μια εταιρεία με επίκεντρο την ΕΕ θα πρέπει να αντιμετωπίζει το Ηνωμένο Βασίλειο και την Ελβετία ως χωριστά, παράλληλα καθεστώτα — διακριτές δικαιοδοσίες που τεκμηριώνονται αυτοτελώς — και όχι ως τοπικές παραλλαγές του κανονισμού της ΕΕ [2]. Μεγάλο μέρος της ευρέως διαδεδομένης καθοδήγησης για τον «GDPR» είναι στην πραγματικότητα βρετανική καθοδήγηση· για επεξεργασία με επίκεντρο την ΕΕ και τον ΕΟΧ, ο κανονισμός, οι αρχές και τα κείμενα αναφοράς που επικαλείστε είναι τα ευρωπαϊκά.

Πού γίνεται δυσκολότερη η λογοδοσία: ΤΝ και αυτοματοποιημένες αποφάσεις

Η υιοθέτηση ΤΝ δεν δημιουργεί ένα χωριστό σύμπαν συμμόρφωσης, αλλά προσθέτει βάρος στον φάκελο λογοδοσίας. Έχουν σημασία τρία σημεία. Πρώτον, η αυτοματοποιημένη λήψη αποφάσεων και η κατάρτιση προφίλ που παράγει νομικά ή παρόμοια σημαντικά αποτελέσματα στα πρόσωπα συνοδεύεται από ειδικές εγγυήσεις βάσει του άρθρου 22 — μεταξύ άλλων, σε πολλές περιπτώσεις, το δικαίωμα ανθρώπινης παρέμβασης [1]. Δεύτερον, η ΤΝ που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε μεγάλη κλίμακα, ή που καταρτίζει προφίλ ατόμων, συχνά πληροί τα κριτήρια του άρθρου 35 και έτσι ενεργοποιεί DPIA [1][3]. Τρίτον, εξακολουθείτε να χρειάζεστε μια σαφή, τεκμηριωμένη νομική βάση για κάθε εκπαίδευση ή εξαγωγή συμπερασμάτων που εκτελείται επί δεδομένων προσωπικού χαρακτήρα.

Πέραν του ΓΚΠΔ, ο κανονισμός για την ΤΝ (Κανονισμός (ΕΕ) 2024/1689) εισάγει ένα χωριστό, βάσει κινδύνου επίπεδο υποχρεώσεων για τα ίδια τα συστήματα ΤΝ [7]. Τα δύο καθεστώτα λειτουργούν παράλληλα: ο κανονισμός για την ΤΝ διέπει το σύστημα, ο ΓΚΠΔ διέπει τα δεδομένα προσωπικού χαρακτήρα που αυτό αγγίζει — και η λογοδοσία κατά τον ΓΚΠΔ ισχύει από τη στιγμή που ένα σύστημα ΤΝ επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, ανεξάρτητα από το πώς το ταξινομεί ο κανονισμός για την ΤΝ. Η πρακτική συνέπεια είναι ότι ένας οργανισμός που μεταφέρει εργασίες σε ΤΝ κληρονομεί περισσότερα να τεκμηριώσει, όχι λιγότερα. Καλύπτουμε την ευρύτερη ρυθμιστική σύγκλιση στον οδηγό μας για τη διακυβέρνηση της ΤΝ και τους κανόνες που εφαρμόζονται, και το λειτουργικό μοντέλο που διατηρεί αυτά τα αποδεικτικά στοιχεία ως υποπροϊόν της κανονικής εργασίας στην ΤΝ-εγγενή εταιρείαEN.

