Latsoudis + Associates Est. 1926 · Athens · Piraeus
Vol I · N° 002
Helpdesk
The Compliance Brief
Vol I·Issue N° 002·April MMXXVI
GDPR · Artificial Intelligence · Data Protection

Compliance&
Consequence.

Τεύχος 2 · Απρίλιος 2026 · μια ενημερωτική αποστολή από την Αθήνα.
By the Data Protection Practice · Latsoudis + Associates · Established MCMXXVI

Μια κρίσιμη καμπή για το ευρωπαϊκό πλαίσιο προστασίας δεδομένων — από το GDPR Omnibus και την αμφιλεγόμενη «απλοποίηση» της ΕΕ, μέχρι τα νέα εργαλεία του EDPB, τις Κατευθυντήριες της ΑΠΔΠΧ και το AI section. Η εποπτεία μετατοπίζεται από την τυπική συμμόρφωση στην ουσιαστική λογοδοσία. Αυτό το τεύχος θέτει τους άξονες.

Read the Brief DPO Helpdesk
Transmitted from Athens
39.9°N · 23.7°E · EEST
MCMXXVIΙδρυμένη · 1926
Legal 500Listed Firm
6 · 1Αναλύσεις · Πίνακας Προστίμων
€42M+Συνολικά πρόστιμα τεύχους
Contents

Έξι αναλύσεις, ένας πίνακας προστίμων.

Η επόμενη χρονιά θα κριθεί στο πεδίο της διαφάνειας, της τεκμηρίωσης και της AI‑συμμόρφωσης. Το τεύχος αυτό χαρτογραφεί πού μετακινείται η εποπτεία και τι σημαίνει για τη δική σας έκθεση.

NewsAI · GDPRFinesClosing
  1. 01GDPR Omnibus: η «απλοποίηση» της ΕΕ δεν ανταποκρίνεται στις πραγματικές ανάγκες των DPOsNews
  2. 02Το EDPB υιοθετεί ενιαίο template για DPIANews
  3. 03CEF 2026: διαφάνεια και ενημέρωση υποκειμένων στο στόχαστροNews
  4. 04ΑΠΔΠΧ: Κατευθυντήριες Γραμμές 1/2026 για την καλή νομοθέτησηNews
  5. 05ΕΣΠΔ: Νέες Κατευθυντήριες για την επεξεργασία δεδομένων στην επιστημονική έρευναNews
  6. 06AI & GDPR: Εικόνες, Chatbots και Πρόσβαση σε ΠλατφόρμεςAI · GDPR
  7. 07Επιβληθέντα πρόστιμα σε ευρωπαϊκό επίπεδοFines
  8. 08Αντί συμπεράσματος & HelpdeskClosing
01 / News
The Omnibus Question

GDPR Omnibus: η «απλοποίηση» της ΕΕ δεν ανταποκρίνεται στις πραγματικές ανάγκες των DPOs

Reading · 4 min Risk Horizon · EU policy Timeframe · H2 2026
Έρευνα της noyb σε DPOs δείχνει ότι οι επαγγελματίες προστασίας δεδομένων δεν ζητούν περικοπή δικαιωμάτων, αλλά λιγότερη γραφειοκρατία και πιο σαφείς κανόνες — αντίθετα με την κατεύθυνση του Digital Omnibus.

Η Ευρωπαϊκή Επιτροπή, με την πρόταση Digital Omnibus, επιχειρεί να «ελαφρύνει» το GDPR περιορίζοντας μεταξύ άλλων το Δικαίωμα Πρόσβασης (άρθρο 15), με το επιχείρημα της μείωσης του ρυθμιστικού βάρους για τις επιχειρήσεις.

