Τι είναι το GDPR;

GDPR (General Data Protection Regulation) είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων της Ευρωπαϊκής Ένωσης (2016/679). Αποτελεί νέο νόμο για την διαφύλαξη και προστασία των φυσικών προσώπων (“data subjects”) έναντι της επεξεργασίας των προσωπικών τους δεδομένων καθώς και την κατοχύρωση της ελεύθερης κυκλοφορίας των προσωπικών δεδομένων εντός της Ευρωπαϊκής Ένωσης (ΕΕ).

Με το νέο κανονισμό η ΕΕ θέλει να δώσει στους πολίτες της μεγαλύτερο έλεγχο στον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά τους δεδομένα και στις επιχειρήσεις (ή τους οργανισμούς) ένα απλούστερο και σαφέστερο νομικό περιβάλλον λειτουργίας εφαρμόζοντας ένα ενιαίο νομικό πλαίσιο για όλες τις χώρες της Ένωσης.

Ποιοι υποχρεούνται σε εφαρμογή του νέου κανονισμού;

Κάθε οργανισμός που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν πολίτες - φυσικά πρόσωπα  εντός της EE, είναι υποχρεωμένος πλέον να συμμορφωθεί πλήρως με το νέο κανονισμό, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες συλλογής, διαχείρισης ή και ανάλυσης των προσωπικών δεδομένων.

Οι κανόνες δεν εφαρμόζονται για τα δεδομένα που υποβάλλονται σε επεξεργασία από φυσικά πρόσωπα για προσωπικούς λόγους ή κατ’ οίκον δραστηριότητες, υπό την προϋπόθεση ότι δεν συνδέονται με επαγγελματική, εμπορική ή κοινωνικοπολιτική δράση.

Τι ισχύει για τις μικρομεσαίες επιχειρήσεις;

Κάθε εταιρεία που εξυπηρετεί Ευρωπαίους πελάτες και συλλέγει τα δεδομένα τους, θα πρέπει να συμμορφώνονται με τη νέα οδηγία, ακόμη και αν η ίδια εδρεύει σε χώρα εκτός ΕΕ. Η εφαρμογή τού  νέου κανονισμού αφορά όλες τις εταιρείες και τους οργανισμούς ανεξάρτητα από το μέγεθός τους (αριθμός εργαζομένων ή οικονομικά μεγέθη).

Παρόλο που ο GDPR έχει σαφώς μεγαλύτερη σημασία στις μεγάλες επιχειρήσεις (εταιρείες με περισσότερους από 250 εργαζομένους), δεν εξαιρούνται από αυτόν οι μικρομεσαίες (SMEs). Επομένως, οι μικρές εταιρείες που διαθέτουν και επεξεργάζονται προσωπικά δεδομένα σε φυσική (έντυπα, χειρόγραφα αρχεία) ή ψηφιακή μορφή (όπως στοιχεία συνεργατών ή πελατών eshop, συστήματα CRM, ή marketing web sites) θα πρέπει να εφαρμόσουν τον κανονισμό.

Ωστόσο, o κανονισμός λαμβάνοντας υπόψιν τις ιδιαιτερότητες και τους περιορισμούς στους οποίους υπόκεινται οι μικρές επιχειρήσεις διευκολύνει την εφαρμογή του περιλαμβάνοντας τις ακόλουθες παρεκκλίσεις:

• Δεν απαιτείται η πρόσληψη υπεύθυνου ασφαλείας δεδομένων (Data Protection Officer). Από την παρέκκλιση αυτή εξαιρούνται οι μικρές επιχειρήσεις που διαχειρίζονται ευαίσθητα δεδομένα (π.χ δεδομένα που αφορούν ποινικές καταδίκες) και οι επιχειρήσεις που λόγω του αντικειμένου και του πεδίου εφαρμογής απαιτούν τακτική και συστηματική παρακολούθηση φυσικών προσώπων (όπως εταιρείες εύρεσης εργασίας, εισπρακτικές, ασφαλιστικές, εταιρείες direct marketing, ad tracking και personalised advertising).
• Δεν απαιτείται η τήρηση αρχείου δραστηριοτήτων επεξεργασίας (άρθρο 30, παρ. 5). Εξαιρούνται οι μικρές επιχειρήσεις στις οποίες: η επεξεργασία των δεδομένων μπορεί να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, η επεξεργασία δεν είναι περιστασιακή ή περιλαμβάνει ειδικές κατηγορίες δεδομένων (άρθρο 9, προσωπικά δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10).

