Πολλοί επιχειρηματίες πιστεύουν ότι τα πρόστιμα για παραβάσεις του GDPR αφορούν μόνο τις μεγάλες πολυεθνικές. Η πραγματικότητα στην Ελλάδα είναι διαφορετική: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επιβάλλει τακτικά κυρώσεις σε επιχειρήσεις κάθε μεγέθους — και συχνά για παραβάσεις που θεωρούνται «μικρές». Σε αυτό το άρθρο εξηγούμε πόσο κοστίζει πραγματικά μια παράβαση, ποιες είναι οι πιο συχνές, και πώς προστατεύετε την επιχείρησή σας.

Τι Προβλέπει ο Νόμος

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ/GDPR) προβλέπει δύο κλίμακες διοικητικών προστίμων, ανάλογα με τη σοβαρότητα της παράβασης:

  • Έως 10 εκατ. ευρώ ή 2% του παγκόσμιου ετήσιου τζίρου (όποιο είναι υψηλότερο) — για παραβάσεις υποχρεώσεων όπως η τήρηση αρχείου δραστηριοτήτων, η ασφάλεια επεξεργασίας ή ο ορισμός DPO.
  • Έως 20 εκατ. ευρώ ή 4% του παγκόσμιου ετήσιου τζίρου (όποιο είναι υψηλότερο) — για παραβάσεις των βασικών αρχών, των δικαιωμάτων των υποκειμένων και των κανόνων διαβίβασης δεδομένων εκτός ΕΕ.

Στην πράξη, τα ποσά που επιβάλλει η ΑΠΔΠΧ σε ελληνικές επιχειρήσεις είναι συνήθως πολύ χαμηλότερα από αυτά τα ανώτατα όρια — αλλά παραμένουν αρκετά υψηλά ώστε να πληγώσουν σοβαρά μια μικρομεσαία επιχείρηση. Το ύψος καθορίζεται με βάση παράγοντες όπως η σοβαρότητα, η διάρκεια, ο αριθμός των θιγόμενων ατόμων και ο βαθμός συνεργασίας με την Αρχή.

Πραγματικά Πρόστιμα της ΑΠΔΠΧ

Τα παρακάτω παραδείγματα προέρχονται από πρόσφατες αποφάσεις της Αρχής και δείχνουν πόσο ευρύ είναι το φάσμα των παραβάσεων:

  • Αποκάλυψη ευαίσθητων δεδομένων μέσω email: Η ΑΠΔΠΧ επέβαλε πρόστιμο 9.000 ευρώ σε εκδοτική επιχείρηση επειδή διέρρευσαν ευαίσθητα δεδομένα μέσω email, με ταυτόχρονη μη γνωστοποίηση της παραβίασης στην Αρχή και μη ενημέρωση του θιγόμενου.
  • Καταγραφή τηλεφωνικών κλήσεων: Πρόστιμο σε ασφαλιστική εταιρεία για άρνηση ικανοποίησης του δικαιώματος πρόσβασης σε ηχογραφημένες συνομιλίες και έλλειψη διαφάνειας.
  • Έκθεση εκτίμησης ακινήτου: Πρόστιμο 20.000 ευρώ για αποκάλυψη δεδομένων δανειολήπτη.
  • Παραβίαση δικαιώματος πρόσβασης: Ακόμη και μεγάλος τραπεζικός όμιλος δέχθηκε κυρώσεις επειδή δεν είχε κατάλληλες εσωτερικές διαδικασίες για την έγκαιρη ανταπόκριση σε αιτήματα υποκειμένων.

Το κοινό σημείο; Καμία από αυτές τις παραβάσεις δεν προϋπέθετε κακή πρόθεση. Στις περισσότερες περιπτώσεις επρόκειτο για έλλειψη διαδικασιών — όχι για κάποια εσκεμμένη ενέργεια.

