Brief σε 2' →
Αρχική / Blog / Cookie Banner & GDPR
Νομικά & Κανονισμοί · 8 λεπτά ανάγνωση

Το Cookie Banner σου Είναι Μάλλον Παράνομο. Και Δεν Φταίει ο GDPR.

25 Φεβρουαρίου 2026 · 8 λεπτά ανάγνωση · Αντώνης Καβίδας

Το 90% των ελληνικών websites έχουν cookie banner. Και τα περισσότερα παραβιάζουν τον νόμο — χωρίς να το ξέρει κανείς.

Όχι επειδή ο GDPR είναι περίπλοκος. Αλλά επειδή υπάρχει ένας δεύτερος νόμος που κανείς δεν αναφέρει, επειδή τα έτοιμα plugins κάνουν τη δουλειά τους λάθος, και επειδή η «συμβουλή» που λαμβάνουν οι περισσότεροι ιδιοκτήτες ιστοσελίδων σταματά στο «βάλε ένα banner».

Disclaimer Δεν είμαι δικηγόρος. Αυτό το άρθρο είναι πληροφοριακό — για τη συγκεκριμένη νομική σου θέση συμβουλέψου ειδικό. Ό,τι γνωρίζω, το γνωρίζω ως developer που φτιάχνει websites και διάβασε τα σχετικά νομοθετήματα για να κάνω καλύτερα τη δουλειά μου.

Δύο νόμοι, όχι ένας

Οι περισσότεροι ξέρουν για τον GDPR (Γενικό Κανονισμό Προστασίας Δεδομένων). Αυτό που δεν ξέρουν είναι ότι τα cookies ρυθμίζονται κυρίως από έναν άλλο νόμο: την ePrivacy Οδηγία (2002/58/ΕΚ, τελευταία τροπ. 2009), που στην Ελλάδα ενσωματώθηκε με τον Ν. 3471/2006.

Η διαφορά είναι σημαντική:

  • GDPR: Αφορά την επεξεργασία προσωπικών δεδομένων γενικά. Ισχύει όταν συλλέγεις, αποθηκεύεις ή επεξεργάζεσαι δεδομένα που ταυτοποιούν ή μπορούν να ταυτοποιήσουν ένα άτομο.
  • ePrivacy / Ν. 3471/2006: Αφορά ειδικά τα cookies και παρόμοιες τεχνολογίες. Απαιτεί ενεργή συγκατάθεση πριν αποθηκευτεί οτιδήποτε στη συσκευή του χρήστη — ανεξάρτητα από το αν τα δεδομένα είναι «προσωπικά» με την έννοια του GDPR.

Πρακτικά: ακόμα και αν δεν συλλέγεις κανένα προσωπικό δεδομένο, αν η ιστοσελίδα σου φορτώνει cookies τρίτων (Google Analytics, Facebook Pixel, Google Fonts) χωρίς συγκατάθεση, παραβιάζεις τον Ν. 3471/2006.

Η οπτική μου: Η βιομηχανία φόβου, και τι όντως χρειάζεσαι

Προσωπική γνώμη ως developer, όχι νομική συμβουλή.

Το cookie compliance έχει γίνει βιομηχανία φόβου. Εταιρείες πουλάνε «cookie audits» των €500, SaaS solutions των €30/μήνα, και compliance packages που κοστίζουν περισσότερο από το ίδιο το website.

Η πραγματικότητα για έναν ελεύθερο επαγγελματία ή μικρή επιχείρηση: τα βασικά δεν είναι τεχνικά δύσκολα. Αν φτιάξεις η ιστοσελίδα σου σωστά από την αρχή — conditionally loading scripts, Google Fonts locally, proper consent UI — δεν χρειάζεσαι κανένα monthly subscription.

Αυτό που χρειάζεσαι:

  • Σωστό cookie banner component (υπάρχουν open-source λύσεις)
  • Google Fonts σερβιρισμένα locally
  • Google Analytics που φορτώνει μόνο μετά από consent
  • Μία cookie policy page που περιγράφει τι χρησιμοποιείς

Αυτά είναι δύο-τρεις ώρες δουλειάς σε νέο website. Σε υπάρχον, λίγο παραπάνω ανάλογα με το πώς είναι φτιαγμένο.

Το να πληρώνεις €30/μήνα σε SaaS tool που βάζει ένα banner επάνω ση ιστοσελίδα σου χωρίς να διορθώνει τα underlying scripts — αυτό είναι compliance theatre, όχι πραγματική συμμόρφωση.