Τι είναι τα δεδομένα προσωπικού χαρακτήρα;

Τα δεδομένα προσωπικού χαρακτήρα είναι οποιαδήποτε πληροφορία που μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση αναγνώριση ενός ατόμου. Ουσιαστικά, τα "προσωπικά δεδομένα" αναφέρονται σε οποιαδήποτε πληροφορία σχετικά με ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») είτε ζει σε κράτος μέλος της ΕΕ είτε συμμετέχει σε επιχείρηση της ΕΕ. Με απλά λόγια: οτιδήποτε γνωρίζει η εταιρεία σας σχετικά με τους πελάτες σας, τους εργαζόμενους ή τους υπαλλήλους των συνεργατών σας, ορίζεται ως "προσωπικά δεδομένα".

Όταν οι πελάτες σας καταχωρούν τα ονόματα ή τις διευθύνσεις ηλεκτρονικού ταχυδρομείου στο eshop σας, συλλέγετε προσωπικά δεδομένα. Το ίδιο ισχύει αν παρακολουθείτε τις διευθύνσεις IP για να ταξινομήσετε τους επισκέπτες του eshop σας ανά χώρα. Οτιδήποτε μπορεί να βοηθήσει στην ταυτοποίηση ενός ατόμου μετράει ως προσωπικό δεδομένο. Χαρακτηριστικά παραδείγματα προσωπικών δεδομένων:

• Όνομα
• Διεύθυνση
• Τηλέφωνικός αριθμός, FAX, skype, viber, …
• Φωτογραφία, video
• Ημερομηνία γέννησης
• Αριθμός ταυτότητας, ΑΦΜ, κ.λπ.
• Email. To email ενός πελάτη ή εργαζόμενου αποτελεί προσωπικό δεδομένο. Email όπως info@ και sales@ δεν αποτελούν προσωπικό δεδομένο εφόσον δε σχετίζονται με συγκεκριμένο πρόσωπο μέσω εγγραφής σε κάποιο αρχείο ή βάση δεδομένων.
• Online αναγνωριστικά. Αφορούν ψηφιακά αναγνωριστικά όπως η διεύθυνση IP, τα δεδομένα ενός cookie, το MAC address ενός υπολογιστή ή το IMEI ενός κινητού.

Όταν συλλέγονται χωριστά ορισμένα δεδομένα ενδέχεται να μην παρέχουν άμεση σύνδεση με ένα φυσικό πρόσωπο. Αν έχετε για παράδειγμα ένα πολύ συνηθισμένο όνομα, θα χρειαστείτε περισσότερα στοιχεία για να αναγνωρίσετε κάποιον. Το ίδιο ισχύει και για μια διεύθυνση κατοικίας, αν ζουν περισσότερα από ένα άτομα στο ίδιο σπίτι, ή για την ημερομηνία γέννησής σας - οι πιθανότητες είναι ότι περισσότερα από ένα άτομα γεννήθηκαν την ίδια ημερομηνία με εσάς ή τον τόπο γέννησής σας. Ωστόσο, εάν ξεκινήσετε να συνδυάζετε δύο ή περισσότερα από αυτά τα δεδομένα, μπορείτε να προσδιορίσετε με μοναδικό τρόπο ένα άτομο. Η ταυτότητά σας, ο αριθμός τηλεφώνου, ο τραπεζικός σας λογαριασμός και ο αριθμός της πιστωτικής σας κάρτας αντιπροσωπεύουν δεδομένα που είναι μοναδικά για κάθε άτομο και συνεπώς θα οδηγήσουν σε αναγνώριση. Τέτοιου είδους δεδομένα αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Τι σημαίνει επεξεργασία;

Ως επεξεργασία ορίζεται κάθε ενέργεια ή σειρά ενεργειών που πραγματοποιούνται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα. Περιλαμβάνει οποιαδήποτε από τις ακόλουθες ενέργειες: συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, μεταβολή, ανάκτηση, αναζήτηση, συσχέτιση, κοινοποίηση, διάδοση, διαγραφή / καταστροφή.

Για παράδειγμα, η συμπλήρωση φόρμας επικοινωνίας από τον χρήστη ενός eshop στην οποία συμπεριλαμβάνεται το ονοματεπώνυμο και το email του, συνεπάγεται ότι ο λήπτης του μηνύματος (διαχειριστής του eshop) συλλέγει τα προσωπικά δεδομένα του χρήστη και αυτή η ενέργεια συνιστά "επεξεργασία” προσωπικών δεδομένων.

