Στις 29 Ιουνίου 2026, το Συμβούλιο της Ευρωπαϊκής Ένωσης έδωσε την τελική έγκριση στο Digital Omnibus για την ΤΝ, αναβάλλοντας τις υποχρεώσεις υψηλού κινδύνου του ευρωπαϊκού AI Act από τις 2 Αυγούστου 2026 στις 2 Δεκεμβρίου 2027 για αυτόνομα συστήματα και στις 2 Αυγούστου 2028 για ΤΝ ενσωματωμένη σε ρυθμιζόμενα προϊόντα. Η ψηφοφορία έγινε πέντε εβδομάδες πριν από την αρχική οριακή προθεσμία, ύστερα από δύο αποτυχημένους τριμερείς διαλόγους τον Απρίλιο και τον Μάιο του 2026 που άφησαν τις ομάδες κανονιστικής συμμόρφωσης να προετοιμάζονται για μια προθεσμία που δεν ήταν σίγουρο αν θα διατηρηθεί.

Η αναβολή δεν σημαίνει υποχώρηση στην επιβολή. Στο ίδιο διάστημα του 2026, η Ευρωπαϊκή Επιτροπή επέβαλε πρόστιμο 200 εκατομμυρίων ευρώ στην Temu βάσει του Digital Services Act, το ιρλανδικό Ανώτατο Δικαστήριο επικύρωσε πρόστιμο 530 εκατομμυρίων ευρώ κατά της TikTok για το GDPR, και οι εθνικές αρχές πέρασαν από «κατάσταση παρατήρησης» σε ενεργές επιθεωρήσεις DORA στους τραπεζικό και ασφαλιστικό κλάδο. Το ευρωπαϊκό πλαίσιο κανόνων για την ΤΝ, τα δεδομένα και τις πλατφόρμες ξαναγράφεται και επιβάλλεται ταυτόχρονα, με χρονοδιαγράμματα που σπάνια συμβαδίζουν.

Για τα στελέχη διακυβέρνησης ΤΝ, τους DPO και τους υπευθύνους ψηφιακής κανονιστικής συμμόρφωσης που καλύπτουν την ΕΕ, το Ηνωμένο Βασίλειο και την Ελβετία, αυτός ο συνδυασμός, μεταβαλλόμενες προθεσμίες μαζί με ενεργά πρόστιμα, αποτελεί το πραγματικό επιχειρησιακό περιβάλλον για το υπόλοιπο του 2026.

Παραμένει η προθεσμία υψηλού κινδύνου του AI Act στις 2 Αυγούστου 2026;

Όχι, από τη στιγμή που το Digital Omnibus για την ΤΝ δημοσιευτεί στην Επίσημη Εφημερίδα, γεγονός που αναμένεται τον Ιούλιο του 2026, τρεις ημέρες μετά τίθεται σε ισχύ. Ο Κανονισμός (ΕΕ) 2024/1689 όριζε αρχικά την 2 Αυγούστου 2026 για τα συστήματα υψηλού κινδύνου του Παραρτήματος III, που καλύπτουν προσλήψεις, πιστοληπτική βαθμολόγηση, βιομετρική αναγνώριση, εκπαίδευση, μετανάστευση και περιπτώσεις χρήσης από αρχές επιβολής του νόμου, και την 2 Αυγούστου 2027 για τα ενσωματωμένα σε προϊόντα συστήματα του Παραρτήματος I. Το Ευρωπαϊκό Κοινοβούλιο εγκρίνει το κείμενο του Omnibus στις 16 Ιουνίου 2026 με 423 ψήφους υπέρ, και η έγκριση του Συμβουλίου στις 29 Ιουνίου 2026 όρισε τις νέες ημερομηνίες στις 2 Δεκεμβρίου 2027 και 2 Αυγούστου 2028 αντίστοιχα.

Δύο υποχρεώσεις κινούνται στην αντίθετη κατεύθυνση. Η περίοδος χάριτος για την υδατογράφηση και επισήμανση περιεχομένου που παράγεται από ΤΝ βάσει του Άρθρου 50 μειώθηκε από έξι σε τρεις μήνες, φέρνοντας πιο κοντά μια νέα προθεσμία στις 2 Δεκεμβρίου 2026 για συστήματα που βρίσκονται ήδη στην αγορά, και το Omnibus προσθέτει απόλυτη απαγόρευση παραγωγής μη συναινετικού σεξουαλικού ή ιδιαίτερα προσωπικού περιεχομένου και υλικού σεξουαλικής κακοποίησης παιδιών που παράγεται από ΤΝ, μια διάταξη χωρίς καμία αναβολή. Έως τη δημοσίευση του κειμένου στην Επίσημη Εφημερίδα, η αρχική ημερομηνία 2 Αυγούστου 2026 παραμένει νομικά δεσμευτική, οπότε οι οργανισμοί που κατατάσσουν συστήματα βάσει του Παραρτήματος III δεν μπορούν απλώς να διακόψουν τις εργασίες τους.