Τα 5 πιο κοινά λάθη σε ελληνικές ιστοσελίδες

Βλέπω αυτά επανειλημμένα, σε ιστοσελίδες μικρών επιχειρήσεων και επαγγελματιών που πίστευαν ότι ήταν εντάξει. Σημείωσα τη σοβαρότητα κάθε λάθους — γιατί δεν είναι όλα ίδια:

1. Το banner εμφανίζεται, αλλά τα cookies φορτώνουν ήδη. Κρίσιμο Ο χρήστης βλέπει το popup, αλλά το Google Analytics έχει ήδη «πυροβολήσει» — το tracking έγινε πριν δοθεί συγκατάθεση. Αυτό συμβαίνει σε πολλά έτοιμα WordPress plugins που δεν μπλοκάρουν σωστά τα scripts. Είναι το πιο σοβαρό λάθος γιατί καθιστά το ίδιο το banner άχρηστο.

2. Μόνο κουμπί «Αποδοχή», χωρίς «Απόρριψη». Κρίσιμο Η συγκατάθεση πρέπει να είναι εξίσου εύκολο να δοθεί και να αρνηθεί. Αν δεν υπάρχει εμφανές κουμπί απόρριψης, το banner δεν είναι νόμιμο — ανεξάρτητα από το τι λέει το κείμενό του.

3. «Συνεχίζοντας την περιήγηση αποδέχεστε τα cookies.» Κρίσιμο Αυτή η φράση, που εμφανίζεται σε χιλιάδες ελληνικές ιστοσελίδες, δεν αποτελεί έγκυρη συγκατάθεση. Η απλή χρήση της ιστοσελίδας δεν ισοδυναμεί με ενεργή, ρητή συναίνεση — το έχει ξεκαθαρίσει η ΑΠΔΠΧ.

4. Όλα τα cookies προεπιλεγμένα «ενεργά». Σημαντικό Τα checkboxes για marketing ή analytics δεν μπορεί να είναι προεπιλεγμένα τσεκαρισμένα. Η συγκατάθεση πρέπει να είναι opt-in, όχι opt-out.

5. Το banner εξαφανίζεται μετά από μία επίσκεψη, αλλά η συγκατάθεση δεν αποθηκεύεται σωστά. Minor Ορισμμια ιστοσελίδαs «θυμούνται» την επιλογή μόνο για την τρέχουσα session. Μετά, φορτώνουν ξανά τα cookies χωρίς νέα συγκατάθεση. Πιο σπάνιο, αλλά υπάρχει.

Πώς μοιάζει το σωστό banner

Ένα νόμιμο cookie banner πρέπει να πληροί συγκεκριμένες προϋποθέσεις. Δεν αρκεί να «υπάρχει» — πρέπει να λειτουργεί σωστά:

  • Εμφανίζεται πριν φορτωθεί οποιοδήποτε μη-αναγκαίο cookie. Τα analytics, marketing, και social media scripts πρέπει να είναι μπλοκαρισμένα μέχρι να δοθεί συγκατάθεση.
  • Προσφέρει εξίσου εμφανή επιλογή αποδοχής και απόρριψης. Τα δύο κουμπιά πρέπει να είναι ορατά στο ίδιο επίπεδο — όχι «Αποδοχή» με μεγάλο πράσινο κουμπί και «Ρυθμίσεις» κρυμμένο σε μικρά γράμματα.
  • Έχει κατηγορίες cookies με opt-in επιλογές. Χωριστά checkboxes για αναγκαία (προεπιλεγμένα, δεν απενεργοποιούνται), analytics, marketing, third-party.
  • Αποθηκεύει την επιλογή σωστά και για αρκετό διάστημα. Συνήθως 6-12 μήνες, ώστε ο χρήστης να μην βλέπει το banner σε κάθε επίσκεψη.
  • Επιτρέπει ανάκληση συγκατάθεσης. Πρέπει να υπάρχει τρόπος ο χρήστης να αλλάξει γνώμη — συνήθως σύνδεσμος στο footer «Ρυθμίσεις cookies».
  • Δεν χρησιμοποιεί dark patterns. Η ΑΠΔΠΧ έχει εκδώσει οδηγίες κατά παραπλανητικών σχεδιαστικών επιλογών που κάνουν σκόπιμα δύσκολη την απόρριψη.

Third-party scripts: η κρυφή παγίδα

Ακόμα και αν το banner σου είναι τέλειο, μπορεί να παραβιάζεις τον νόμο μέσα από third-party scripts που δεν σκέφτηκες ποτέ ως «cookies».

Google Fonts

Αν φορτώνεις Google Fonts από τους servers της Google — πράγμα που κάνουν οι περισσότεροι, γιατί η Google παρέχει το απλό `<link href="fonts.googleapis.com">` — τότε η IP διεύθυνση κάθε επισκέπτη στέλνεται στη Google χωρίς συγκατάθεση. Γερμανικό δικαστήριο (LG München, 2022) επέβαλε €100 ανά χρήστη σε ιστοσελίδα που έκανε ακριβώς αυτό.