Πότε επιτρέπεται η επεξεργασία των προσωπικών δεδομένων;

Το GDPR επιτρέπει την επεξεργασία των προσωπικών δεδομένων μόνο όταν ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

1. το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς (π.χ. Ο πελάτης ενός eshop έχει συναινέσει στην χρήση των προσωπικών του δεδομένων για το marketing και τη διαφήμιση),
2. η επεξεργασία είναι απαραίτητη στα πλαίσια της εκπλήρωσης μιας σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος (π.χ. δεδομένα πελάτη που χρειάζονται για την ηλεκτρονική πληρωμή ή για την παράδοση ενός προϊόντος),
3. η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με το νόμο (νομική υποχρέωση),
4. η επεξεργασία είναι απαραίτητη για την διάσωση ή την προστασία της ζωής ενός ατόμου (του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου),
5. η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθηκόντων για την εξυπηρέτηση του δημοσίου συμφέροντος σε επίσημες λειτουργίες (ισχύει για κυβερνητικούς οργανισμούς),
6. η επεξεργασία είναι απαραίτητη για τα έννομα συμφέροντα ενός οργανισμού ή ενός συνδεδεμένου τρίτου, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων.

Ποιοι εμπλέκονται;

• Υπεύθυνος Επεξεργασίας (Data Controller): Οποιοσδήποτε οργανισμός ή φυσικό πρόσωπο καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων (π.χ. Η εταιρεία στην οποία ανήκει ένα e-shop συλλέγει προσωπικά δεδομένα των πελατών της για την εξυπηρέτησή τους).
• Εκτελών την επεξεργασία (Data Processor): Οποιοσδήποτε οργανισμός ή φυσικό πρόσωπο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας (π.χ. Οι εταιρείες που παρέχουν υπηρεσίες φιλοξενίας, marketing, ανάπτυξης και διαχείρισης λογισμικού, μεταφοράς προϊόντων και ηλεκτρονικών πληρωμών στην εταιρεία στην οποία ανήκει το eShop).
• Εποπτική Αρχή (Data Protection Authority): Η ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος επιφορτισμένη με την παρακολούθηση της εφαρμογής του κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων στην Ένωση. Στην χώρα μας αρμόδιος φορέας είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ - www.dpa.gr) η οποία είναι συνταγματικά κατοχυρωμένη ανεξάρτητη αρχή και θα έχει την εξουσία να επιβάλλει κλιμακούμενα πρόστιμα.
• Υπεύθυνος Προστασίας δεδομένων (Data Protection Officer - DPO): Πρόκειται για τον υπεύθυνο που ορίζει η επιχείρηση (Υπεύθυνος Επεξεργασίας) για την παρακολούθηση της συμμόρφωσης με τον νέο κανονισμό και αποτελεί το σημείο επίσημης επικοινωνίας της επιχείρησης με την Εποπτική Αρχή, καθώς και με κάθε υποκείμενο που υπόκεινται σε επεξεργασία προσωπικών δεδομένων (π.χ. πελάτης ή εργαζόμενος). Επίσης, είναι αρμόδιος για την ενημέρωση και εκπαίδευση της επιχείρησης στις απαιτήσεις του κανονισμού, για την παροχή συμβουλών, για την εκτίμηση του αντικτύπου (DPIA) καθώς και για την τήρηση των αρχείων καταγραφής. Όπως αναφέραμε ήδη (“Τι ισχύει για τις μικρομεσαίες επιχειρήσεις”) ο κανονισμός δεν απαιτεί την πρόσληψη ή τον διορισμό DPO για την πλειοψηφία των μικρών εταιρειών. Αυτό δε σημαίνει πως εξαιρούνται από την εφαρμογή του GPDR! Εξακολουθεί να απαιτείται από αυτές μία σειρά από προληπτικές ενέργειες, η εκπαίδευση του εμπλεκόμενου προσωπικού στη διαχείριση των προσωπικών δεδομένων, και η αναφορά στις αρχές των περιστατικών παραβίασης εντός 72 ωρών. Σε κάθε περίπτωση η επιχείρηση θα πρέπει να ορίσει ένα πρόσωπο ως υπεύθυνο για την εφαρμογή του κανονισμού και ιδιαίτερα για την τήρηση των κανόνων προστασίας σχετικά με τα προσωπικά δεδομένα που επεξεργάζεται.