Η ειλικρινής επιφύλαξη: η τεκμηρίωση είναι αναγκαία, όχι επαρκής

Θα ήταν βολικό να πούμε ότι μόλις ο φάκελος υπάρξει, είστε συμμορφούμενοι. Δεν είστε — και το να προσποιείστε το αντίθετο είναι ο κλασικός τρόπος με τον οποίο αποτυγχάνει η λογοδοσία. Τρία ειλικρινή όρια. Πρώτον, τα έγγραφα πρέπει να συμφωνούν με την πραγματικότητα, και πρέπει να τα εφαρμόζετε. Μια πολιτική που περιγράφει ελέγχους πρόσβασης τους οποίους δεν επιβάλλουν τα συστήματά σας, ή ένα ROPA που παραλείπει τις κάμερες στην υποδοχή, δεν είναι ουδέτερο — είναι απόδειξη μη συμμόρφωσης. Ο φάκελος αποδεικνύει λογοδοσία μόνο εάν είναι εξειδικευμένος, εσωτερικά συνεπής και πραγματικά βιωμένος. Δεύτερον, ένας φάκελος τεκμηρίωσης δεν είναι νομική συμβουλή, ούτε πιστοποίηση. Η σύνταξη των αρχείων που απαιτεί ο νόμος είναι δομημένη συγγραφή, όχι νομική γνωμοδότηση για τη συγκεκριμένη περίπτωσή σας· και δεν υπάρχει καθεστώς «πιστοποίησης κατά τον ΓΚΠΔ» που να απονέμεται από την κατοχή καλής τεκμηρίωσης — η επίσημη οδός πιστοποίησης βάσει του άρθρου 42 είναι ένας χωριστός, διαπιστευμένος μηχανισμός. Τρίτον, ορισμένες καταστάσεις χρειάζονται έναν επαγγελματία. Μια πραγματικά σύνθετη DPIA, μια αμφισβητούμενη διασυνοριακή δομή ή μια ενεργή ρυθμιστική έρευνα δεν είναι πεδίο προτύπων· εκεί, η σωστή κίνηση είναι να απευθυνθείτε σε έναν εξειδικευμένο σύμβουλο, και μια καλή διαδικασία λογοδοσίας σάς λέει πότε.

Η κατονομασία αυτών των ορίων δεν είναι υπεκφυγή. Είναι η διαφορά ανάμεσα σε έναν φάκελο που αντέχει στον έλεγχο και σε έναν φάκελο που καταρρέει την πρώτη φορά που κάποιος τον διαβάσει προσεκτικά.

Πώς να συγκροτήσετε τον φάκελο λογοδοσίας σας

Υπάρχουν, ρεαλιστικά, τρεις τρόποι να παραχθεί ο φάκελος. Μια δικηγορική εταιρεία ή ένας σύμβουλος DPO σας προσφέρει ακρίβεια και κρίση, αλλά αργά και με κόστος που επιβαρύνει μια μικρότερη εταιρεία. Τα γενικά πρότυπα είναι γρήγορα και φθηνά, αλλά αποτυγχάνουν στο κριτήριο της εξειδίκευσης και της συνέπειας που εφαρμόζουν στην πράξη οι αρχές — και ένας αντιφατικός ή κενός φάκελος είναι χειρότερος από ένα ειλικρινές κενό. Ο τρίτος δρόμος είναι ένας τυποποιημένος, παραγόμενος φάκελος: απαντάτε σε δομημένες ερωτήσεις για την εταιρεία σας και τις δραστηριότητες επεξεργασίας της, και ένας εξατομικευμένος, εσωτερικά συνεπής φάκελος συναρμολογείται από μια βιβλιοθήκη ρητρών χτισμένη πάνω στον κανονισμό και την επίσημη καθοδήγηση — γρήγορα, όπως τα πρότυπα, αλλά εξειδικευμένα για εσάς, όπως ο δικηγόρος.

Συγκροτήστε τον φάκελο χωρίς το χρονοδιάγραμμα μιας δικηγορικής εταιρείας. Η υπηρεσία GDPR Accountability Documentation της easyAI μετατρέπει ένα σύντομο, καθοδηγούμενο ερωτηματολόγιο σχετικά με την εταιρεία σας και τον τρόπο που χειρίζεται τα δεδομένα προσωπικού χαρακτήρα σε έναν εξατομικευμένο, εσωτερικά συνεπή φάκελο λογοδοσίας — αρχεία των δραστηριοτήτων επεξεργασίας, εσωτερική πολιτική, ενημερώσεις απορρήτου, συμβάσεις ανάθεσης επεξεργασίας, εκτίμηση εννόμου συμφέροντος όπου τη χρειάζεστε και μια προκαταρκτική αξιολόγηση DPIA — που παράγεται μέσα σε ημέρες, στα αγγλικά συν την εθνική σας γλώσσα, σε κλάσμα του κόστους μιας εξατομικευμένης ανάθεσης. Πρόκειται για υποστήριξη τεκμηρίωσης, όχι για νομική συμβουλή ή πιστοποίηση, και προϋποθέτει ότι εφαρμόζετε όσα περιγράφει. Εάν το επόμενο βήμα σας είναι η ΤΝ αντί για τα χαρτιά, το AI Foundation AuditEN κατατάσσει πού αποδίδει η αυτοματοποίηση· ξεκινήστε με το δείγμα αναφοράςEN. Και τα δύο προϊόντα βρίσκονται στην πλατφόρμα easyAI στο aiprioritymap.com.