Με πόση αυστηρότητα επιβάλλει η Ευρωπαϊκή Επιτροπή τον Digital Services Act;

Με αρκετή αυστηρότητα ώστε να έχει επιβάλει δύο πρόστιμα εννεαψήφιου ύψους εντός έξι μηνών. Στις 5 Δεκεμβρίου 2025, η Επιτροπή επέβαλε πρόστιμο 120 εκατομμυρίων ευρώ στην X, την πρώτη της απόφαση μη συμμόρφωσης με το DSA, για τον παραπλανητικό σχεδιασμό του σήματος επαλήθευσης με το γαλάζιο σημάδι επικύρωσης, ένα αρχείο διαφημίσεων που δεν πληρούσε τους κανόνες γνωστοποίησης του Άρθρου 39, και εμπόδια στην πρόσβαση ερευνητών που παραβίαζαν το Άρθρο 40 παράγραφος 12. Στην X δόθηκαν 60 εργάσιμες ημέρες για να διορθώσει το ζήτημα του σήματος επικύρωσης και 90 για να υποβάλει πλήρες σχέδιο διορθωτικών μέτρων, και άσκησε προσφυγή κατά της απόφασης στο Γενικό Δικαστήριο της Ευρωπαϊκής Ένωσης τον Φεβρουάριο του 2026, καθιστώντας την πρώτη δικαστική δοκιμασία της επιβολής του DSA.

Στις 28 Μαΐου 2026, η Επιτροπή επέβαλε πρόστιμο 200 εκατομμυρίων ευρώ στην Temu, ήτοι 0,38% του παγκόσμιου κύκλου εργασιών της που ανέρχεται σε 53 δισεκατομμύρια ευρώ, επειδή δεν διεξήγαγε επαρκή εκτίμηση κινδύνου ικανή να εντοπίσει παράνομα και επικίνδυνα προϊόντα στην ηλεκτρονική αγορά της. Η Temu έχει έως τις 28 Αυγούστου 2026 για να υποβάλει σχέδιο διορθωτικών ενεργειών, και η ευρύτερη έρευνα της Επιτροπής για τα συστήματα συστάσεων και τη διαχείριση περιεχομένου της Temu παραμένει ανοιχτή. Και οι δύο υποθέσεις βασίστηκαν στις υποχρεώσεις συστημικού κινδύνου των Άρθρων 34 και 35, τις ίδιες διατάξεις που διατηρούν κάθε πολύ μεγάλη διαδικτυακή πλατφόρμα και μηχανή αναζήτησης υπό συνεχή εποπτεία της Επιτροπής, ένα πεδίο όπου η κανονιστική παρακολούθηση ανά πλατφόρμα εντοπίζει μια νέα έρευνα την ημέρα που ανοίγει και όχι την ημέρα που γίνεται πρωτοσέλιδο.

Ποια εποπτική αρχή αποφασίζει στην πραγματικότητα μια υπόθεση GDPR όταν τα δεδομένα διασχίζουν σύνορα;

Βάσει του μηχανισμού μίας στάσης, αποφασίζει η αρχή προστασίας δεδομένων του τόπου όπου η εταιρεία έχει την κύρια εγκατάστασή της στην ΕΕ, γεγονός που για τις περισσότερες παγκόσμιες πλατφόρμες σημαίνει την Ιρλανδία. Η απόφαση της ιρλανδικής Επιτροπής Προστασίας Δεδομένων της 2ας Μαΐου 2025 επέβαλε πρόστιμο 530 εκατομμυρίων ευρώ στην TikTok, εκ των οποίων 45 εκατομμύρια για μη ορθή ενημέρωση των χρηστών βάσει του Άρθρου 13 παράγραφος 1 στοιχείο στ, και 485 εκατομμύρια για παράνομες διαβιβάσεις δεδομένων χρηστών του ΕΟΧ στην Κίνα βάσει του Άρθρου 46 παράγραφος 1, μετά τη διαπίστωση ότι η TikTok δεν μπορούσε να επαληθεύσει ότι οι τυπικές συμβατικές ρήτρες της παρείχαν στα δεδομένα του ΕΟΧ επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που απαιτεί ο GDPR. Στις 3 Ιουνίου 2026, το ιρλανδικό Ανώτατο Δικαστήριο επικύρωσε τόσο τη διαπίστωση ευθύνης όσο και το ύψος του προστίμου, ωστόσο ανέπεμψε στην αρχή για επανεξέταση τη διαταγή αναστολής μελλοντικών διαβιβάσεων, αφήνοντας την TikTok σε θέση να συνεχίσει τη μεταφορά ευρωπαϊκών δεδομένων στην Κίνα όσο αυτό το συγκεκριμένο σημείο επανεξετάζεται.

