Νόμοι Προστασίας Δεδομένων στην Ελλάδα: Οδηγός GDPR, Νόμου 4624/2019 και HDPA (2026)

Η Ελλάδα προστατεύει τα δεδομένα προσωπικού χαρακτήρα βάσει του GDPR, ο οποίος συμπληρώνεται από τον Νόμο 4624/2019 σε ισχύ από τις 28 Αυγούστου 2019, ο οποίος ορίζει ηλικία ψηφιακής συναίνεσης στα 15 έτη και συστήνει την Ελληνική Αρχή Προστασίας Δεδομένων. Η συνταγματική προστασία απορρέει από το άρθρο 9Α του Συντάγματος, το οποίο προστέθηκε το 2001.
Η Ελλάδα κατέχει ιδιαίτερη θέση στην ευρωπαϊκή προστασία δεδομένων. Υπήρξε ένα από τα τελευταία κράτη μέλη της ΕΕ που ολοκλήρωσε τη νομοθεσία εφαρμογής του GDPR, ωστόσο η εποπτική της αρχή έχει οικοδομήσει ένα από τα πιο ενεργά ιστορικά επιβολής στην περιοχή. Το ιστορικό της Ελληνικής Αρχής Προστασίας Δεδομένων καλύπτει τη συμμόρφωση σε θέματα CCTV, τη βιομετρική παρακολούθηση, τις παραβιάσεις τηλεπικοινωνιών και το άμεσο μάρκετινγκ. Το πρωτοφανές πρόστιμο των 20 εκατομμυρίων ευρώ κατά της Clearview AI παραμένει ορόσημο στην ιστορία της ευρωπαϊκής επιβολής.
Ταυτόχρονα, το σκάνδαλο του κατασκοπευτικού λογισμικού Predator αποκάλυψε μια βαθιά ένταση στο τοπίο της ιδιωτικότητας της χώρας: ενώ οι νομικοί κανόνες είναι τυπικά ισχυροί, η πολιτική βούληση επιβολής τους έναντι παρακολουθήσεων συνδεδεμένων με το κράτος έχει δοκιμαστεί σοβαρά. Η κατανόηση του συστήματος προστασίας δεδομένων της Ελλάδας προϋποθέτει την κατανόηση τόσο του στιβαρού τυπικού πλαισίου όσο και των πραγματικών πιέσεων διακυβέρνησης που διαμορφώνουν τη λειτουργία του.
Σύντομη Απάντηση: Η Προστασία Δεδομένων στην Ελλάδα με μια Ματιά
Το καθεστώς προστασίας δεδομένων της Ελλάδας στηρίζεται σε τρεις πυλώνες. Πρώτον, ο GDPR εφαρμόζεται άμεσα ως δίκαιο της ΕΕ σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στην Ελλάδα. Δεύτερον, ο Νόμος 4624/2019 συμπληρώνει τον GDPR με εθνικές διατάξεις, ενσωματώνει την Οδηγία για την Επιβολή του Νόμου όσον αφορά την επεξεργασία στο πλαίσιο της ποινικής δικαιοσύνης, και καθορίζει την οργανωτική δομή της HDPA. Τρίτον, το άρθρο 9Α του Συντάγματος παρέχει ρητό συνταγματικό δικαίωμα στην προστασία δεδομένων και επιβάλλει τη λειτουργία ανεξάρτητης εποπτικής αρχής.
Για τους περισσότερους οργανισμούς, οι πρακτικές υποχρεώσεις είναι υποχρεώσεις του GDPR. Ο Νόμος 4624/2019 έχει σημασία κυρίως για τις εθνικές του προσαρμογές: την ηλικία ψηφιακής συναίνεσης (καθορισμένη στα 15 έτη), τις ποινικές κυρώσεις για αδικήματα προστασίας δεδομένων, τους ειδικούς κανόνες επεξεργασίας στον δημόσιο τομέα, και ορισμένες τομεακές διατάξεις.
Η HDPA επιβάλλει το σύνολο αυτού του πλαισίου. Διερευνά καταγγελίες, διενεργεί ελέγχους, εκδίδει κατευθυντήριες γραμμές και επιβάλλει διοικητικά πρόστιμα. Για διασυνοριακές υποθέσεις που αφορούν περισσότερα κράτη μέλη της ΕΕ, η HDPA συμμετέχει στον μηχανισμό ενιαίου σημείου επαφής (one-stop-shop) του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB).
Συνταγματική Βάση: Άρθρο 9Α
Η Ελλάδα είναι ένα από τα λίγα κράτη μέλη της ΕΕ που παρέχουν ρητή συνταγματική αναγνώριση στην προστασία δεδομένων. Η συνταγματική αναθεώρηση του 2001 πρόσθεσε το άρθρο 9Α, το οποίο ορίζει ότι «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει».

Η ίδια διάταξη ορίζει ότι «η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει». Η διατύπωση αυτή προσδίδει στην HDPA συνταγματικό, και όχι απλώς νομοθετικό, καθεστώς. Η ανεξαρτησία της προστατεύεται σε επίπεδο θεμελιώδους νόμου, καθιστώντας δομικά δυσκολότερη οποιαδήποτε κυβερνητική παρέμβαση ή κατάργηση της αρχής μέσω κοινής νομοθεσίας.
Το άρθρο 9 του Συντάγματος προστατεύει περαιτέρω το απαραβίαστο της ιδιωτικής και οικογενειακής ζωής, ενώ το άρθρο 19 προστατεύει το απόρρητο της αλληλογραφίας και των επικοινωνιών. Το άρθρο 19 παράγραφος 3 περιέχει ρητό κανόνα αποκλεισμού αποδεικτικών μέσων: αποδεικτικά στοιχεία που αποκτήθηκαν κατά παράβαση των άρθρων 9Α ή 19 δεν μπορούν να χρησιμοποιηθούν σε δικαστικές διαδικασίες. Αυτό σημαίνει ότι δεδομένα προσωπικού χαρακτήρα που αποκτήθηκαν αντισυνταγματικά είναι απαράδεκτα ενώπιον των ελληνικών δικαστηρίων.
GDPR και Νόμος 4624/2019: Το Νομικό Πλαίσιο
Ο GDPR εφαρμόζεται άμεσα στην Ελλάδα από τις 25 Μαΐου 2018. Αποτελεί την κύρια πηγή υποχρεώσεων προστασίας δεδομένων για οργανισμούς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στην Ελλάδα. Ο Νόμος 4624/2019 τέθηκε σε ισχύ στις 28 Αυγούστου 2019 και ασκεί τις εθνικές διακριτικές ευχέρειες που ο GDPR επιτρέπει στα κράτη μέλη.
Πριν από τον Νόμο 4624/2019, η Ελλάδα λειτουργούσε βάσει του Νόμου 2472/1997, ο οποίος ενσωμάτωνε την Οδηγία της ΕΕ για την Προστασία Δεδομένων του 1995. Ο νόμος αυτός καταργήθηκε σε μεγάλο βαθμό, αν και ορισμένες διατάξεις παραμένουν σε ισχύ στον βαθμό που δεν αντιβαίνουν στον GDPR.
Τι Προσθέτει ο Νόμος 4624/2019
Ο εθνικός νόμος κάνει επιλογές σε αρκετούς τομείς όπου ο GDPR παρέχει διακριτική ευχέρεια στα κράτη μέλη:
Ηλικία ψηφιακής συναίνεσης. Η Ελλάδα όρισε το όριο στα 15 έτη. Παιδιά ηλικίας 15 ετών και άνω μπορούν να συναινέσουν αυτοτελώς σε υπηρεσίες της κοινωνίας της πληροφορίας, όπως πλατφόρμες κοινωνικής δικτύωσης. Για παιδιά κάτω των 15 ετών απαιτείται επαληθεύσιμη γονική έγκριση. Αυτό τοποθετεί την Ελλάδα στη μεσαία ζώνη μεταξύ των κρατών μελών της ΕΕ.
Ποινικές κυρώσεις. Τα άρθρα 38 έως 45 του Νόμου 4624/2019 θεσπίζουν ποινική ευθύνη για παραβιάσεις προστασίας δεδομένων. Η παράνομη επεξεργασία μπορεί να επισύρει φυλάκιση έως ένα έτος και χρηματικές ποινές. Παραβιάσεις που αφορούν ευαίσθητες κατηγορίες δεδομένων, ή που διαπράττονται από πρόσωπα με επαγγελματική πρόσβαση σε δεδομένα, αντιμετωπίζουν αυστηρότερες κυρώσεις έως δύο έτη φυλάκισης και υψηλότερα πρόστιμα. Αυτό το ποινικό επίπεδο συμπληρώνει το καθεστώς διοικητικών προστίμων του GDPR.
Επεξεργασία στον δημόσιο τομέα. Ο νόμος περιλαμβάνει λεπτομερείς διατάξεις για την επεξεργασία από αρχές ποινικής δικαιοσύνης, ενσωματώνοντας την Οδηγία (ΕΕ) 2016/680. Δημόσιοι φορείς που επεξεργάζονται δεδομένα για σκοπούς επιβολής του νόμου ή εθνικής ασφάλειας λειτουργούν βάσει αυτών των διατάξεων και όχι βάσει του κύριου καθεστώτος του GDPR.