Η αλληλουχία από τη δική σας πλευρά είναι ξεκάθαρη: καταγράψτε κάθε δραστηριότητα που αγγίζει δεδομένα προσωπικού χαρακτήρα, ορίστε μια νομική βάση για καθεμία, συντάξτε τα αρχεία και τις ενημερώσεις που τις περιγράφουν, ρυθμίστε συμβατικά τους προμηθευτές, αξιολογήστε τις περιπτώσεις υψηλού κινδύνου και στήστε τις διαδικασίες για τα δικαιώματα και τις παραβιάσεις — και έπειτα διατηρήστε το σύνολο επικαιροποιημένο καθώς αλλάζει η επεξεργασία σας. Η λογοδοσία δεν είναι ένα έργο που ολοκληρώνετε· είναι μια κατάσταση που συντηρείτε. Όμως το πρώτο, δυσκολότερο 80 % — ένας πλήρης, συνεπής, εξειδικευμένος ανά εταιρεία φάκελος που μπορείτε να θέσετε ενώπιον οποιουδήποτε σας τον ζητήσει — είναι ακριβώς το μέρος που μπορεί πλέον να παραχθεί αντί να φτιαχτεί στο χέρι.

Συχνές ερωτήσεις

Σύνοψη

Λογοδοσία στον ΓΚΠΔ — αποδείξτε την, μην την δηλώνετε απλώς
│
├─ Η αρχή (άρθρο 5 παρ. 2 και άρθρο 24)
│   ├─ Η συμμόρφωση πρέπει να είναι αποδείξιμη, όχι απλώς δηλωμένη
│   ├─ Το βάρος της απόδειξης βαρύνει τον υπεύθυνο επεξεργασίας
│   └─ Οι αρχές εξετάζουν την ακρίβεια και τη συνέπεια, όχι τον όγκο
│
├─ Τι πρέπει να μπορείτε να αποδείξετε
│   ├─ Αρχεία δραστηριοτήτων επεξεργασίας — κάθε πράξη (άρθρο 30)
│   ├─ Νομική βάση + στάθμιση έννομου συμφέροντος (άρθρο 6)
│   ├─ Ενημερώσεις · συμβάσεις άρθρου 28 · διαβιβάσεις (άρθρο 13/14, 28, κεφ. V)
│   └─ DPIA όπου ο κίνδυνος είναι υψηλός · δικαιώματα + διαδικασίες παραβίασης
│
└─ Ένας κανονισμός, πολλές αρχές
    ├─ ΕΕ + ΕΟΧ μοιράζονται έναν πυρήνα — χαρτογραφήστε τον μία φορά
    ├─ Οι εθνικές αρχές προσθέτουν λεπτομέρειες — CNIL, Garante, AEPD…
    └─ Όχι το Ηνωμένο Βασίλειο — UK GDPR και ο ελβετικός νόμος είναι χωριστά

Σχετικές αναλύσεις

Επερχόμενες αναλύσεις σε αυτή τη θεματική ενότητα: πώς να συγκροτήσετε αρχεία δραστηριοτήτων επεξεργασίας, πότε και πώς να διενεργήσετε DPIA, η επιλογή νομικής βάσης, διαδικασίες για τα δικαιώματα των υποκειμένων, η σύμβαση ανάθεσης επεξεργασίας του άρθρου 28 και ο ΓΚΠΔ για την ΤΝ και τις αυτοματοποιημένες αποφάσεις.