Τα δικαιώματα του υποκειμένου των δεδομένων

Στο κεφάλαιο ΙΙΙ του κανονισμού γίνεται αναλυτική παρουσίαση των δικαιωμάτων των υποκειμένων (πελάτες / χρήστες). Με αυτά είναι δυνατή η αποτελεσματική προστασία των προσωπικών τους δεδομένων, καθώς η πρόβλεψη αυτών (μέσω GDPR) τα καθιστά αγώγιμα και υποχρεώνει τον υπεύθυνο επεξεργασίας (την εταιρεία) στην ικανοποίηση τους. Τα βασικά δικαιώματα των πελατών σχετικά με τα προσωπικά τους δεδομένα είναι:

• Το δικαίωμα της ενημέρωσης του πελάτη για την επεξεργασία των προσωπικών του δεδομένων. Οι εταιρείες θα πρέπει να είναι απόλυτα διαφανείς ως προς τον τρόπο με τον οποίο χρησιμοποιούν προσωπικά δεδομένα.
• Το δικαίωμα πρόσβασης με το οποίο οι πελάτες ενός eshop θα έχουν το δικαίωμα να γνωρίζουν επακριβώς ποιες πληροφορίες υφίστανται επεξεργασία, πώς και για ποιο σκοπό. Ο πελάτης έχει το δικαίωμα να λαμβάνει από την εταιρεία επιβεβαίωση για το κατά πόσο ή όχι τα δεδομένα που το αφορούν υφίστανται επεξεργασία και έχει πρόσβαση σε όλα τα προσωπικά δεδομένα και σε πλήθος πληροφοριών όπως αυτές αναφέρονται στο άρθρο 15.
• Το δικαίωμα διόρθωσης – οι πελάτες θα έχουν το δικαίωμα να ζητήσουν διόρθωση των προσωπικών τους δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.
• Το δικαίωμα μεταφοράς (φορητότητα). Ο πελάτης έχει το δικαίωμα να λαμβάνει τα προσωπικά του δεδομένα, τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένη, κοινώς χρησιμοποιούμενη και αναγνώσιμη από μηχανήματα μορφή (JSON, CSV ή XML).
• Το δικαίωμα εναντίωσης (ένσταση) στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα και τον τερματισμό της επεξεργασίας αυτών εάν αυτή γίνεται για:
  • σκοπούς άμεσου μάρκετινγκ,
  • επιστημονική/ιστορική έρευνα και για την κατάρτιση στατιστικών,
  • το προσωπικό νόμιμο συμφέρον της εταιρείας ή του οργανισμού ή κατά την εκτέλεση εργασίας για το δημόσιο συμφέρον ή για λογαριασμό επίσημης αρχής.
• Το δικαίωμα διαγραφής, γνωστό ως «το δικαίωμα λήθης», αναφέρεται στο δικαίωμα ενός ατόμου να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων χωρίς να χρειάζεται κάποιος συγκεκριμένος λόγος, εφόσον τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα ή αν το υποκείμενο ανακαλέσει τη συγκατάθεσή του ή εφόσον δεν υπάρχει άλλη νομική βάση για την επεξεργασία τους.
• Το δικαίωμα περιορισμού της επεξεργασίας το οποίο μπορεί να ασκήσει ο πελάτης όταν δεν είναι σαφές εάν και πότε τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να διαγραφούν. Αυτό το δικαίωμα μπορεί να ασκηθεί εφόσον:
  • αμφισβητείται η ακρίβεια των σχετικών δεδομένων,
  • δεν επιθυμεί τη διαγραφή τους,
  • τα δεδομένα δεν είναι πλέον απαραίτητα για τον αρχικό σκοπό αλλά δεν μπορούν να διαγραφούν ακόμα εξαιτίας νομικών λόγων,
  • έχει εναντιωθεί στην επεξεργασία και η σχετική απόφαση εκκρεμεί.

Ποιες είναι οι υποχρεώσεις των μικρομεσαίων εταιρειών;

Είναι σημαντικό να γίνει απολύτως κατανοητό πως από την εφαρμογή του νέου κανονισμού επηρεάζεται το σύνολο των λειτουργιών μιας επιχείρησης στην οποία χρησιμοποιούνται προσωπικά δεδομένα, σε οποιαδήποτε μορφή (π.χ. λογιστήριο, πωλήσεις, HR, τμήμα πληροφορικής).