Αυτοματοποιημένες ατομικές αποφάσεις. Το άρθρο 52 του Νόμου 4624/2019 ενισχύει το άρθρο 22 του GDPR απαγορεύοντας αυτοματοποιημένες αποφάσεις που παράγουν δυσμενή έννομα ή παρόμοια σημαντικά αποτελέσματα για τα φυσικά πρόσωπα, εκτός εάν υπάρχει ρητή νομοθετική εξουσιοδότηση σε συνδυασμό με κατάλληλες εγγυήσεις. Η διάταξη αυτή είναι ιδιαίτερα σημαντική για τη λήψη αποφάσεων με τεχνητή νοημοσύνη από δημόσιες αρχές.
Πρόσθετος κανόνας γνωστοποίησης παραβίασης. Το άρθρο 33 παράγραφος 5 του εθνικού νόμου ορίζει ότι η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στα θιγόμενα υποκείμενα δεν απαιτείται όταν αυτή θα προϋπέθετε την αποκάλυψη πληροφοριών που πρέπει να παραμείνουν εμπιστευτικές βάσει νόμου ή λόγω της φύσης τους, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερισχύουν αυτής της εμπιστευτικότητας.
Η Ελληνική Αρχή Προστασίας Δεδομένων (HDPA)
Η HDPA είναι η ανεξάρτητη εποπτική αρχή της Ελλάδας για την προστασία δεδομένων. Συστάθηκε βάσει του άρθρου 9Α του Συντάγματος και οργανώνεται από τον Νόμο 4624/2019. Η αρχή βρίσκεται εκτός της κυβερνητικής ιεραρχίας και δεν μπορεί να λαμβάνει οδηγίες από κανέναν κρατικό φορέα.
Η HDPA αποτελείται από έναν Πρόεδρο και έξι μέλη, που διορίζονται για ανανεώσιμη τετραετή θητεία. Ο Πρόεδρος πρέπει να είναι ανώτατος δικαστικός λειτουργός ή καθηγητής νομικής. Τα μέλη διορίζονται από την ελληνική Βουλή. Η αρχή εδρεύει στην Αθήνα.
Αρμοδιότητες της HDPA
Η HDPA διαθέτει το πλήρες φάσμα των διερευνητικών, διορθωτικών και συμβουλευτικών αρμοδιοτήτων που προβλέπονται στο άρθρο 58 του GDPR. Οι διερευνητικές αρμοδιότητες περιλαμβάνουν το δικαίωμα διενέργειας ελέγχων (συμπεριλαμβανομένων εξ αποστάσεως ελέγχων ιστοσελίδων), πρόσβασης σε εγκαταστάσεις, απόκτησης δεδομένων και υποχρέωσης υπευθύνων και εκτελούντων την επεξεργασία να παρέχουν πληροφορίες. Οι διορθωτικές αρμοδιότητες περιλαμβάνουν την έκδοση προειδοποιήσεων, επιπλήξεων, εντολών συμμόρφωσης, απαγορεύσεων επεξεργασίας και διοικητικών προστίμων. Οι συμβουλευτικές αρμοδιότητες περιλαμβάνουν την παροχή γνωμοδοτήσεων επί νομοσχεδίων και την έγκριση Δεσμευτικών Εταιρικών Κανόνων.
Η HDPA διαθέτει επίσης αρμοδιότητα βάσει της ελληνικής ενσωμάτωσης της Οδηγίας για το Ηλεκτρονικό Απόρρητο (Νόμος 3471/2006), η οποία της παρέχει δικαιοδοσία επί της συμμόρφωσης με τα cookies και το ηλεκτρονικό μάρκετινγκ, επιπλέον της επιβολής του GDPR.
Ένα πρακτικό σημείο σχετικά με τη γλώσσα: η HDPA αναμένει ότι οι DPO που δεν ομιλούν ελληνικά θα υποστηρίζονται από τοπικό σύνδεσμο επικοινωνίας που ομιλεί ελληνικά. Η προσδοκία αυτή έχει διατυπωθεί ανεπίσημα, όμως επηρεάζει τον τρόπο με τον οποίο η αρχή χειρίζεται την αλληλογραφία και τις διαδικασίες.
Νομικές Βάσεις και Συναίνεση
Κάθε πράξη επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ελλάδα απαιτεί νόμιμη βάση βάσει του άρθρου 6 του GDPR. Οι έξι διαθέσιμες βάσεις είναι: (1) η συναίνεση του υποκειμένου των δεδομένων· (2) η εκτέλεση σύμβασης· (3) η συμμόρφωση με έννομη υποχρέωση· (4) η προστασία ζωτικών συμφερόντων· (5) η εκτέλεση καθήκοντος δημοσίου συμφέροντος· και (6) τα έννομα συμφέροντα του υπευθύνου επεξεργασίας ή τρίτου, εκτός εάν υπερισχύουν τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.
Για ευαίσθητα δεδομένα (ειδικών κατηγοριών) βάσει του άρθρου 9 του GDPR, οι διαθέσιμες βάσεις περιορίζονται σημαντικά. Η επεξεργασία απαιτεί μία από τις εξαιρέσεις που απαριθμούνται στο άρθρο 9 παράγραφος 2: ρητή συναίνεση, αναγκαιότητα για σκοπούς εργατικού δικαίου, προστασία ζωτικών συμφερόντων, επεξεργασία από μη κερδοσκοπικούς φορείς για τα μέλη τους, δεδομένα που έχουν καταστεί προδήλως δημόσια από το υποκείμενο των δεδομένων, νομικές αξιώσεις, ουσιώδες δημόσιο συμφέρον, προληπτική ιατρική ή ιατρική της εργασίας, δημόσια υγεία, ή αρχειοθέτηση, έρευνα και στατιστικές για λόγους δημοσίου συμφέροντος.
Απαιτήσεις Συναίνεσης
Η συναίνεση στην Ελλάδα πρέπει να πληροί το πρότυπο του GDPR: να είναι ελεύθερη, συγκεκριμένη, εν επιγνώσει και ξεκάθαρη. Προσυμπληρωμένα πεδία, σιωπή και δέσμια συναίνεση δεν πληρούν τις προϋποθέσεις. Η συναίνεση για μη απαραίτητα cookies απαιτεί το ίδιο πρότυπο με τη συναίνεση για κάθε άλλη επεξεργασία.
Για υπηρεσίες που απευθύνονται σε παιδιά, οι υπεύθυνοι επεξεργασίας πρέπει να καταβάλλουν εύλογες προσπάθειες για να επαληθεύσουν ότι έχει δοθεί γονική έγκριση για χρήστες κάτω των 15 ετών. Ο GDPR δεν καθορίζει μεθόδους επαλήθευσης, αφήνοντας τους υπευθύνους επεξεργασίας να εφαρμόσουν τεχνικά μέτρα κατάλληλα για την ηλικία.
Η συναίνεση μπορεί να ανακληθεί ανά πάσα στιγμή, και η ανάκληση πρέπει να είναι εξίσου εύκολη με την παροχή της συναίνεσης. Η ανάκληση δεν επηρεάζει τη νομιμότητα της επεξεργασίας που πραγματοποιήθηκε πριν από την ανάκληση.
Δικαιώματα Υποκειμένων Δεδομένων
Τα υποκείμενα δεδομένων στην Ελλάδα διαθέτουν το πλήρες σύνολο δικαιωμάτων βάσει του GDPR:
Δικαίωμα πρόσβασης (άρθρο 15). Τα υποκείμενα δεδομένων μπορούν να ζητήσουν επιβεβαίωση για το αν τα δεδομένα τους υφίστανται επεξεργασία και, εάν ναι, να λάβουν αντίγραφο μαζί με πληροφορίες σχετικά με τους σκοπούς, τις κατηγορίες δεδομένων, τους αποδέκτες, τις περιόδους διατήρησης και την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων. Η HDPA έχει επιβάλει ενεργά αυτό το δικαίωμα: η Απόφαση 1/2025 επέβαλε πρόστιμο 200.000 ευρώ σε τράπεζα για συστηματικές παραλείψεις στην απάντηση αιτημάτων πρόσβασης.
Δικαίωμα διόρθωσης (άρθρο 16). Τα υποκείμενα δεδομένων μπορούν να απαιτήσουν τη διόρθωση ανακριβών ή ελλιπών δεδομένων.