Λύση: Κατέβασε τις γραμματοσειρές και serve τις locally. Δύο γραμμές κώδικα παραπάνω, μηδέν πρόβλημα.

Google Maps

Το embedded Google Maps widget φορτώνει cookies και στέλνει δεδομένα στη Google. Αν το ενσωματώνεις απευθείας, χρειάζεται συγκατάθεση. Εναλλακτικά: χρησιμοποίησε static image με σύνδεσμο, ή lazy-load το map μόνο αφού ο χρήστης κάνει click σε placeholder.

Social media widgets & live chat

Facebook Like button, Instagram feed, Tawk.to, Intercom — όλα αυτά φορτώνουν third-party cookies. Αν τα έχεις ενσωματωμένα στην ιστοσελίδα, πρέπει να μπλοκάρονται μέχρι να δοθεί συγκατάθεση για την αντίστοιχη κατηγορία.

Η λέξη «cookie» δεν εμφανίζεται πουθενά στον κώδικα, αλλά οι πληροφορίες που φεύγουν από τον browser του χρήστη είναι πραγματικές.

Πόσο σοβαρά είναι αυτά;

Είναι παράνομα. Αυτό είναι ξεκάθαρο.

Η πιθανότητα άμεσης κύρωσης για μικρή επιχείρηση είναι χαμηλή — η ΑΠΔΠΧ λειτουργεί κυρίως με βάση καταγγελίες, και η πρώτη της κίνηση σε πρώτη παράβαση είναι συνήθως προειδοποίηση και εντολή συμμόρφωσης, όχι πρόστιμο.

Αλλά αυτό αλλάζει. Και πιο σημαντικό: η διόρθωση κοστίζει 2-3 ώρες δουλειάς. Δεν είναι ότι θα χρειαστεί υπερβολική επένδυση για να είναι νόμιμο.

Τα σενάρια αυξημένου κινδύνου παραμένουν:

  • Ανταγωνιστές που καταγγέλλουν. Συμβαίνει — ειδικά σε κλάδους με έντονο ανταγωνισμό.
  • Πελάτες ή χρήστες που γνωρίζουν τα δικαιώματά τους. Αυξάνονται χρόνο με τον χρόνο.
  • Automated scanners. Ευρωπαϊκές αρχές χρησιμοποιούν bots που σκανάρουν websites μαζικά για παραβιάσεις.
  • Websites με ευαίσθητα δεδομένα. Γιατρός, ψυχολόγος, δικηγόρος — η ΑΠΔΠΧ δίνει προτεραιότητα σε ευαίσθητους κλάδους. Αν είσαι σε αυτές τις κατηγορίες, διάβασε και το «European Accessibility Act στην Ελλάδα» — η ίδια λογική compliance ισχύει.

Η ουσία: δεν χρειάζεται να πανικοβληθείς, αλλά δεν χρειάζεται και να αγνοήσεις. Η διόρθωση είναι ένα απόγευμα δουλειάς, και σου γλιτώνει headaches από εδώ και πέρα.

9 σημεία να ελέγξεις σήμερα

Σύντομη λίστα για να καταλάβεις πού βρίσκεσαι. Τα περισσότερα μπορεί να σου τα ελέγξει ο dev σου σε 15 λεπτά.

  • 01 Όταν μπαίνει κάποιος ση ιστοσελίδα σου, υπάρχουν cookies από analytics/marketing/social πριν δώσει συγκατάθεση; (Αν ναι, σοβαρό πρόβλημα.)
  • 02 Υπάρχει κουμπί «Απόρριψη» εξίσου εμφανές με το «Αποδοχή»;
  • 03 Τα checkboxes κατηγοριών είναι unchecked by default; Marketing και analytics δεν μπορεί να είναι προεπιλεγμένα ενεργά.
  • 04 Υπάρχει σύνδεσμος «Ρυθμίσεις cookies» στο footer; Ο χρήστης πρέπει να μπορεί να αλλάξει επιλογές ανά πάσα στιγμή.
  • 05 Φορτώνεις Google Fonts από fonts.googleapis.com; Αν ναι, ζήτα από τον dev σου να τα κατεβάσει locally.
  • 06 Έχεις embedded Google Maps, Facebook widget, ή live chat; Πρέπει να μπλοκάρονται μέχρι συγκατάθεση.
  • 07 Το Google Analytics script φορτώνει conditionally; Μόνο αφού δοθεί συγκατάθεση — όχι πάντα.
  • 08 Έχεις cookie policy page; Το banner πρέπει να συνδέεται σε αναλυτική περιγραφή κάθε cookie που χρησιμοποιείς.
  • 09 Η επιλογή αποθηκεύεται για 6-12 μήνες; Ο χρήστης δεν πρέπει να βλέπει το banner σε κάθε επίσκεψη αν ήδη έχει επιλέξει.