Η έρευνα που διενήργησε η noyb σε Υπεύθυνους Προστασίας Δεδομένων καταγράφει ωστόσο μια διαφορετική εικόνα: οι DPOs δεν θεωρούν ότι η ουσία των δικαιωμάτων των υποκειμένων είναι το πρόβλημα, αλλά ο όγκος της τεκμηρίωσης και των εσωτερικών διαδικασιών συμμόρφωσης. Αντί για περισσότερη «ευελιξία» — που συχνά μεταφράζεται σε ασάφεια — ζητούν πιο ξεκάθαρους κανόνες και οδηγίες, ώστε να μη χάνουν χρόνο σε ερμηνευτικά κενά.

η «απλοποίηση» μπορεί να αποδυναμώσει τα δικαιώματα χωρίς να ελαφρύνει ουσιαστικά τις επιχειρήσεις.
L+A Analysis · Issue N°002

Το εύρημα είναι κρίσιμο γιατί αποδομεί τη βασική πολιτική αφήγηση πίσω από τον Omnibus. Για τις ελληνικές εταιρείες, οι επερχόμενες αλλαγές πρέπει να παρακολουθηθούν με προσοχή, καθώς ενδέχεται να μεταβάλουν την ισορροπία χωρίς να λύσουν τα πραγματικά λειτουργικά προβλήματα.

Source · noyb · 2026-03-05 · noyb.eu/en/gdpr-omnibus-eu-simplification-far-removed-real-business-needs

02 / News
A Common Methodology

Το EDPB υιοθετεί ενιαίο template για DPIA

Reading · 3 min Risk Horizon · EU-wide Action · Immediate
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενέκρινε επίσημο template για τη διενέργεια Εκτιμήσεων Αντικτύπου (DPIA), με στόχο την ομοιομορφία και την ενίσχυση της συμμόρφωσης στην ΕΕ.

Το νέο template προσφέρει μια δομημένη μεθοδολογία για την τεκμηρίωση των πράξεων επεξεργασίας υψηλού κινδύνου, όπως απαιτείται από το άρθρο 35 GDPR. Περιλαμβάνει ενότητες για περιγραφή της επεξεργασίας, αξιολόγηση αναγκαιότητας και αναλογικότητας, εντοπισμό κινδύνων για τα δικαιώματα των υποκειμένων και μέτρα μετριασμού.

Η χρήση του δεν είναι υποχρεωτική, αλλά λειτουργεί ως σημείο αναφοράς που διευκολύνει τον διάλογο με τις εποπτικές αρχές και μειώνει τον κίνδυνο παραλείψεων. Για ελληνικούς οργανισμούς, η υιοθέτησή του μπορεί να αποτελέσει απόδειξη λογοδοσίας σε ελέγχους της ΑΠΔΠΧ και να περιορίσει την έκθεση σε πρόστιμα. Το εργαλείο είναι ιδιαίτερα χρήσιμο σε έργα AI, προφίλ εργαζομένων και μεγάλης κλίμακας επεξεργασίες ειδικών κατηγοριών δεδομένων.

Actionable Takeaways

  • Ευθυγραμμίστε τα υφιστάμενα εσωτερικά templates DPIA με τη δομή του EDPB, ώστε να καλύπτονται όλες οι ενότητες τεκμηρίωσης.
  • Επανεξετάστε τις ενεργές DPIA για έργα υψηλού κινδύνου (AI, βιομετρικά, monitoring εργαζομένων) και ενημερώστε τις βάσει του νέου πλαισίου.
  • Εκπαιδεύστε DPO και business owners στη νέα μεθοδολογία πριν την έναρξη νέων έργων επεξεργασίας.
  • Τηρήστε αρχείο εκδόσεων (versioning) των DPIA ως απόδειξη λογοδοσίας έναντι της ΑΠΔΠΧ.

Source · EDPB — European Data Protection Board · edpb.europa.eu/news/news/2026/enhancing-compliance-and-consistency-edpb-adopts-dpia-template

Leather-bound EU dossier with brass lamp
03 / News
Transparency Under Examination

CEF 2026: διαφάνεια και ενημέρωση υποκειμένων στο στόχαστρο

Reading · 3 min Risk Horizon · Pan-European Active · 2026
Το EDPB ανακοίνωσε ότι η Συντονισμένη Δράση Επιβολής (CEF) για το 2026 θα επικεντρωθεί στις υποχρεώσεις διαφάνειας και ενημέρωσης των άρθρων 12-14 GDPR, με συμμετοχή των εθνικών Αρχών — συμπεριλαμβανομένης της ΑΠΔΠΧ.