Δικαίωμα διαγραφής / δικαίωμα στη λήθη (άρθρο 17). Τα υποκείμενα δεδομένων μπορούν να ζητήσουν διαγραφή όταν τα δεδομένα δεν είναι πλέον απαραίτητα για τον αρχικό τους σκοπό, όταν η συναίνεση έχει ανακληθεί χωρίς άλλη νομική βάση, όταν έχει γίνει δεκτή αντίρρηση σε επεξεργασία βάσει έννομου συμφέροντος, όταν τα δεδομένα έχουν υποστεί παράνομη επεξεργασία, ή όταν η διαγραφή απαιτείται από τον νόμο. Στην Απόφαση 54/2024, η HDPA εξέδωσε εντολή επιβολής που απαιτούσε από τη Google να αφαιρέσει αποτελέσματα αναζήτησης που παρέπεμπαν σε δεδομένα προσωπικού χαρακτήρα ενός ατόμου.
Δικαίωμα περιορισμού (άρθρο 18). Τα υποκείμενα δεδομένων μπορούν να περιορίσουν την επεξεργασία μόνο σε αποθήκευση, ενόσω αμφισβητούν την ακρίβεια των δεδομένων, ασκούν νομικές αξιώσεις, ή εκκρεμεί το αποτέλεσμα στάθμισης έννομου συμφέροντος.
Δικαίωμα φορητότητας δεδομένων (άρθρο 20). Όπου η επεξεργασία βασίζεται σε συναίνεση ή σύμβαση και διενεργείται με αυτοματοποιημένα μέσα, τα υποκείμενα δεδομένων μπορούν να λάβουν τα δεδομένα τους σε δομημένη, ευρέως χρησιμοποιούμενη και αναγνώσιμη από μηχανή μορφή και να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας.
Δικαίωμα εναντίωσης (άρθρο 21). Τα υποκείμενα δεδομένων μπορούν να εναντιωθούν σε επεξεργασία που βασίζεται σε έννομο συμφέρον (συμπεριλαμβανομένης της κατάρτισης προφίλ) και σε άμεσο μάρκετινγκ. Οι εναντιώσεις σε άμεσο μάρκετινγκ πρέπει να γίνονται δεκτές άνευ όρων. Άλλες εναντιώσεις απαιτούν από τον υπεύθυνο επεξεργασίας να αποδείξει επιτακτικούς και νόμιμους λόγους για τη συνέχιση της επεξεργασίας.
Δικαιώματα σχετικά με αυτοματοποιημένες αποφάσεις (άρθρο 22). Τα υποκείμενα δεδομένων μπορούν να αρνηθούν να υποβληθούν σε αποκλειστικά αυτοματοποιημένες αποφάσεις που παράγουν έννομα ή παρόμοια σημαντικά αποτελέσματα. Το άρθρο 52 του Νόμου 4624/2019 επιβάλλει πρόσθετες εθνικές εγγυήσεις για αυτοματοποιημένες αποφάσεις που λαμβάνονται από δημόσιους φορείς.
Δικαίωμα ανάκλησης συναίνεσης. Τα υποκείμενα δεδομένων μπορούν να ανακαλέσουν τη συναίνεσή τους ανά πάσα στιγμή. Η άσκηση αυτού του δικαιώματος δεν επηρεάζει τη νομιμότητα προγενέστερης επεξεργασίας.
Οι υπεύθυνοι επεξεργασίας πρέπει να απαντούν σε αιτήματα εντός ενός μηνός. Σε περίπλοκες περιπτώσεις, η προθεσμία μπορεί να παραταθεί κατά δύο επιπλέον μήνες, όμως το υποκείμενο των δεδομένων πρέπει να ενημερωθεί για την παράταση εντός του πρώτου μηνός. Η HDPA έχει επιδείξει προθυμία να επιβάλλει σημαντικά πρόστιμα για συστηματικές καθυστερήσεις στην απάντηση αιτημάτων πρόσβασης.
Γνωστοποίηση Παραβίασης Δεδομένων
Η Ελλάδα ακολουθεί το τυπικό πλαίσιο γνωστοποίησης παραβιάσεων του GDPR. Οι υπεύθυνοι επεξεργασίας πρέπει να γνωστοποιούν στην HDPA εντός 72 ωρών από τη στιγμή που λαμβάνουν γνώση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η HDPA δέχεται γνωστοποιήσεις παραβιάσεων μέσω της επίσημης ιστοσελίδας της.
Η γνωστοποίηση πρέπει να περιλαμβάνει: τη φύση της παραβίασης, τις κατηγορίες και τον κατά προσέγγιση αριθμό των θιγόμενων υποκειμένων δεδομένων και εγγραφών, το όνομα και τα στοιχεία επικοινωνίας του DPO ή άλλου σημείου επαφής, τις πιθανές συνέπειες της παραβίασης, και τα μέτρα που έχουν ληφθεί ή προτείνονται για την αντιμετώπισή της.
Εάν δεν είναι δυνατή η τήρηση της προθεσμίας των 72 ωρών, μπορεί να υποβληθεί μερική γνωστοποίηση με εξήγηση της καθυστέρησης. Οι υπόλοιπες πληροφορίες μπορούν να παρέχονται σταδιακά καθώς καθίστανται διαθέσιμες.
Όταν μια παραβίαση ενδέχεται να προκαλέσει υψηλό κίνδυνο για τα θιγόμενα φυσικά πρόσωπα, ο υπεύθυνος επεξεργασίας πρέπει επίσης να ενημερώσει τα πρόσωπα αυτά χωρίς αδικαιολόγητη καθυστέρηση. Το ελληνικό δίκαιο προσθέτει μια στενή εξαίρεση: η ενημέρωση των υποκειμένων δεδομένων δεν απαιτείται όταν θα προϋπέθετε την αποκάλυψη πληροφοριών που πρέπει να παραμείνουν εμπιστευτικές βάσει νόμου ή λόγω της φύσης τους, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερισχύουν.
Οι εκτελούντες την επεξεργασία πρέπει να ενημερώνουν αμέσως τον υπεύθυνο επεξεργασίας μόλις λάβουν γνώση παραβίασης. Ο υπεύθυνος επεξεργασίας εκτιμά στη συνέχεια τον κίνδυνο και καθορίζει αν απαιτείται γνωστοποίηση στην εποπτική αρχή.
Απαιτήσεις για τον Υπεύθυνο Προστασίας Δεδομένων (DPO)
Ο ορισμός DPO είναι υποχρεωτικός στην Ελλάδα για τρεις κατηγορίες οργανισμών:
- Δημόσιες αρχές και φορείς (με εξαίρεση τα δικαστήρια κατά την άσκηση της δικαιοδοτικής τους λειτουργίας).
- Οργανισμοί των οποίων οι βασικές δραστηριότητες συνεπάγονται τακτική και συστηματική παρακολούθηση υποκειμένων δεδομένων σε μεγάλη κλίμακα.
- Οργανισμοί των οποίων οι βασικές δραστηριότητες συνεπάγονται επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων ποινικού μητρώου σε μεγάλη κλίμακα.
Ο εθελοντικός ορισμός DPO ενθαρρύνεται και, εφόσον πραγματοποιηθεί, ενεργοποιεί τις ίδιες νομικές υποχρεώσεις με τον υποχρεωτικό ορισμό. Ο DPO πρέπει να διαθέτει εξειδικευμένη γνώση του δικαίου και της πρακτικής προστασίας δεδομένων, επαρκή για την εκπλήρωση των καθηκόντων που ορίζει το άρθρο 39 του GDPR.
Οι βασικές υποχρεώσεις του DPO περιλαμβάνουν την ενημέρωση και συμβουλευτική υποστήριξη του υπευθύνου επεξεργασίας, την παρακολούθηση της συμμόρφωσης, τη συμβουλευτική υποστήριξη σχετικά με τις Εκτιμήσεις Αντικτύπου στην Προστασία Δεδομένων (DPIA), τη συνεργασία με την HDPA, και τη λειτουργία ως κύριο σημείο επαφής με την HDPA. Ο DPO δεν μπορεί να απολυθεί ή να τιμωρηθεί για την άσκηση αυτών των καθηκόντων και αναφέρεται στο ανώτατο επίπεδο διοίκησης.
Τα στοιχεία επικοινωνίας του DPO πρέπει να καταχωρίζονται στην HDPA μέσω της διαδικτυακής της πύλης ή με ηλεκτρονικό ταχυδρομείο. Για DPO που δεν ομιλούν ελληνικά, η HDPA αναμένει τον ορισμό τοπικού συνδέσμου επικοινωνίας που ομιλεί ελληνικά, για τη διευκόλυνση της επικοινωνίας με την αρχή.
Ηλεκτρονικό Απόρρητο και Cookies: Νόμος 3471/2006

Οι κανόνες ηλεκτρονικού απορρήτου της Ελλάδας απορρέουν από τον Νόμο 3471/2006, ο οποίος ενσωματώνει την Οδηγία της ΕΕ για το Ηλεκτρονικό Απόρρητο (2002/58/ΕΚ), όπως τροποποιήθηκε από την Οδηγία 2009/136/ΕΚ (την «Οδηγία για τα Cookies»). Ο Νόμος 4070/2012 επικαιροποίησε το πλαίσιο για να ενσωματώσει τις τροποποιήσεις του 2009.