Αν απαντάς «δεν ξέρω» σε 2 ή περισσότερα από αυτά, είναι ώρα για audit. Όχι €500 audit — απλή κουβέντα με κάποιον που ξέρει.

Επόμενο βήμα

Αν θες να το δούμε στα δικά σου δεδομένα

Διάβασες όλο αυτό και πιθανότατα ανακάλυψες ότι η ιστοσελίδα σου έχει 1-2 από τα παραπάνω προβλήματα. Φυσιολογικό — τα έχουν το 90% των ελληνικών websites.

Αν θες να το δούμε μαζί, να καταλάβεις πού είσαι εκτεθειμένος και τι ακριβώς πρέπει να διορθωθεί, κλείσε ένα online call. Δεν είναι sales call. Είναι συζήτηση όπου σου λέω ευθέως τι θα έκανα στη θέση σου — και αν η λύση είναι τόσο απλή ώστε να την κάνεις μόνος σου.

Ας μιλήσουμε

Γιατί στο τέλος της ημέρας, ένα cookie banner δεν είναι για να εντυπωσιάσει την Αρχή Προστασίας Δεδομένων. Είναι για να σέβεται τον χρήστη σου — και να σε προστατεύει.

— Αντώνης

Συχνές ερωτήσεις

Χρειάζομαι cookie banner αν χρησιμοποιώ μόνο Google Analytics;
Ναι. Το Google Analytics χρησιμοποιεί cookies που παρακολουθούν χρήστες, άρα απαιτεί συγκατάθεση πριν φορτωθεί. Δεν εξαιρείται επειδή είναι «analytics» — μόνο τα cookies που είναι αυστηρά αναγκαία για τη λειτουργία της ιστοσελίδας (π.χ. session cookies, cart cookies) εξαιρούνται από την υποχρέωση συγκατάθεσης.
Το «συνεχίζοντας την περιήγηση αποδέχεστε τα cookies» είναι νόμιμο;
Όχι. Αυτή η φράση, που συχνά εμφανίζεται στο footer ή σε μία μικρή μπάρα, δεν αποτελεί έγκυρη συγκατάθεση. Η ΑΠΔΠΧ και οι ευρωπαϊκές ρυθμιστικές αρχές έχουν διευκρινίσει ότι η scrolling ή η γενική χρήση της ιστοσελίδας δεν ισοδυναμεί με συγκατάθεση. Χρειάζεται ενεργή, ρητή ενέργεια του χρήστη.
Μπορώ να έχω το κουμπί «Αποδοχή» πιο εμφανές από το «Απόρριψη»;
Τεχνικά επιτρέπεται να υπάρχει ιεραρχία οπτικά, αλλά δεν μπορεί να είναι παραπλανητική. Η ΑΠΔΠΧ έχει εκδώσει οδηγίες κατά των «dark patterns» που κάνουν σκόπιμα δύσκολη την απόρριψη. Τα δύο κουμπιά πρέπει να είναι εξίσου ορατά και η επιλογή απόρριψης να μην απαιτεί επιπλέον βήματα.
Τι γίνεται με τα Google Fonts και τον GDPR;
Αν φορτώνεις Google Fonts από τους servers της Google (και όχι locally), μεταφέρεις IP addresses χρηστών στις ΗΠΑ χωρίς συγκατάθεση. Γερμανικό δικαστήριο επέβαλε πρόστιμο 100€ ανά χρήστη για αυτή την πρακτική. Η λύση: κατέβασε τις γραμματοσειρές και serve τις locally από τον server σου.
Πόσο μεγάλο είναι το πρόστιμο αν το cookie banner μου δεν είναι νόμιμο;
Η ΑΠΔΠΧ μπορεί να επιβάλει πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου τζίρου (όποιο είναι μεγαλύτερο) για σοβαρές παραβιάσεις του GDPR. Για παραβάσεις της ePrivacy Οδηγίας τα εθνικά πρόστιμα είναι συνήθως μικρότερα, αλλά αυξάνονται. Στην πράξη, η ΑΠΔΠΧ ξεκινά με προειδοποίηση και εντολή συμμόρφωσης για πρώτες παραβάσεις.
Διαβάστε επίσης
Αντώνης Καβίδας
Γράφει
Αντώνης Καβίδας
Founder, Instatok