Η CEF (Coordinated Enforcement Framework) είναι ετήσιος μηχανισμός μέσω του οποίου οι ευρωπαϊκές εποπτικές αρχές ελέγχουν ταυτόχρονα ένα κοινό θέμα, ώστε να εξαχθούν συγκρίσιμα ευρήματα σε ενωσιακό επίπεδο.

Για το 2026, το επίκεντρο είναι η ποιότητα και η προσβασιμότητα των πληροφοριών που παρέχονται στα υποκείμενα των δεδομένων — δηλαδή τα privacy notices, οι layered policies, οι just-in-time ενημερώσεις και οι πληροφορίες κατά την άσκηση δικαιωμάτων. Οι έλεγχοι θα αφορούν τόσο τον ιδιωτικό όσο και τον δημόσιο τομέα και αναμένεται να περιλαμβάνουν ερωτηματολόγια, fact-finding και — όπου κρίνεται σκόπιμο — τυπικές έρευνες με επιβολή κυρώσεων.

οι πολιτικές απορρήτου θα εξεταστούν με τη λογική του «θα τις διαβάσει η Αρχή σαν να ήταν υποκείμενο».
Practical Implication · L+A

Δεδομένου ότι τα άρθρα 13 και 14 GDPR παραμένουν από τις πιο συχνά παραβιαζόμενες διατάξεις, οι οργανισμοί θα πρέπει να θεωρήσουν ότι θα εξεταστούν με διπλό φακό — κανονιστικό και χρηστικό ταυτόχρονα.

Source · EDPB — European Data Protection Board · edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information

04 / News
Legislating With Data in Mind

ΑΠΔΠΧ: Κατευθυντήριες Γραμμές 1/2026 για την καλή νομοθέτηση

Reading · 4 min Risk Horizon · Greek legislation Scope · Public & Private
Η ΑΠΔΠΧ εξέδωσε τις Κατευθυντήριες Γραμμές 1/2026 για την καλή νομοθέτηση σε θέματα επεξεργασίας δεδομένων, θέτοντας υποχρεωτικά κριτήρια αναγκαιότητας, αναλογικότητας και συμβατότητας με τον ΓΚΠΔ σε κάθε νομοθετική πρωτοβουλία.

Οι νέες Κατευθυντήριες Γραμμές απευθύνονται σε κάθε φορέα που εκκινεί νομοθετική ή κανονιστική πρωτοβουλία η οποία περιλαμβάνει επεξεργασία δεδομένων προσωπικού χαρακτήρα, και αποτυπώνουν τις αρχές των άρθρων 6 παρ. 3 και 9 ΓΚΠΔ σε πρακτικό επίπεδο.

Η Αρχή υπενθυμίζει ότι η νομική βάση πρέπει να είναι σαφής, προβλέψιμη και ειδική, ενώ κρίσιμα στοιχεία — όπως σκοπός, κατηγορίες δεδομένων, χρόνος διατήρησης, αποδέκτες και εγγυήσεις — οφείλουν να ρυθμίζονται ρητά στο ίδιο το νομοθέτημα και όχι αποσπασματικά. Ιδιαίτερη έμφαση δίνεται στην υποχρέωση διενέργειας προηγούμενης διαβούλευσης με την ΑΠΔΠΧ κατά το άρθρο 36 παρ. 4 ΓΚΠΔ, η παράλειψη της οποίας συνιστά πλημμέλεια της νομοθετικής διαδικασίας.