Συναίνεση για Cookies
Βάσει του Νόμου 3471/2006, τα cookies και παρόμοιες τεχνολογίες παρακολούθησης μπορούν να εγκατασταθούν στη συσκευή ενός χρήστη μόνο κατόπιν προηγούμενης εν επιγνώσει συναίνεσης, με εξαίρεση τα τεχνικά απαραίτητα cookies. Η συναίνεση πρέπει να πληροί το πλήρες πρότυπο του GDPR: να είναι ελεύθερη, συγκεκριμένη, εν επιγνώσει, και να λαμβάνεται πριν από την έναρξη οποιασδήποτε μη απαραίτητης παρακολούθησης.
Τα απολύτως απαραίτητα cookies εξαιρούνται. Αυτά περιλαμβάνουν cookies ταυτοποίησης συνεδρίας, cookies εξισορρόπησης φόρτου, cookies αποθήκευσης προτιμήσεων χρήστη, και cookies ασφαλείας απαραίτητα για την υπηρεσία που έχει ζητήσει ενεργά ο χρήστης. Όλα τα άλλα cookies, συμπεριλαμβανομένων των cookies αναλυτικών στοιχείων, διαφήμισης, στόχευσης και παρακολούθησης μέσων κοινωνικής δικτύωσης, απαιτούν ρητή συγκατάθεση (opt-in).
Προσυμπληρωμένα πεδία, η συνέχιση της περιήγησης και η συναγόμενη αποδοχή δεν συνιστούν έγκυρη συναίνεση. Οι Συστάσεις 1/2020 και 2/2020 της HDPA καθορίζουν αποδεκτούς μηχανισμούς συναίνεσης και απαιτούν οι ειδοποιήσεις απορρήτου να είναι ορατές από όλα τα σημεία εισόδου σε μια ιστοσελίδα.
Η HDPA διενεργεί εξ αποστάσεως ελέγχους ιστοσελίδων για τη συμμόρφωση με τα cookies και έχει επισημάνει ότι σχεδιάζονται επίσημες ενέργειες επιβολής για ιστοσελίδες που παραμένουν μη συμμορφούμενες.
Άμεσο Ηλεκτρονικό Μάρκετινγκ
Ο Νόμος 3471/2006 διέπει επίσης τις ηλεκτρονικές επικοινωνίες μάρκετινγκ. Το ανεπίκλητο μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου, SMS ή αυτοματοποιημένου συστήματος κλήσεων απαγορεύεται χωρίς προηγούμενη συναίνεση, με μία εξαίρεση: οι εταιρείες μπορούν να αποστέλλουν διαφημιστικό υλικό σε υφιστάμενους πελάτες για παρόμοια προϊόντα ή υπηρεσίες, υπό την προϋπόθεση ότι στον πελάτη παρασχέθηκε εύκολη και δωρεάν δυνατότητα εξαίρεσης κατά τη συλλογή των στοιχείων και σε κάθε επόμενη επικοινωνία.
Για το τηλεφωνικό μάρκετινγκ, οι καλούντες πρέπει να ελέγχουν το μητρώο εξαίρεσης τουλάχιστον 30 ημέρες πριν επικοινωνήσουν με οποιοδήποτε πρόσωπο, να ταυτοποιούν τον υπεύθυνο και τον εκτελούντα την επεξεργασία στην αρχή της κλήσης, και να εξηγούν τα δικαιώματα του υποκειμένου των δεδομένων κατά τη διάρκεια της κλήσης.
Η HDPA έχει επιβάλει ενεργά αυτούς τους κανόνες. Η Απόφαση 8/2025 επέβαλε πρόστιμο 45.000 ευρώ σε γραφείο γνωριμιών για 15 παραβιάσεις του άρθρου 11 του Νόμου 3471/2006 λόγω ανεπίκλητου μάρκετινγκ μέσω SMS. Η Απόφαση 44/2025 επέβαλε πρόστιμο 80.000 ευρώ σε πάροχο ενέργειας για ανεπίκλητες προωθητικές κλήσεις.
Διασυνοριακές Διαβιβάσεις Δεδομένων
Η Ελλάδα εφαρμόζει το τυπικό πλαίσιο του GDPR για διεθνείς διαβιβάσεις. Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου απαιτούν έναν από τους τρεις ακόλουθους μηχανισμούς:
Αποφάσεις επάρκειας. Η Ευρωπαϊκή Επιτροπή έχει αναγνωρίσει έναν αριθμό τρίτων χωρών ως παρέχουσες επαρκές επίπεδο προστασίας δεδομένων. Οι διαβιβάσεις προς αυτές τις χώρες δεν απαιτούν πρόσθετες εγγυήσεις πέραν της κανονικής συμμόρφωσης με τον GDPR.
Κατάλληλες εγγυήσεις. Όπου δεν υπάρχει απόφαση επάρκειας, οι διαβιβάσεις μπορούν να πραγματοποιηθούν με κατάλληλες εγγυήσεις, συνηθέστερα Τυποποιημένες Συμβατικές Ρήτρες (SCCs), οι οποίες επικαιροποιήθηκαν από την Ευρωπαϊκή Επιτροπή το 2021. Άλλες επιλογές περιλαμβάνουν Δεσμευτικούς Εταιρικούς Κανόνες, εγκεκριμένους κώδικες δεοντολογίας, και εγκεκριμένους μηχανισμούς πιστοποίησης.
Παρεκκλίσεις. Το άρθρο 49 του GDPR επιτρέπει διαβιβάσεις σε συγκεκριμένες περιπτώσεις: ρητή συναίνεση, εκτέλεση σύμβασης, σημαντικό δημόσιο συμφέρον, νομικές αξιώσεις, ζωτικά συμφέροντα, και δεδομένα από δημόσιο μητρώο. Οι παρεκκλίσεις αυτές είναι στενές και δεν μπορούν να χρησιμοποιηθούν ως τακτικός μηχανισμός για συστηματικές διαβιβάσεις.
Μετά την απόφαση Schrems II (Υπόθεση C-311/18 του ΔΕΕ), οι υπεύθυνοι επεξεργασίας πρέπει να αξιολογούν αν οι νόμοι περί παρακολούθησης και το νομικό πλαίσιο της χώρας προορισμού υπονομεύουν την προστασία που παρέχουν οι υφιστάμενες εγγυήσεις. Όπου εντοπίζονται κίνδυνοι, απαιτούνται συμπληρωματικά τεχνικά ή συμβατικά μέτρα.
Οι διαβιβάσεις δεν απαιτούν έγκριση της HDPA, ωστόσο ισχύουν υποχρεώσεις τεκμηρίωσης και τήρησης αρχείων. Οι Δεσμευτικοί Εταιρικοί Κανόνες απαιτούν έγκριση της HDPA όταν αυτή ενεργεί ως επικεφαλής εποπτική αρχή. Η HDPA έχει ευθυγραμμιστεί πλήρως με τις θέσεις του EDPB σχετικά με τους μηχανισμούς διαβίβασης και συμμετέχει ενεργά σε διαδικασίες ενιαίου σημείου επαφής.
Επιβολή από την HDPA: Αξιοσημείωτες Αποφάσεις
Clearview AI: Πρόστιμο 20 Εκατομμυρίων Ευρώ (Απόφαση 35/2022)
Η σημαντικότερη ενέργεια επιβολής της HDPA παραμένει το πρόστιμο των 20 εκατομμυρίων ευρώ κατά της Clearview AI τον Ιούλιο του 2022. Η υπόθεση προέκυψε από καταγγελία που κατέθεσε η οργάνωση της κοινωνίας των πολιτών Homo Digitalis, εκπροσωπώντας Έλληνα πολίτη.
Η Clearview AI συνέλεξε δισεκατομμύρια εικόνες προσώπων από το διαδίκτυο για να δημιουργήσει εμπορική βάση δεδομένων βιομετρικής αναγνώρισης προσώπου, διαθέσιμη σε αρχές επιβολής του νόμου και ιδιωτικούς πελάτες. Η HDPA διαπίστωσε παραβιάσεις των αρχών νομιμότητας και διαφάνειας βάσει των άρθρων 5 παράγραφος 1 στοιχείο α΄ και 6 του GDPR, παράνομη επεξεργασία βιομετρικών δεδομένων βάσει του άρθρου 9, και παραλείψεις όσον αφορά την ενημέρωση περί διαφάνειας (άρθρο 14), τα δικαιώματα πρόσβασης (άρθρο 15), και την υποχρέωση ορισμού εκπροσώπου στην ΕΕ (άρθρο 27).
Η αρχή διέταξε την Clearview να ικανοποιήσει το αίτημα πρόσβασης του καταγγέλλοντος, απαγόρευσε στην Clearview να συλλέγει ή να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα κατοίκων Ελλάδας μέσω των μεθόδων αναγνώρισης προσώπου της, και διέταξε τη διαγραφή όλων των δεδομένων που είχαν ήδη συλλεχθεί. Το πρόστιμο των 20 εκατομμυρίων ευρώ ήταν το μέγιστο διαθέσιμο βάσει της ανώτερης κλίμακας του GDPR και αποτέλεσε το υψηλότερο πρόστιμο στην ιστορία της HDPA.