Τελευταία ενημέρωση: Ιούνιος 2026. Έκδοση 1.0.

Frequently Asked Questions

Τι είναι η αρχή της λογοδοσίας στον ΓΚΠΔ;
Η λογοδοσία ορίζεται στο άρθρο 5 παράγραφος 2 του ΓΚΠΔ: ο υπεύθυνος επεξεργασίας φέρει την ευθύνη για τη συμμόρφωση με τις αρχές προστασίας δεδομένων και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση αυτή. Η αρχή μετατοπίζει το βάρος της απόδειξης στην εταιρεία. Δεν αρκεί να επεξεργάζεστε νόμιμα τα δεδομένα προσωπικού χαρακτήρα — πρέπει να μπορείτε να δείξετε, με τεκμηρίωση, πώς και γιατί το κάνετε. Αυτά τα αποδεικτικά στοιχεία ζητούν να δουν μια εποπτική αρχή, ένας πελάτης ή ένας αντισυμβαλλόμενος.
Ποια έγγραφα απαιτεί στην πραγματικότητα ο ΓΚΠΔ;
Ο βασικός φάκελος λογοδοσίας περιλαμβάνει αρχεία των δραστηριοτήτων επεξεργασίας (άρθρο 30), μια νομική βάση για κάθε δραστηριότητα με εκτίμηση εννόμου συμφέροντος όπου χρησιμοποιείται αυτή η βάση (άρθρο 6), ενημερώσεις απορρήτου για τα πρόσωπα των οποίων τα δεδομένα τηρείτε (άρθρα 13–14), συμβάσεις ανάθεσης επεξεργασίας με τους προμηθευτές σας (άρθρο 28) και εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων όπου η επεξεργασία ενδέχεται να είναι υψηλού κινδύνου (άρθρο 35). Γύρω από αυτά υπάρχουν διαδικασίες για τα δικαιώματα των υποκειμένων και για τη διαχείριση παραβιάσεων, καθώς και μια εσωτερική πολιτική για τα τεχνικά και οργανωτικά μέτρα.
Εφαρμόζεται ο ΓΚΠΔ με τον ίδιο τρόπο σε όλη την Ευρώπη;
Ο πυρήνας του ναι. Ο Κανονισμός (ΕΕ) 2016/679 εφαρμόζεται άμεσα σε ολόκληρη την ΕΕ και στον ευρύτερο Ευρωπαϊκό Οικονομικό Χώρο — τα ίδια άρθρα ισχύουν στη Γερμανία, τη Γαλλία, την Ιταλία, τη Σλοβακία και σε κάθε άλλο κράτος μέλος, καθώς και στη Νορβηγία, την Ισλανδία και το Λιχτενστάιν. Αυτό που διαφέρει είναι το εθνικό επίπεδο: κάθε χώρα έχει τη δική της εποπτική αρχή και ορισμένες εθνικές ιδιαιτερότητες, όπως η ηλικία στην οποία ένα παιδί μπορεί να συναινέσει σε επιγραμμικές υπηρεσίες, οι κανόνες για τα δεδομένα εργαζομένων και ο κατάλογος πράξεων που απαιτούν πάντα DPIA.
Καλύπτεται το Ηνωμένο Βασίλειο από τον ΓΚΠΔ της ΕΕ;
Όχι πλέον. Μετά το Brexit, το Ηνωμένο Βασίλειο εφαρμόζει τον δικό του UK GDPR παράλληλα με τον Data Protection Act 2018, υπό την εποπτεία του ICO, και έχει αρχίσει να αποκλίνει από το κείμενο της ΕΕ μέσω εσωτερικής μεταρρύθμισης. Ομοίως, η Ελβετία έχει τον δικό της αναθεωρημένο ομοσπονδιακό νόμο για την προστασία των δεδομένων. Έτσι, η «ευρωπαϊκή» προστασία δεδομένων δεν είναι ένα ενιαίο καθεστώς: η ΕΕ και ο ΕΟΧ μοιράζονται έναν κοινό πυρήνα, ενώ το Ηνωμένο Βασίλειο και η Ελβετία είναι χωριστά, παράλληλα συστήματα που μια εταιρεία με επίκεντρο την ΕΕ αντιμετωπίζει ως διακριτές δικαιοδοσίες.