Οι Κατευθυντήριες εισάγουν επίσης πρακτική μεθοδολογία ελέγχου αναλογικότητας (τεστ αναγκαιότητας, καταλληλότητας και stricto sensu αναλογικότητας) και ζητούν τεκμηριωμένη αιτιολογική έκθεση για τις επιλογές επεξεργασίας. Για ιδιωτικούς φορείς, το κείμενο λειτουργεί ως ερμηνευτικός οδηγός για την αξιολόγηση της νομιμότητας εθνικών διατάξεων που επιβάλλουν υποχρεώσεις επεξεργασίας.

Source · Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) · 2026-03-10 · dpa.gr/el/enimerwtiko/prakseisArxis/kateythyntiries-grammes-12026

05 / News
The Boundaries of Research

ΕΣΠΔ: Νέες Κατευθυντήριες για την επεξεργασία δεδομένων στην επιστημονική έρευνα

Reading · 4 min Risk Sector · Academia, Pharma, Tech Scope · EU
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αποσαφηνίζει την έννοια της επιστημονικής έρευνας, τη νομική της βάση, τον ρόλο της συγκατάθεσης και τους περιορισμούς των δικαιωμάτων των υποκειμένων υπό τον ΓΚΠΔ.

Οι νέες Κατευθυντήριες Γραμμές οριοθετούν στενά την έννοια της «επιστημονικής έρευνας» κατά τον ΓΚΠΔ, απαιτώντας μεθοδολογική αυστηρότητα, δεοντολογικά πρότυπα και στόχο διεύρυνσης της γνώσης — αποκλείοντας έτσι εμπορικές δραστηριότητες που απλώς ενδύονται με ερευνητικό μανδύα.

Διευκρινίζεται ότι η νομική βάση δεν είναι αυτόματα η συγκατάθεση του άρθρου 6(1)(α)· κατά περίπτωση μπορεί να θεμελιώνεται σε δημόσιο συμφέρον (άρθρο 6(1)(ε)) ή έννομο συμφέρον (άρθρο 6(1)(στ)), πάντοτε σε συνδυασμό με το άρθρο 9 για ειδικές κατηγορίες. Το ΕΣΠΔ επισημαίνει τη διάκριση μεταξύ «ευρείας συγκατάθεσης» (broad consent) για ερευνητικούς σκοπούς και της αυστηρής συγκατάθεσης του ΓΚΠΔ, απαιτώντας σαφείς εγγυήσεις.

Τέλος, αναλύονται οι προϋποθέσεις περιορισμού των δικαιωμάτων των υποκειμένων (άρθρα 14(5), 17(3)(δ), 89) όταν η άσκησή τους καθιστά αδύνατη ή παρεμποδίζει σοβαρά την έρευνα, υπό την προϋπόθεση κατάλληλων τεχνικών και οργανωτικών μέτρων.

Source · Lawspot · lawspot.gr/nomika-nea/epexergasia-dedomenon-gia-skopous-epistimonikes-ereunas

Marble bust half-covered by digital wireframe veil
06 / AI & GDPR
Four Fronts, One Horizon

AI & GDPR: Εικόνες, Chatbots και Πρόσβαση σε Πλατφόρμες

Reading · 6 min Risk Priority · Critical Horizon · Global + EU
Η τεχνητή νοημοσύνη μπαίνει πλέον στο στόχαστρο των εποπτικών αρχών σε τέσσερα μέτωπα ταυτόχρονα: παραγωγή εικόνων, πρόσβαση σε πλατφόρμες επικοινωνίας, εμπιστευτικότητα συνομιλιών με chatbots και πνευματική ιδιοκτησία.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) προσυπέγραψε κοινή δήλωση της Global Privacy Assembly για τις εικόνες που παράγονται από AI, υπογραμμίζοντας τους κινδύνους deepfakes, μη συναινετικού οπτικοακουστικού υλικού και παραβίασης της ιδιωτικότητας — με άμεσες συνέπειες για όσους οργανισμούς αξιοποιούν generative AI σε εικαστικό περιεχόμενο.