COSMOTE και ΟΤΕ: Πρόστιμο 9,25 Εκατομμυρίων Ευρώ (Απόφαση 4/2022)
Τον Ιανουάριο του 2022, η HDPA επέβαλε πρόστιμο 6 εκατομμυρίων ευρώ στον πάροχο τηλεπικοινωνιών COSMOTE και 3,25 εκατομμυρίων ευρώ στη μητρική εταιρεία ΟΤΕ, μετά από παραβίαση δεδομένων τον Σεπτέμβριο του 2020, κατά την οποία κυβερνοεπίθεση με χρήση κοινωνικής μηχανικής υπέκλεψε δεδομένα κλήσεων συνδρομητών. Η παραβίαση αφορούσε λεπτομερή στοιχεία κλήσεων για περίπου 4,8 εκατομμύρια συνδρομητές, συμπεριλαμβανομένων κατά προσέγγιση δεδομένων τοποθεσίας, καθώς και δημογραφικά στοιχεία και στοιχεία λογαριασμού για περίπου 4,2 εκατομμύρια πελάτες.
Διαπιστώθηκε ότι η COSMOTE παραβίασε τις αρχές νομιμότητας και διαφάνειας λόγω ανεπαρκούς ενημέρωσης των συνδρομητών, ότι διενήργησε πλημμελή Εκτίμηση Αντικτύπου στην Προστασία Δεδομένων βάσει του άρθρου 35, ότι δεν τήρησε την αρχή της προστασίας δεδομένων ήδη από τον σχεδιασμό βάσει του άρθρου 25 παράγραφος 1, και ότι διατηρούσε ανεπαρκή μέτρα ασφαλείας. Ο ΟΤΕ τιμωρήθηκε για ανεπαρκή μέτρα ασφαλείας στην υποδομή του που εμπλέκονταν στην παραβίαση.
Παραλείψεις Τράπεζας ως προς το Δικαίωμα Πρόσβασης: Πρόστιμο 200.000 Ευρώ (Απόφαση 1/2025)
Στις αρχές του 2025, η HDPA επέβαλε πρόστιμο 200.000 ευρώ και επίπληξη σε τράπεζα για συστηματικές παραλείψεις στην απάντηση αιτημάτων πρόσβασης υποκειμένων δεδομένων βάσει του άρθρου 15 του GDPR. Η αρχή διαπίστωσε ότι η τράπεζα δεν είχε εφαρμόσει κατάλληλες διαδικασίες για τον χειρισμό αιτημάτων πρόσβασης εντός της απαιτούμενης προθεσμίας του ενός μηνός, με αποτέλεσμα επαναλαμβανόμενες παραβιάσεις έναντι πολλών υποκειμένων δεδομένων.
Υπουργείο Μετανάστευσης και Ασύλου: Πρόστιμο 175.000 Ευρώ (Απόφαση 13/2024)
Η HDPA επέβαλε πρόστιμο 175.000 ευρώ στο Υπουργείο Μετανάστευσης και Ασύλου για παραβιάσεις του GDPR σε συστήματα παρακολούθησης σε εγκαταστάσεις υποδοχής στα σύνορα και ασύλου. Οι παραβιάσεις περιλάμβαναν επεξεργασία βιομετρικών δεδομένων χωρίς επαρκή νομική βάση, παράλειψη διενέργειας απαιτούμενων DPIA, και σύναψη πλημμελών συμφωνιών επεξεργασίας δεδομένων με προμηθευτές τεχνολογίας. Η απόφαση είναι αξιοσημείωτη διότι εφαρμόζει την επιβολή του GDPR σε κυβερνητικό υπουργείο και διότι εξετάζει τη χρήση προηγμένης τεχνολογίας παρακολούθησης, συμπεριλαμβανομένων CCTV, drones και αναλυτικών εργαλείων συμπεριφοράς με τεχνητή νοημοσύνη, σε εγκαταστάσεις μετανάστευσης.
Επεξεργασία Δεδομένων από Πολιτικό Κόμμα (Απόφαση 38/2024)
Η HDPA επέβαλε πρόστιμο 30.000 ευρώ σε πολιτικό κόμμα και 10.000 ευρώ σε καθένα από δύο μέλη του κόμματος για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα ψηφοφόρων, συμπεριλαμβανομένων παραβιάσεων δικαιωμάτων υποκειμένων δεδομένων. Η αρχή διέταξε τη διαγραφή δεδομένων ψηφοφόρων του εξωτερικού που είχαν διατηρηθεί χωρίς έγκυρη νομική βάση.
Τομέας Ενέργειας και Άμεσο Μάρκετινγκ (2025)
Πρόσφατες αποφάσεις του 2025 καταδεικνύουν τη συνεχιζόμενη προσοχή της HDPA στο άμεσο μάρκετινγκ. Η Απόφαση 44/2025 επέβαλε πρόστιμο 80.000 ευρώ σε πάροχο ενέργειας και το τηλεφωνικό του κέντρο για ανεπίκλητες προωθητικές κλήσεις. Η Απόφαση 42/2025 επέβαλε πρόστιμο 30.000 ευρώ σε εταιρεία ενεργειακών υπηρεσιών για άρνηση των δικαιωμάτων πρόσβασης, διόρθωσης και διαγραφής υποκειμένων δεδομένων. Η Απόφαση 8/2025 επέβαλε πρόστιμο 45.000 ευρώ σε γραφείο γνωριμιών για εκστρατείες ανεπίκλητου μάρκετινγκ μέσω SMS.
Παρακολούθηση στον Χώρο Εργασίας (Απόφαση 23/2021)
Η HDPA επέβαλε πρόστιμο 15.000 ευρώ για παράνομη εγκατάσταση καμερών βιντεοεπιτήρησης σε γραφεία υπαλλήλων και σε κουζίνα. Η αρχή επανέλαβε ότι το CCTV στον χώρο εργασίας δεν μπορεί να χρησιμοποιείται για αξιολόγηση απόδοσης, εκτίμηση ή εκπαίδευση, και ότι η παρακολούθηση σε χώρους ανάπαυσης παραβιάζει την ιδιωτικότητα των εργαζομένων ανεξαρτήτως άλλης αιτιολόγησης.
Βιντεοεπιτήρηση και CCTV: Ένα Λεπτομερές Πλαίσιο
Η Ελλάδα έχει αναπτύξει ένα λεπτομερές σώμα κανόνων επιβολής σχετικά με το CCTV, το οποίο αντικατοπτρίζει την ενεργή προσέγγιση της HDPA στη συμμόρφωση με τη φυσική παρακολούθηση.
Το CCTV επιτρέπεται σε ιδιωτικά διαχειριζόμενους χώρους προσβάσιμους στο κοινό όταν ο σκοπός είναι η προστασία προσώπων και περιουσίας, βάσει έννομου συμφέροντος ή έννομης υποχρέωσης. Ισχύουν βασικοί περιορισμοί:
Οι κάμερες δεν επιτρέπεται να χρησιμοποιούνται για την παρακολούθηση της απόδοσης εργαζομένων, την αξιολόγηση της παραγωγικότητας, τον εντοπισμό εκπαιδευτικών αναγκών, ή τη λήψη οποιασδήποτε απόφασης ανθρώπινου δυναμικού. Η απαγόρευση αυτή είναι κατηγορηματική και εφαρμόζεται με συνέπεια. Κάμερες σε γραφεία υπαλλήλων, αποδυτήρια, κουζίνες και χώρους ανάπαυσης είναι παράνομες ανεξάρτητα από τον επικαλούμενο σκοπό.
Οι οργανισμοί πρέπει να διενεργούν DPIA πριν από την εγκατάσταση βιντεοεπιτήρησης μεγάλης κλίμακας. Συστήματα που περιλαμβάνουν αναλυτικά εργαλεία συμπεριφοράς με τεχνητή νοημοσύνη, αναγνώριση προσώπου, ή παρακολούθηση με drone σε εγκαταστάσεις μετανάστευσης υπόκεινται σε υποχρεωτική απαίτηση DPIA ανεξαρτήτως κλίμακας.
Η σήμανση πρέπει να ενημερώνει σαφώς τα φυσικά πρόσωπα ότι λειτουργεί σύστημα παρακολούθησης. Οι πινακίδες πρέπει να προσδιορίζουν τον υπεύθυνο επεξεργασίας και να περιλαμβάνουν στοιχεία επικοινωνίας. Η σήμανση πρέπει να είναι ορατή από όλα τα σημεία εισόδου.
Οι περίοδοι διατήρησης του υλικού πρέπει να είναι αναλογικές. Η HDPA έχει επισημάνει ότι η διατήρηση πέραν των 15 ημερών απαιτεί ειδική αιτιολόγηση. Πολλοί οργανισμοί περιορίζουν τη διατήρηση σε 7 έως 10 ημέρες. Παρατεταμένη διατήρηση για περιστατικά υπό διερεύνηση πρέπει να τεκμηριώνεται.
