Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (HDPA / ΑΠΔΠΧ) έχει επιβάλει πρόστιμα έως 9,25 εκατ. ευρώ σε ελληνικές εταιρείες για παραβίαση κανόνων marketing. Το πλαίσιο που εφαρμόζεται στην Ελλάδα συνδυάζει τρία επίπεδα: τον γενικό κανονισμό GDPR (679/2016/ΕΕ), τον ελληνικό νόμο 4624/2019 και τον ειδικό νόμο 3471/2006 για τις ηλεκτρονικές επικοινωνίες. Το 4notify μετατρέπει αυτές τις τρεις στρώσεις σε λειτουργικό checklist για τη δική σας ροή — όχι σε νομικό κείμενο 80 σελίδων.
Ο γενικός κανονισμός που εφαρμόζεται σε όλα τα προσωπικά δεδομένα στην ΕΕ. Καθορίζει νομικές βάσεις επεξεργασίας, δικαιώματα του υποκειμένου (πρόσβαση, διαγραφή, φορητότητα), DPO, DPIA και κυρώσεις έως 4 % του παγκόσμιου τζίρου ή 20 εκατ. ευρώ.
Συγκεκριμενοποιεί το GDPR για την ελληνική έννομη τάξη: ηλικία ψηφιακής συναίνεσης 15 ετών, ειδικές κατηγορίες δεδομένων (άρθρο 22), έρευνα και δημοσιογραφική εξαίρεση, διαβίβαση σε τρίτες χώρες. Εποπτεία ΗDPA ως ανεξάρτητη αρχή.
Ο ειδικός νόμος για διαφημιστικές κλήσεις, SMS και email. Άρθρο 11: προηγούμενη συναίνεση για κάθε marketing μήνυμα, με την εξαίρεση του soft opt-in για υφιστάμενους πελάτες και συναφή προϊόντα. Ορίζει επίσης το Μητρώο 11888 του Συνηγόρου του Καταναλωτή.
Στη φόρμα εγγραφής χρειάζονται ξεχωριστά checkboxes για SMS, email και WhatsApp/Viber. Ένα γενικό „έχω διαβάσει την πολιτική απορρήτου“ δεν αρκεί. Το κάθε checkbox έχει το δικό του log εγγραφής με timestamp + IP + UA + hash του εμφανιζόμενου κειμένου.
Το άρθρο 11 του Ν. 3471/2006 επιτρέπει να στείλετε marketing σε υφιστάμενο πελάτη για συναφή προϊόντα χωρίς ρητή συναίνεση, αρκεί κάθε μήνυμα να περιέχει εύκολο τρόπο διαγραφής. Το 4notify μαρκάρει αυτές τις καμπάνιες ως „soft_optin" στο consent ledger.
Για κάθε ψυχρή marketing καμπάνια (όχι υπάρχοντες πελάτες), η λίστα παραληπτών διασταυρώνεται με το Μητρώο 11888 του Συνηγόρου του Καταναλωτή. Αριθμοί που υπάρχουν παραλείπονται αυτόματα. Καταγράφεται κατάλογος εξαιρέσεων για audit.
Σε περίπτωση καταγγελίας ή ελέγχου HDPA, μπορείτε να εξάγετε από το 4notify έναν αναφορά CSV/PDF με: ID υποκειμένου, χρόνο συναίνεσης, κανάλι, σκοπό, εμφανιζόμενο κείμενο και reference στην πολιτική απορρήτου σε ισχύ. Όλα cryptographically signed.
Από 5 000 € για μεμονωμένο συμβάν έως 9,25 εκατ. ευρώ για επαναλαμβανόμενη συστηματική παραβίαση (απόφαση HDPA 26/2021). Το μέγεθος εξαρτάται από όγκο, βαθμό υπαιτιότητας και προηγούμενες προειδοποιήσεις. Παράδειγμα: το 2023 επιβλήθηκε πρόστιμο 750 000 € σε εταιρεία πληροφορικής για συστηματική αποστολή SMS χωρίς συναίνεση.
Η HDPA δεν έχει εκδώσει ρητή απόφαση. Συντηρητική προσέγγιση: ρητή συναίνεση για WhatsApp marketing, soft opt-in αποκλειστικά για transactional WhatsApp (π.χ. επιβεβαίωση παραγγελίας). Η ΑΠΔΠΧ θεωρεί το WhatsApp ως κανάλι με πιο proactive φύση από το SMS.
Το GDPR δεν ορίζει συγκεκριμένη διάρκεια. Στην πράξη, η HDPA συνιστά επανεξέταση κάθε 24 μήνες ή σε σημαντική μεταβολή των σκοπών επεξεργασίας. Σε ανενεργό λογαριασμό > 24 μήνες, ζητείται επανασυναίνεση πριν από το πρώτο νέο marketing μήνυμα.
Όχι πάντοτε. Το άρθρο 37 του GDPR απαιτεί DPO για δημόσιους φορείς, εταιρείες με κύρια δραστηριότητα συστηματική παρακολούθηση σε μεγάλη κλίμακα ή με ειδικές κατηγορίες δεδομένων. Για μικρό e-shop, ο νόμιμος εκπρόσωπος μπορεί να ορίσει „υπεύθυνο επικοινωνίας" αντί DPO.
Για παραλήπτες στην Ελλάδα ισχύει το ελληνικό νομικό πλαίσιο (HDPA). Για παραλήπτες σε άλλα κράτη-μέλη ΕΕ ισχύει η εκεί εθνική εποπτική αρχή (one-stop-shop principle). Το 4notify επιτρέπει per-country compliance configurations.
Συνιστάται διάρκεια ίση με τη διάρκεια της σχέσης + 5 έτη μετά τη διαγραφή του λογαριασμού (όση η παραγραφή αξιώσεων κατά τον Αστικό Κώδικα). Πέρα από αυτό, anonymisation.
14 ημέρες, χωρίς κάρτα. HDPA-ready export από την πρώτη συναίνεση.