οι συνομιλίες με generative AI δεν απολαμβάνουν επαγγελματικού απορρήτου.
Key Finding · Issue N°002

Παράλληλα, η Meta έλαβε αρνητική κρίση ως προς την πρακτική χρέωσης τέλους σε τρίτους AI βοηθούς που επιθυμούν πρόσβαση στο WhatsApp: η χρέωση αυτή εξομοιώθηκε ουσιαστικά με απαγόρευση πρόσβασης, ζήτημα που αγγίζει τόσο τον GDPR όσο και τον DMA.

Στο μέτωπο του επαγγελματικού απορρήτου, επισημαίνεται ότι οι συνομιλίες με chatbots (π.χ. ChatGPT) δεν καλύπτονται από το δικηγορικό ή ιατρικό απόρρητο — κρίσιμο σημείο για δικηγόρους και συμβούλους που εισάγουν στοιχεία εντολών σε LLMs. Τέλος, εκδήλωση στις 7/5 θα εξετάσει τη σχέση πνευματικής ιδιοκτησίας, συλλογικής διαχείρισης και AI, ένα ζήτημα που συνδέεται άμεσα με τις νομικές βάσεις επεξεργασίας για εκπαίδευση μοντέλων.

Actionable Takeaways

  • Επανεξετάστε τις εσωτερικές πολιτικές χρήσης generative AI: απαγορεύστε ρητά την εισαγωγή προσωπικών δεδομένων εντολέων/ασθενών/πελατών σε δημόσια chatbots χωρίς enterprise συμφωνία εμπιστευτικότητας.
  • Εάν παράγετε εικόνες με AI (marketing, training material), ενσωματώστε DPIA και ελέγχους για deepfakes/βιομετρικά δεδομένα σύμφωνα με τις κατευθύνσεις EDPB/GPA.
  • Για υπηρεσίες που βασίζονται σε interoperability πλατφορμών (WhatsApp, Messenger), παρακολουθήστε την εξέλιξη της υπόθεσης Meta — ενδέχεται να επηρεάσει τα επιχειρηματικά μοντέλα AI βοηθών.
  • Τεκμηριώστε τη νομική βάση και τα rights-clearance για δεδομένα εκπαίδευσης AI, ενόψει των εξελίξεων στην πνευματική ιδιοκτησία.

FAQs

Καλύπτεται από το δικηγορικό απόρρητο ό,τι γράφω σε ένα chatbot;

Όχι. Οι συνομιλίες με generative AI δεν απολαμβάνουν επαγγελματικού απορρήτου· τα δεδομένα μπορεί να χρησιμοποιηθούν για εκπαίδευση, να διατηρηθούν από τον πάροχο ή να αποκαλυφθούν κατόπιν νομικού αιτήματος. Απαιτείται enterprise σύμβαση με ρητές εγγυήσεις ή on-premise λύση.

Τι σημαίνει πρακτικά η δήλωση του EDPB για AI-generated imagery;

Οι υπεύθυνοι επεξεργασίας που παράγουν ή διαμοιράζουν εικόνες AI οφείλουν να τηρούν αρχές νομιμότητας, ελαχιστοποίησης και ακρίβειας, να αποτρέπουν deepfakes προσώπων χωρίς συναίνεση και να αξιολογούν τον κίνδυνο μέσω DPIA, ειδικά όταν εμπλέκονται βιομετρικά χαρακτηριστικά.

Brass antique map of Europe with magnifying glass under warm lamp
07 · Fines

Επιβληθέντα πρόστιμα σε ευρωπαϊκό επίπεδο.

Συγκεντρωτική παρουσίαση αποφάσεων προστίμων από αρχές προστασίας δεδομένων κατά την περίοδο αναφοράς.