Τα υποκείμενα δεδομένων έχουν δικαίωμα πρόσβασης σε υλικό που καταγράφει την εικόνα τους, στο πλαίσιο του τυπικού καθεστώτος αιτημάτων πρόσβασης του GDPR. Οργανισμοί που δεν παρέχουν υλικό ανταποκρινόμενοι σε έγκυρο αίτημα πρόσβασης αντιμετωπίζουν πρόστιμα, όπως αποδεικνύεται στην υπόθεση Alpha Bank (Απόφαση 36/2023, πρόστιμο 10.000 ευρώ για μη έγκαιρη παροχή υλικού CCTV).
Το Σκάνδαλο Κατασκοπευτικού Λογισμικού Predator / Intellexa
Καμία περιγραφή της προστασίας δεδομένων στην Ελλάδα δεν μπορεί να αγνοήσει το σκάνδαλο του κατασκοπευτικού λογισμικού Predator, το οποίο αποκάλυψε ένα σοβαρό χάσμα ανάμεσα στις τυπικές νομικές προστασίες της χώρας και τη συμπεριφορά φορέων συνδεδεμένων με το κράτος.
Το σκάνδαλο ήρθε στο φως το 2022, όταν ο δημοσιογράφος Θανάσης Κουκάκης ανακάλυψε ότι το τηλέφωνό του είχε μολυνθεί με το κατασκοπευτικό λογισμικό Predator και ότι είχε παρακολουθηθεί από την Εθνική Υπηρεσία Πληροφοριών. Λίγο αργότερα, ο Νίκος Ανδρουλάκης, τότε αρχηγός του κόμματος της αντιπολίτευσης ΠΑΣΟΚ-ΚΙΝΑΛ και βουλευτής του Ευρωπαϊκού Κοινοβουλίου, ανακάλυψε ότι και το δικό του τηλέφωνο είχε στοχοποιηθεί με το Predator.
Μεταγενέστερες έρευνες του Εργαστηρίου Ασφαλείας της Amnesty International, της Επιτροπής PEGA του Ευρωπαϊκού Κοινοβουλίου, και ελληνικών ερευνητικών μέσων ενημέρωσης εντόπισαν τουλάχιστον 87 επιβεβαιωμένα θύματα, μεταξύ των οποίων δημοσιογράφους, πολιτικούς, στρατιωτικά στελέχη, επιχειρηματίες και μέλη της κοινωνίας των πολιτών.
Το Predator αναπτύχθηκε και διανεμήθηκε από την Intellexa, εταιρεία που ιδρύθηκε από τον Ταλ Ντιλιάν, πρώην αξιωματικό της ισραηλινής στρατιωτικής υπηρεσίας πληροφοριών. Το 2024, το Υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις στην Intellexa και σε αρκετά διευθυντικά της στελέχη για την ανάπτυξη και διανομή εμπορικού κατασκοπευτικού λογισμικού που χρησιμοποιήθηκε για τη στοχοποίηση δημοσιογράφων, κρατικών αξιωματούχων και άλλων προσώπων.
Στις 26 Φεβρουαρίου 2026, δικαστήριο της Αθήνας καταδίκασε τέσσερα πρόσωπα, τον Ταλ Ντιλιάν, τη συνέταιρό του Σάρα Χαμού, τον πρώην αναπληρωτή διαχειριστή Φέλιξ Μπίτζιο, και τον Γιάννη Λαυράνο (μέσω της εταιρείας του οποίου, Kriel, φέρεται ότι είχε προμηθευτεί το λογισμικό), σε ποινές φυλάκισης 8 ετών (το ανώτατο όριο για πλημμεληματικές κατηγορίες). Το δικαστήριο διέταξε επίσης περαιτέρω διώξεις.
Για τους επαγγελματίες προστασίας δεδομένων, το σκάνδαλο Predator καταδεικνύει τόσο τη σημασία στιβαρών νομικών πλαισίων όσο και τα όριά τους, όταν οι δυνατότητες παρακολούθησης ξεπερνούν τη θεσμική βούληση εφαρμογής τους. Η ΑΔΑΕ, η ανεξάρτητη αρχή διασφάλισης του απορρήτου των επικοινωνιών, κατέγραψε την παρακολούθηση, όμως αντιμετώπισε πολιτικές αντιστάσεις στην αναζήτηση λογοδοσίας. Η δικαιοδοσία της HDPA εκτείνεται στις πτυχές προστασίας δεδομένων της παρακολούθησης, όμως δεν καλύπτει τις πληροφορίες σημάτων ή την κρυφή παρακολούθηση επικοινωνιών, οι οποίες εμπίπτουν στην ΑΔΑΕ και στα δικαστήρια.
Αλληλεπίδραση του Κανονισμού της ΕΕ για την Τεχνητή Νοημοσύνη με την Ελληνική Προστασία Δεδομένων
Ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη (Κανονισμός 2024/1689) τέθηκε σε ισχύ την 1η Αυγούστου 2024. Η εφαρμογή του στην Ελλάδα ακολουθεί το πανευρωπαϊκό χρονοδιάγραμμα: οι διατάξεις περί απαγορευμένων πρακτικών τεχνητής νοημοσύνης και ψηφιακού αλφαβητισμού εφαρμόστηκαν από τις 2 Φεβρουαρίου 2025, οι υποχρεώσεις για μοντέλα τεχνητής νοημοσύνης γενικού σκοπού από τις 2 Αυγούστου 2025, και οι απαιτήσεις για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου από τις 2 Αυγούστου 2026.
Ο Κανονισμός για την Τεχνητή Νοημοσύνη δεν αντικαθιστά τον GDPR· και οι δύο εφαρμόζονται παράλληλα. Συστήματα τεχνητής νοημοσύνης που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να συμμορφώνονται ταυτόχρονα και με τα δύο κανονιστικά καθεστώτα.
Απαγορευμένες πρακτικές τεχνητής νοημοσύνης. Από τις 2 Φεβρουαρίου 2025, ο Κανονισμός απαγορεύει απολύτως ορισμένες χρήσεις τεχνητής νοημοσύνης: την αναγνώριση βιομετρικών στοιχείων εξ αποστάσεως σε πραγματικό χρόνο σε δημόσια προσβάσιμους χώρους (με στενές εξαιρέσεις για την επιβολή του νόμου), συστήματα τεχνητής νοημοσύνης που εκμεταλλεύονται ευαλωτότητες ή χειραγωγούν τη συμπεριφορά, την κοινωνική βαθμολόγηση από δημόσιες αρχές, και τη μη στοχευμένη συλλογή εικόνων προσώπων από το διαδίκτυο ή CCTV για τη δημιουργία βάσεων δεδομένων αναγνώρισης προσώπου. Η τελευταία απαγόρευση σχετίζεται άμεσα με το επιχειρηματικό μοντέλο της Clearview AI και θα επέσυρε πλέον κυρώσεις τόσο βάσει του Κανονισμού για την Τεχνητή Νοημοσύνη όσο και πρόστιμα του GDPR, έως 35 εκατομμύρια ευρώ ή 7% του παγκόσμιου ετήσιου κύκλου εργασιών.
Συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου. Από τον Αύγουστο του 2026, τα συστήματα τεχνητής νοημοσύνης που χρησιμοποιούνται στην επιβολή του νόμου, τη διαχείριση συνόρων, την απασχόληση, την εκπαίδευση και τις υποδομές ζωτικής σημασίας πρέπει να συμμορφώνονται με απαιτήσεις αξιολόγησης συμμόρφωσης, πρότυπα διακυβέρνησης δεδομένων, υποχρεώσεις διαφάνειας, και απαιτήσεις ανθρώπινης εποπτείας πριν από την ανάπτυξή τους.
Ο ρόλος της HDPA στην τεχνητή νοημοσύνη. Στην HDPA έχουν ανατεθεί αρμοδιότητες εποπτείας προστασίας δεδομένων που σχετίζονται με την τεχνητή νοημοσύνη, ιδίως για την αυτοματοποιημένη λήψη αποφάσεων του άρθρου 22 του GDPR, τις υποχρεωτικές DPIA για συστήματα τεχνητής νοημοσύνης κατάρτισης προφίλ μεγάλης κλίμακας, και τις υποχρεώσεις διαφάνειας για την τεχνητή νοημοσύνη. Η Ελλάδα έχει επίσης ορίσει εθνικές αρμόδιες αρχές μέσω του καταλόγου εποπτικών φορέων του Υπουργείου Ψηφιακής Διακυβέρνησης, που δημοσιεύθηκε το 2025.
Ελληνικός Νόμος 4961/2022. Προγενέστερος του Κανονισμού για την Τεχνητή Νοημοσύνη, αυτός ο εθνικός νόμος για τις αναδυόμενες τεχνολογίες ΤΠΕ απαιτεί από δημόσιους φορείς που χρησιμοποιούν τεχνητή νοημοσύνη για αποφάσεις που επηρεάζουν πολίτες να διενεργούν DPIA και να παρέχουν διαφάνεια σχετικά με τις παραμέτρους αλγοριθμικής λήψης αποφάσεων. Παραμένει σε ισχύ παράλληλα με τον Κανονισμό.