Στα πλαίσια της λειτουργίας ενός eshop μια εταιρεία (Υπεύθυνος Επεξεργασίας) θα πρέπει:

• Να παρέχει σαφή γνωστοποίηση για τη συλλογή προσωπικών δεδομένων προσδιορίζοντας με σαφήνεια το λόγο και τις περιπτώσεις επεξεργασίας των δεδομένων προς τους πελάτες. Θα πρέπει να διαθέτει σαφή και κατανοητή Πολιτική Απορρήτου (Privacy Policy ή Privacy Notice) στην οποία θα παρέχει στον πελάτη (το υποκείμενο) όλες τις πληροφορίες που απαιτεί ο GDPR όπως:
  • την επεξεργασία που διενεργεί, δηλαδή ποιος είναι ο υπεύθυνος επεξεργασίας (η εταιρεία), τα στοιχεία επικοινωνίας του, τους σκοπούς επεξεργασίας, κ.λπ.,
  • τη διάρκεια διατήρησης αυτών των δεδομένων (ή τα κριτήρια για τον καθορισμό της διάρκειας αποθήκευσης των δεδομένων - η αποθήκευση των δεδομένων πρέπει να γίνεται για το ελάχιστο χρονικό διάστημα που απαιτείται για την διεκπεραίωση του αρχικού σκοπού,
  • τα άτομα ή τους οργανισμούς με τους οποίους θα γίνει κοινή χρήση των προσωπικών δεδομένων,
  • τα δικαιώματά του (συλλογή, διόρθωση, διαγραφή, εναντίωση, κλπ.),
  • τον υπεύθυνο της εταιρείας και τα στοιχεία της αρμόδιας εποπτικής αρχής προκειμένου να υποβάλει καταγγελία
• Να λαμβάνει συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων. Οι πελάτες (τα φυσικά πρόσωπα) θα πρέπει να γνωρίζουν το σκοπό της συλλογής των δεδομένων και να δίνουν ρητή συγκατάθεση στην εταιρεία. Δεν επιτρέπεται η επεξεργασία των δεδομένων για κανένα άλλο σκοπό πέρα από τον αρχικό σκοπό που κοινοποιήθηκε στα φυσικά πρόσωπα.
• Να ικανοποιεί τα δικαιώματα των πελατών (υποκείμενα) όπως ορίζει ο νέος κανονισμός παρέχοντας τα αναγκαία “ηλεκτρονικά εργαλεία” για να:
  • Έχουν πρόσβαση στα δεδομένα τους
  • Διορθώνουν τα δεδομένα τους
  • Διαγράφουν τα δεδομένα τους
  • Ανακαλούν την συγκατάθεση
  • Ορίζουν περιορισμούς στην επεξεργασία των δεδομένων
  • Λαμβάνουν το σύνολο των προσωπικών τους δεδομένων σε ηλεκτρονική μορφή.
• Να προστατεύει τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας. Η εταιρεία θα πρέπει να ελέγξει ότι έχει λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα για την εξασφάλιση της προστασίας των προσωπικών δεδομένων. Ορισμένα ιδιαίτερα σημαντικά είναι:
  • Ο περιορισμός του αριθμού των ατόμων (εργαζόμενων ή συνεργατών) που μπορούν να αποκτούν πρόσβαση στα προσωπικά δεδομένα./li>
  • H ενημέρωση του προσωπικού ώστε να αποφευχθεί η διαρροή δεδομένων από παραβλέψεις και λάθη.
  • H εξουσιοδοτημένη και ελεγχόμενη πρόσβαση στα δεδομένα σε συγκεκριμένους χρήστες ή ρόλους χρηστών (εργαζόμενοι / συνεργάτες) με βάση τα καθήκοντά τους.
  • Το αρχείο καταγραφής πρόσβασης των χρηστών - διαχειριστών του eshop (access log file).
  • Μοναδικό Όνομα Χρήστη (username) με προσωπικό κωδικό (password) για κάθε χρήστη (εργαζόμενο / συνεργάτη).
  • H κρυπτογράφηση των κωδικών (password) και η αλλαγή τους σε τακτά χρονικά διαστήματα.
  • Η κρυπτογράφηση της μετάδοσης των δεδομένων με χρήση HTTPS (SSL).
  • H θέσπιση διαδικασιών γρήγορης αποκατάστασης της διαθεσιμότητας (backup).
  • Η εγκατάσταση εφαρμογών (anti-virus & firewall) οι οποίες θα προστατεύουν το eshop από κακόβουλο λογισμικό.
  • Ο έλεγχος των διασυνδέσεων του eshop με εξωτερικές εφαρμογές, πλατφόρμες ή τρίτα συστήματα (π.χ. ERP, CRM, Google Analytics, Facebook).
• Να γνωστοποιεί στις αρχές τις παραβιάσεις προσωπικών δεδομένων. Κάθε παραβίαση των προσωπικών δεδομένων πρέπει να κοινοποιείται στον αρμόδιο φορέα (για την Ελλάδα, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) εντός 72 ωρών από τον εντοπισμό της παραβίασης, όπως και να κοινοποιείται η παραβίαση και στα φυσικά

H santso.gr συμμορφώνεται με την τήρηση του GDPR.