Πρέπει οι μικρές επιχειρήσεις και οι ΜΜΕ να τηρούν αρχεία δραστηριοτήτων επεξεργασίας;
Συνήθως ναι. Το άρθρο 30 παράγραφος 5 φαίνεται να εξαιρεί οργανισμούς με λιγότερους από 250 εργαζομένους, αλλά η εξαίρεση παύει να ισχύει εάν η επεξεργασία σας δεν είναι περιστασιακή, ενδέχεται να δημιουργήσει κίνδυνο για τα πρόσωπα ή αφορά ειδικές κατηγορίες δεδομένων — κάτι που περιγράφει σχεδόν κάθε επιχείρηση που εκτελεί μισθοδοσία, τηρεί αρχεία πελατών ή χρησιμοποιεί κάμερες. Στην πράξη οι περισσότερες ΜΜΕ δεν εξαιρούνται, και οι ευρωπαϊκές αρχές συνιστούν έντονα την τήρηση ROPA έτσι κι αλλιώς, καθώς είναι το πιο χρήσιμο εργαλείο για την απόδειξη της λογοδοσίας.
Πότε χρειάζεται μια εταιρεία εκτίμηση αντικτύπου (DPIA);
Η DPIA απαιτείται βάσει του άρθρου 35 όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων — ιδίως η μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων, η συστηματική παρακολούθηση δημόσιων χώρων ή η συστηματική και εκτεταμένη κατάρτιση προφίλ με νομικά ή παρόμοια σημαντικά αποτελέσματα. Η ευρωπαϊκή καθοδήγηση ορίζει εννέα κριτήρια κινδύνου και θεωρεί ότι η πλήρωση δύο ή περισσότερων αποτελεί ισχυρή ένδειξη ότι απαιτείται DPIA. Κάθε εθνική αρχή δημοσιεύει επίσης τον δικό της κατάλογο πράξεων που απαιτούν πάντα μία.
Μπορούμε απλώς να χρησιμοποιήσουμε γενικά πρότυπα εγγράφων ΓΚΠΔ;
Τα πρότυπα μπορούν να είναι ένα σημείο εκκίνησης, αλλά αποτυγχάνουν στο κριτήριο που εφαρμόζουν στην πράξη οι αρχές: την εξειδίκευση και την εσωτερική συνέπεια. Μια πολιτική που περιγράφει μέτρα ασφάλειας τα οποία δεν διαθέτουν τα συστήματά σας, ή ένα αρχείο που παραλείπει τις κάμερες στην υποδοχή, αποτελεί απόδειξη μη συμμόρφωσης και όχι απόδειξή της. Τα έγγραφα πρέπει να περιγράφουν την πραγματική επεξεργασία του οργανισμού σας, να κατονομάζουν τα πραγματικά σας συστήματα και τους προμηθευτές σας και να μην αλληλοαναιρούνται — και στη συνέχεια πρέπει να εφαρμόζετε όσα περιγράφουν.
Αλλάζει η χρήση ΤΝ τις υποχρεώσεις μας κατά τον ΓΚΠΔ;
Αυξάνει το διακύβευμα αντί να αντικαθιστά τους κανόνες. Η αυτοματοποιημένη λήψη αποφάσεων και η κατάρτιση προφίλ συνοδεύονται από ειδικές εγγυήσεις βάσει του άρθρου 22, η ΤΝ που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε μεγάλη κλίμακα συχνά ενεργοποιεί DPIA, και εξακολουθείτε να χρειάζεστε σαφή νομική βάση για κάθε εκπαίδευση ή εξαγωγή συμπερασμάτων επί δεδομένων προσωπικού χαρακτήρα. Ο κανονισμός για την ΤΝ προσθέτει ένα χωριστό, βάσει κινδύνου επίπεδο υποχρεώσεων για τα συστήματα ΤΝ, αλλά η λογοδοσία κατά τον ΓΚΠΔ ισχύει ήδη από τη στιγμή που ένα σύστημα ΤΝ επεξεργάζεται δεδομένα προσωπικού χαρακτήρα — απλώς υπάρχουν περισσότερα να τεκμηριωθούν.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.