Scale. Οι ράβδοι αποδίδουν το σχετικό μέγεθος του προστίμου. Όπου δεν έχει δημοσιοποιηθεί ποσό, σημειώνεται ως n/a.
Authority Controller Magnitude Violation Date
CNIL /
Conseil d'État		 Criteo
€40.000.000		 Παραβίαση δικαιωμάτων υποκειμένων δεδομένων και αδυναμία απόδειξης έγκυρης συγκατάθεσης για ad-tech / behavioral retargeting· το Conseil d'État επικύρωσε το πρόστιμο της CNIL.noyb.eu/en/conseil-detat-upholds-criteos-eu40m-gdpr-fine 2026-03-13
AEPD
Ισπανία		 Hyundai Motor España
€2.000.000		 Παραβίαση δεδομένων που επηρέασε άνω του ενός εκατομμυρίου πελατών.lawspot.gr/nomika-nea/ispania-prostimo-2-ekat-euro-sten-hyundai 2026-04-20
ΑΠΔΠΧ Πάροχος υπηρεσιών τηλεπικοινωνίας
ποσό μη δημοσιευμένο		 Μη προσήκουσα ικανοποίηση δικαιώματος πρόσβασης εργαζομένου.dpa.gr/el/enimerwtiko/prakseisArxis/epiboli-prostimoy-se-parocho 2026-03-10
ΑΠΔΠΧ n/a
ποσό μη δημοσιευμένο		 Παραβίαση αρχών νομιμότητας και ελαχιστοποίησης κατά την επεξεργασία ειδικών κατηγοριών δεδομένων εργαζομένου.dpa.gr/el/enimerwtiko/prakseisArxis/parabiasi-arhon-nomimotitas 2026-03-10
ΑΠΔΠΧ n/a
ποσό μη δημοσιευμένο		 Παραβίαση δικαιώματος πρόσβασης πρώην εργαζομένου· επιβολή προστίμου και εντολή συμμόρφωσης.dpa.gr/el/enimerwtiko/prakseisArxis/entoli-symmorfosis-kai-prostimo 2026-03-10
ΑΠΔΠΧ n/a
ποσό μη δημοσιευμένο		 Παραβάσεις νομοθεσίας προστασίας δεδομένων σε τηλεφωνικές κλήσεις για προώθηση προϊόντων ενέργειας.dpa.gr/el/enimerwtiko/prakseisArxis/tilefonikes-kliseis-gia-proothisi 2026-03-10
Signatories

Από τους εταίρους της L+A.

Κάθε τεύχος υπογράφεται από τους εταίρους που επιβλέπουν την έκδοση. Για ένα έτος — για έναν αιώνα — το όνομα στη σελίδα είναι η υπόσχεση της συνέχειας.

Απόλλων Λατσούδης

Managing Partner

Επιβλέπει τις εταιρικές εντολές, τις αναδιαρθρώσεις και τη λειτουργία του γραφείου. Κινητήριος μηχανισμός της ομάδας Compliance.

A. Latsoudis

Ευθύμιος Λατσούδης

Partner · Data Protection

Συντονίζει την πρακτική Data Protection και τη διασυνοριακή συμμόρφωση. Manchester Law & International Business (2001).

E. Latsoudis
08 · Αντί συμπεράσματος

Η συμμόρφωση δεν είναι έγγραφο· είναι συνεχής άσκηση κρίσης.

Για εξειδικευμένα ερωτήματα σχετικά με τα θέματα αυτής της έκδοσης, η ομάδα της L+A είναι στη διάθεσή σας. Μια σύντομη συνομιλία αρκεί για να ξεχωρίσει η πραγματική έκθεσή σας από τον θόρυβο.

dpo@latsoudislaw.com latsoudislaw.com
Νομική επιφύλαξη. Το παρόν newsletter παρέχεται αποκλειστικά για ενημερωτικούς σκοπούς και δεν συνιστά νομική συμβουλή. Για εξειδικευμένη νομική καθοδήγηση επικοινωνήστε με την L+A στο dpo@latsoudislaw.com. Σε περίπτωση που δεν επιθυμείτε να λαμβάνετε πλέον τα newsletters μας, μπορείτε ανά πάσα στιγμή να μας ενημερώσετε στην ίδια διεύθυνση.
Helpdesk