Πρόσφατες Εξελίξεις (2024-2026)
Αρκετές νομοθετικές και κανονιστικές εξελίξεις έχουν διαμορφώσει το τοπίο προστασίας δεδομένων της Ελλάδας τα τελευταία δύο έτη.
Ο Νόμος 5099/2024 ενσωμάτωσε τον Κανονισμό για τις Ψηφιακές Υπηρεσίες στην ελληνική νομοθεσία και όρισε την HDPA ως αρμόδια αρχή για την εποπτεία του, επεκτείνοντας το πεδίο δικαιοδοσίας της πέραν της παραδοσιακής προστασίας δεδομένων, στο περιεχόμενο διαδικτυακών πλατφορμών και την αλγοριθμική διαφάνεια.
Ο Νόμος 5160/2024 ενσωμάτωσε την Οδηγία NIS2 για την κυβερνοασφάλεια, θεσπίζοντας ενισχυμένες υποχρεώσεις ασφαλείας για φορείς εκμετάλλευσης βασικών και σημαντικών οντοτήτων στους τομείς της ενέργειας, των μεταφορών, των χρηματοοικονομικών, της υγείας, των ψηφιακών υποδομών και της δημόσιας διοίκησης. Οι υποχρεώσεις της NIS2 αλληλεπιδρούν άμεσα με τις απαιτήσεις ασφαλείας του GDPR βάσει του άρθρου 32.
Ο Νόμος 5169/2025 κύρωσε το τροποποιητικό πρωτόκολλο του Συμβουλίου της Ευρώπης στη Σύμβαση 108 για την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, ευθυγραμμίζοντας την Ελλάδα με το εκσυγχρονισμένο διεθνές πλαίσιο της σύμβασης προστασίας δεδομένων.
Ο Κανονισμός EHDS (2025/327) τέθηκε σε ισχύ τον Μάρτιο του 2025 και καθιερώνει πανευρωπαϊκό πλαίσιο για τους ηλεκτρονικούς φακέλους υγείας και τη δευτερογενή χρήση δεδομένων υγείας για ερευνητικούς σκοπούς. Οι ελληνικοί οργανισμοί υγειονομικής περίθαλψης θα χρειαστεί να προσαρμόσουν αναλόγως τα πλαίσια διακυβέρνησης δεδομένων τους.
Σταδιακή εφαρμογή του Κανονισμού για την Τεχνητή Νοημοσύνη. Η σταδιακή εφαρμογή του Κανονισμού αποτελεί τη σημαντικότερη κανονιστική εξέλιξη της περιόδου 2025-2026. Οι οργανισμοί στην Ελλάδα που αναπτύσσουν συστήματα τεχνητής νοημοσύνης θα πρέπει να ελέγχουν ήδη τα συστήματά τους έναντι των κατηγοριών απαγορευμένων πρακτικών και να προετοιμάζονται για τις απαιτήσεις υψηλού κινδύνου του Αυγούστου 2026.
Συμμόρφωση Επιχειρήσεων: Πρακτικές Προτεραιότητες
Οι οργανισμοί που δραστηριοποιούνται στην Ελλάδα θα πρέπει να δώσουν προτεραιότητα στους ακόλουθους τομείς συμμόρφωσης, με βάση τα πρότυπα επιβολής που έχει επιδείξει η HDPA:
CCTV και βιντεοεπιτήρηση. Αυτός είναι ο τομέας με τον υψηλότερο κίνδυνο επιβολής για επιχειρήσεις με φυσική παρουσία. Βεβαιωθείτε ότι κάθε σύστημα καμερών υποστηρίζεται από DPIA, ότι η σήμανση πληροί τις απαιτήσεις της HDPA (ορατή από όλα τα σημεία εισόδου, με αναφορά του υπευθύνου επεξεργασίας), ότι οι περίοδοι διατήρησης τεκμηριώνονται και περιορίζονται (όχι περισσότερο από 15 ημέρες χωρίς ειδική αιτιολόγηση), και ότι υπάρχουν διαδικασίες για την ανταπόκριση σε αιτήματα πρόσβασης σε υλικό. Η παρακολούθηση εργαζομένων για σκοπούς αξιολόγησης απόδοσης απαγορεύεται κατηγορηματικά.
Αιτήματα πρόσβασης υποκειμένων δεδομένων. Η HDPA έχει επιβάλει πρόστιμο 200.000 ευρώ για συστηματικές παραλείψεις σε αυτόν τον τομέα. Δημιουργήστε μια διαδικασία που παρέχει αξιόπιστα απαντήσεις εντός ενός μηνός, καταγράψτε όλα τα αιτήματα και τις απαντήσεις, και εκπαιδεύστε το σχετικό προσωπικό. Βεβαιωθείτε ότι η διαδικασία καλύπτει όλους τους τύπους δεδομένων, συμπεριλαμβανομένου του υλικού CCTV.
Συμμόρφωση με cookies. Η HDPA διενεργεί εξ αποστάσεως ελέγχους ιστοσελίδων. Ελέγξτε το μπάνερ cookies σας βάσει του προτύπου: χωρίς προσυμπληρωμένα πεδία, χωρίς παραπλανητικά σχέδια διεπαφής, με πραγματική επιλογή απόρριψης εξίσου εμφανή με την επιλογή αποδοχής, και δυνατότητα ανάκλησης της συναίνεσης εξίσου εύκολη με την παροχή της.
Άμεσο μάρκετινγκ. Ελέγξτε κάθε εξερχόμενο κανάλι μάρκετινγκ έναντι του Νόμου 3471/2006. Το μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου προς μη πελάτες απαιτεί προηγούμενη συναίνεση. Το τηλεφωνικό μάρκετινγκ απαιτεί συμμόρφωση με το μητρώο εξαίρεσης τουλάχιστον 30 ημέρες νωρίτερα. Το μάρκετινγκ μέσω SMS χωρίς συναίνεση έχει επισύρει πρόστιμα στην κλίμακα των 45.000 έως 80.000 ευρώ.
Ετοιμότητα για παραβιάσεις δεδομένων. Το χρονικό διάστημα των 72 ωρών για τη γνωστοποίηση ξεκινά όταν ο υπεύθυνος επεξεργασίας λαμβάνει γνώση της παραβίασης, όχι όταν ολοκληρώνεται η διερεύνηση. Διατηρήστε διαδικασία αντιμετώπισης παραβιάσεων με προκαθορισμένα στοιχεία επικοινωνίας γνωστοποίησης προς την HDPA και αρχείο καταγραφής παραβιάσεων.
Ορισμός DPO. Εφόσον πληρούνται τα κριτήρια υποχρεωτικού ορισμού, ορίστε DPO, καταχωρίστε τα στοιχεία επικοινωνίας στην HDPA, και βεβαιωθείτε ότι ο DPO διαθέτει επαρκείς πόρους και οργανωτική ανεξαρτησία. Για DPO που δεν ομιλούν ελληνικά, ορίστε σύνδεσμο επικοινωνίας που ομιλεί ελληνικά.
Συστήματα τεχνητής νοημοσύνης. Για κάθε σύστημα τεχνητής νοημοσύνης που λαμβάνει αυτοματοποιημένες αποφάσεις με σημαντικά αποτελέσματα, τεκμηριώστε τη νομική βάση του άρθρου 22, διενεργήστε DPIA, και εφαρμόστε μηχανισμούς ανθρώπινης εποπτείας. Από τον Αύγουστο του 2026, τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου θα απαιτούν πλήρη αξιολόγηση συμμόρφωσης βάσει του σχετικού Κανονισμού πριν από την ανάπτυξή τους.
Για πληροφορίες σχετικά με το πώς οι νόμοι περί ηχογράφησης διασταυρώνονται με την ιδιωτικότητα στην Ελλάδα, δείτε τον οδηγό μας για τους νόμους ηχογράφησης της Ελλάδας. Για το ευρύτερο πλαίσιο της ΕΕ που διέπει την Ελλάδα, δείτε τον οδηγό μας για τους νόμους προστασίας δεδομένων της ΕΕ.
Αποποίηση ευθύνης: Το παρόν άρθρο παρέχει γενικές πληροφορίες σχετικά με τους νόμους προστασίας δεδομένων της Ελλάδας και δεν αποτελεί νομική συμβουλή. Το δίκαιο προστασίας δεδομένων μεταβάλλεται συχνά. Συμβουλευτείτε εξειδικευμένο δικηγόρο με άδεια άσκησης επαγγέλματος στην Ελλάδα για καθοδήγηση σχετικά με τη συγκεκριμένη περίπτωσή σας.