Γιατί Κινδυνεύουν και οι Μικρές Επιχειρήσεις

Υπάρχει μια διαδεδομένη παρανόηση ότι ο GDPR «δεν αφορά» τις μικρές επιχειρήσεις. Στην πραγματικότητα, ο Κανονισμός ισχύει για κάθε οργανισμό που επεξεργάζεται προσωπικά δεδομένα — ανεξάρτητα από μέγεθος. Μια μικρή επιχείρηση που τηρεί πελατολόγιο, στέλνει newsletter, έχει κάμερες ασφαλείας ή απασχολεί προσωπικό, επεξεργάζεται προσωπικά δεδομένα και υπόκειται στις ίδιες υποχρεώσεις.

Πρακτικό σημείωμα: Οι παραβάσεις δεν αφορούν μόνο τις «μεγάλες» περιπτώσεις. Αφορούν και ένα μη ασφαλισμένο email list, μια κάμερα χωρίς σήμανση, ή μια φόρμα επικοινωνίας χωρίς δήλωση συγκατάθεσης. Αυτές είναι ακριβώς οι περιπτώσεις που οδηγούν σε καταγγελίες.

Οι Πιο Συχνές Παραβάσεις που Οδηγούν σε Πρόστιμο

Με βάση τις αποφάσεις της ΑΠΔΠΧ, οι συχνότερες αιτίες κυρώσεων για ΜμΕ είναι:

  • Επεξεργασία δεδομένων χωρίς νόμιμη βάση (π.χ. αποστολή marketing χωρίς συγκατάθεση).
  • Ελλιπής ενημέρωση των υποκειμένων για το πώς χρησιμοποιούνται τα δεδομένα τους.
  • Μη ικανοποίηση δικαιωμάτων (π.χ. άρνηση ή καθυστέρηση σε αίτημα πρόσβασης ή διαγραφής).
  • Μη γνωστοποίηση παραβίασης εντός της προθεσμίας των 72 ωρών.
  • Ανεπαρκή μέτρα ασφαλείας που οδηγούν σε διαρροή δεδομένων.
  • Παράνομη χρήση συστημάτων βιντεοεπιτήρησης χωρίς σωστή σήμανση.

Πώς Προστατεύεστε

Η καλή είδηση είναι ότι η συμμόρφωση δεν απαιτεί τεράστιους πόρους — απαιτεί μέθοδο. Ένα βασικό checklist για να ξεκινήσετε:

  • Καταγράψτε ποια προσωπικά δεδομένα συλλέγετε και γιατί (Αρχείο Δραστηριοτήτων).
  • Βεβαιωθείτε ότι έχετε νόμιμη βάση για κάθε επεξεργασία.
  • Ενημερώστε σωστά τους πελάτες και τους εργαζομένους σας.
  • Θεσπίστε διαδικασία για τη διαχείριση αιτημάτων υποκειμένων.
  • Προετοιμάστε ένα σχέδιο αντιμετώπισης περιστατικών (τι κάνετε στις πρώτες 72 ώρες).
  • Ελέγξτε τα τεχνικά σας μέτρα ασφαλείας.

Αν δεν είστε σίγουροι πού βρίσκεται η επιχείρησή σας, το πρώτο βήμα είναι ένας έλεγχος συμμόρφωσης που εντοπίζει τα κενά και τα ιεραρχεί κατά κίνδυνο. Έτσι ξέρετε ακριβώς τι πρέπει να διορθώσετε — και με ποια σειρά.

Συμπέρασμα

Τα πρόστιμα GDPR στην Ελλάδα δεν είναι θεωρητικός κίνδυνος — είναι μια πραγματικότητα που αγγίζει επιχειρήσεις κάθε μεγέθους. Όμως η συμμόρφωση είναι απολύτως εφικτή με τη σωστή καθοδήγηση. Στη Mydatum βοηθάμε ελληνικές μικρομεσαίες επιχειρήσεις να συμμορφωθούν πρακτικά, χωρίς νομικίστικα και χωρίς υπερβολές.

Θέλετε να μάθετε πού βρίσκεται η επιχείρησή σας; Επικοινωνήστε μαζί μας για μια δωρεάν αξιολόγηση συμμόρφωσης — χωρίς δεσμεύσεις.

Έχετε ερωτήσεις για το θέμα του άρθρου; Η ομάδα της Mydatum είναι εδώ για μια δωρεάν, χωρίς δεσμεύσεις συζήτηση.
ΕΠΙΚΟΙΝΩΝΙΑ ›