Frequently Asked Questions
Ποιος είναι ο κύριος νόμος προστασίας δεδομένων της Ελλάδας;
Το πλαίσιο προστασίας δεδομένων της Ελλάδας αποτελείται από δύο νομοθετήματα που λειτουργούν παράλληλα. Ο GDPR (ΕΕ 2016/679) εφαρμόζεται άμεσα ως δίκαιο της ΕΕ και αποτελεί την κύρια πηγή υποχρεώσεων. Ο Νόμος 4624/2019, η εθνική νομοθεσία εφαρμογής του GDPR στην Ελλάδα, σε ισχύ από τις 28 Αυγούστου 2019, συμπληρώνει τον GDPR με εθνικές επιλογές, όπως ηλικία ψηφιακής συναίνεσης στα 15 έτη, ποινικές κυρώσεις για αδικήματα δεδομένων, και το οργανωτικό πλαίσιο της Ελληνικής Αρχής Προστασίας Δεδομένων. Συνταγματική προστασία παρέχεται επίσης από το άρθρο 9Α του Συντάγματος, το οποίο προστέθηκε στην αναθεώρηση του 2001.
Ποια είναι η αρχή προστασίας δεδομένων στην Ελλάδα;
Η Ελληνική Αρχή Προστασίας Δεδομένων (HDPA) είναι η ανεξάρτητη εποπτική αρχή της Ελλάδας. Είναι ανεξάρτητο συνταγματικό όργανο με έδρα την Αθήνα, αποτελούμενο από έναν Πρόεδρο και έξι μέλη που διορίζονται για τετραετή θητεία από την ελληνική Βουλή. Η HDPA διερευνά καταγγελίες, διενεργεί ελέγχους, εκδίδει κατευθυντήριες γραμμές, και μπορεί να επιβάλλει πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών για σοβαρές παραβιάσεις του GDPR.
Ποιο ήταν το πρόστιμο της Clearview AI στην Ελλάδα;
Τον Ιούλιο του 2022, η HDPA επέβαλε πρόστιμο 20 εκατομμυρίων ευρώ στην Clearview AI, το μέγιστο δυνατό βάσει της ανώτερης κλίμακας του GDPR. Η Απόφαση 35/2022 διαπίστωσε ότι η Clearview παραβίασε τις αρχές νομιμότητας και διαφάνειας (άρθρα 5 και 6 του GDPR), επεξεργάστηκε παράνομα βιομετρικά δεδομένα (άρθρο 9), και παρέλειψε τις υποχρεώσεις διαφάνειας και πρόσβασης (άρθρα 12, 14, 15 και 27). Η HDPA διέταξε επίσης την Clearview να διαγράψει όλα τα δεδομένα προσωπικού χαρακτήρα κατοίκων Ελλάδας που είχαν συλλεχθεί μέσω της υπηρεσίας αναγνώρισης προσώπου της, και απαγόρευσε τη μελλοντική συλλογή.
Ποιοι είναι οι κανόνες συναίνεσης για cookies στην Ελλάδα;
Βάσει του Νόμου 3471/2006, η Ελλάδα απαιτεί ρητή συγκατάθεση (opt-in) για όλα τα μη απαραίτητα cookies. Τα τεχνικά απαραίτητα cookies (ταυτοποίηση, εξισορρόπηση φόρτου, ασφάλεια, προτιμήσεις χρήστη για τη ζητηθείσα υπηρεσία) εξαιρούνται. Όλα τα cookies αναλυτικών στοιχείων, διαφήμισης, στόχευσης και παρακολούθησης μέσων κοινωνικής δικτύωσης απαιτούν προηγούμενη εν επιγνώσει συναίνεση που πληροί το πλήρες πρότυπο του GDPR: ελεύθερη, συγκεκριμένη, εν επιγνώσει, και δοθείσα πριν από την έναρξη οποιασδήποτε παρακολούθησης. Προσυμπληρωμένα πεδία και συναγόμενη συναίνεση από τη συνέχιση της περιήγησης δεν είναι έγκυρα. Η HDPA διενεργεί εξ αποστάσεως ελέγχους ιστοσελίδων για τη συμμόρφωση με τα cookies.
Ποια είναι η ηλικία ψηφιακής συναίνεσης στην Ελλάδα;
Η Ελλάδα όρισε την ηλικία ψηφιακής συναίνεσης στα 15 έτη βάσει του Νόμου 4624/2019. Παιδιά ηλικίας 15 ετών και άνω μπορούν να συναινέσουν αυτοτελώς σε υπηρεσίες της κοινωνίας της πληροφορίας, όπως πλατφόρμες κοινωνικής δικτύωσης. Για παιδιά κάτω των 15 ετών, οι υπεύθυνοι επεξεργασίας πρέπει να λαμβάνουν και να επαληθεύουν γονική ή κηδεμονική έγκριση πριν παράσχουν την υπηρεσία.
Τι είναι το σκάνδαλο κατασκοπευτικού λογισμικού Predator στην Ελλάδα;
Το σκάνδαλο του κατασκοπευτικού λογισμικού Predator ήρθε στο φως το 2022, όταν αποκαλύφθηκε ότι το λογισμικό Predator της Intellexa είχε χρησιμοποιηθεί για τη στοχοποίηση τουλάχιστον 87 προσώπων στην Ελλάδα, μεταξύ των οποίων δημοσιογράφοι, πολιτικοί, στρατιωτικά στελέχη και εκπρόσωποι της κοινωνίας των πολιτών. Τον Φεβρουάριο του 2026, δικαστήριο της Αθήνας καταδίκασε τον ιδρυτή της Intellexa, Ταλ Ντιλιάν, και τρία ακόμη πρόσωπα σε ποινές φυλάκισης 8 ετών. Το Υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις στην Intellexa το 2024. Το σκάνδαλο αναδεικνύει την ένταση ανάμεσα στους τυπικούς κανόνες προστασίας δεδομένων της Ελλάδας και σε πρακτικές παρακολούθησης συνδεδεμένες με το κράτος.
Διαθέτει η Ελλάδα συνταγματικά δικαιώματα προστασίας δεδομένων;
Ναι. Το άρθρο 9Α του Συντάγματος, το οποίο προστέθηκε στην αναθεώρηση του 2001, εγγυάται ρητά σε κάθε πρόσωπο το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα και επιβάλλει τη λειτουργία ανεξάρτητης εποπτικής αρχής. Αυτό το συνταγματικό καθεστώς σημαίνει ότι η ανεξαρτησία της HDPA προστατεύεται σε επίπεδο θεμελιώδους νόμου. Το άρθρο 19 παράγραφος 3 ορίζει επίσης ότι αποδεικτικά στοιχεία που αποκτήθηκαν κατά παράβαση των διατάξεων περί προστασίας δεδομένων ή απορρήτου των επικοινωνιών είναι απαράδεκτα ενώπιον των ελληνικών δικαστηρίων.
Πώς επηρεάζει ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη τους οργανισμούς στην Ελλάδα;
Ο Κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη τέθηκε σε ισχύ τον Αύγουστο του 2024 και εφαρμόζεται άμεσα στην Ελλάδα. Οι απαγορευμένες πρακτικές τεχνητής νοημοσύνης είναι επιβλητέες από τον Φεβρουάριο του 2025, συμπεριλαμβανομένων απαγορεύσεων στην αναγνώριση βιομετρικών στοιχείων εξ αποστάσεως σε πραγματικό χρόνο σε δημόσιους χώρους και στη μαζική συλλογή εικόνων προσώπου για βάσεις δεδομένων αναγνώρισης. Οι απαιτήσεις για συστήματα υψηλού κινδύνου εφαρμόζονται από τον Αύγουστο του 2026. Συστήματα τεχνητής νοημοσύνης που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να συμμορφώνονται ταυτόχρονα τόσο με τον Κανονισμό όσο και με τον GDPR. Η μη συμμόρφωση με τις απαγορευμένες πρακτικές τεχνητής νοημοσύνης μπορεί να επισύρει πρόστιμα έως 35 εκατομμύρια ευρώ ή 7% του παγκόσμιου ετήσιου κύκλου εργασιών.
Sources and References
- Ελληνική Αρχή Προστασίας Δεδομένων(dpa.gr).gov
- Νόμος 4624/2019, Αγγλική Μετάφραση(dpa.gr).gov
- Απόφαση 35/2022 της HDPA για το πρόστιμο στην Clearview AI(dpa.gr).gov
- Ανακοίνωση του EDPB για το πρόστιμο στην Clearview AI(edpb.europa.eu).gov
- Πρόστιμα COSMOTE και ΟΤΕ, EDPB(edpb.europa.eu).gov
- ICLG, Προστασία Δεδομένων Ελλάδα 2025-2026(iclg.com)
- Chambers, Προστασία Δεδομένων Ελλάδα 2026(practiceguides.chambers.com)
- DLA Piper, Προστασία Δεδομένων Ελλάδας(dlapiperdataprotection.com)
- GDPRhub, Αποφάσεις Επιβολής της HDPA(gdprhub.eu)
- Amnesty International, Καταδίκες Predatorgate 2026(amnesty.org)
- Χρονοδιάγραμμα Εφαρμογής του Κανονισμού της ΕΕ για την Τεχνητή Νοημοσύνη(artificialintelligenceact.eu)
- Επισκόπηση Νομικού Πλαισίου της HDPA(dpa.gr).gov