Τα συσσωρευμένα πρόστιμα της ιρλανδικής αρχής ανέρχονται πλέον σε 4,04 δισεκατομμύρια ευρώ από το 2018, με πρώτη ακόμη την απόφαση κατά της Meta ύψους 1,2 δισεκατομμυρίου ευρώ από το 2023. Σε επίπεδο όλων των εποπτικών αρχών της ΕΕ, η έρευνα της DLA Piper του Ιανουαρίου 2026 εκτιμά τις κυρώσεις του 2025 σε περίπου 1,2 δισεκατομμύριο ευρώ, στο ίδιο επίπεδο με το 2024, ανεβάζοντας το συνολικό ύψος σε επίπεδο ΕΕ από την έναρξη ισχύος του GDPR το 2018 στα 7,1 δισεκατομμύρια ευρώ. Για έναν υπεύθυνο κανονιστικής συμμόρφωσης, το πρακτικό δίδαγμα είναι ότι η επιλογή της επικεφαλής αρχής δεν αποτελεί απλή διοικητική διεκπεραίωση, καθορίζει ποιας αρχής η στάση επιβολής, το χρονοδιάγραμμα και η προδιάθεση για διασυνοριακά πρόστιμα διέπουν στην πραγματικότητα τον φάκελο.

Αναθεωρείται και ο GDPR παράλληλα με το AI Act;

Ναι, μέσω του ίδιου πακέτου Digital Omnibus, που προτάθηκε από την Επιτροπή στις 19 Νοεμβρίου 2025 ως COM(2025) 837. Η πρόταση θα επαναπροσδιόριζε τα προσωπικά δεδομένα ώστε τα ψευδωνυμοποιημένα δεδομένα να μη θεωρούνται προσωπικά δεδομένα για οντότητα που δεν διαθέτει τα μέσα επαναπροσδιορισμού του φυσικού προσώπου, θα επέτρεπε στις εταιρείες να βασίζονται στη νομική βάση του έννομου συμφέροντος του GDPR για την εκπαίδευση ή τη λειτουργία μοντέλων ΤΝ υπό διασφαλίσεις, θα μετέφερε τους κανόνες συναίνεσης για cookies από την Οδηγία για την ιδιωτικότητα στις ηλεκτρονικές επικοινωνίες στον GDPR με συναίνεση ενός κλικ ισχύος έξι μηνών, και θα δημιουργούσε ένα ενιαίο σημείο αναφοράς για παραβιάσεις δεδομένων και περιστατικά κυβερνοασφάλειας.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέδωσαν κοινή γνώμη τον Φεβρουάριο του 2026 στηρίζοντας τα στοιχεία διοικητικής απλούστευσης, ενώ κάλεσαν ρητά τους συννομοθέτες να μην υιοθετήσουν τον επαναπροσδιορισμό των προσωπικών δεδομένων, προειδοποιώντας ότι θα περιόριζε το θεμελιώδες δικαίωμα στην προστασία δεδομένων περισσότερο από όσο θα έπρεπε μια τεχνική τροποποίηση. Στα μέσα του 2026, ο φάκελος παραμένει στη συνήθη νομοθετική διαδικασία, με τις επιτροπές Βιομηχανίας και Πολιτικών Ελευθεριών του Κοινοβουλίου κοινές αρμόδιες, γεγονός που σημαίνει ότι το κείμενο του GDPR με το οποίο μια εταιρεία συμμορφώνεται σήμερα μπορεί να δεν είναι το κείμενο σε ισχύ όταν ένα πρόγραμμα εκπαίδευσης ΤΝ που σχεδιάζεται τώρα θα βγει σε λειτουργία.

Τι προσθέτουν ο Digital Markets Act, ο Data Act και ο DORA πάνω από το AI Act και τον GDPR;

Ο Digital Markets Act έχει τη δική του δίοδο επιβολής κατά των ίδιων ελεγκτών πρόσβασης. Στις 22 Απριλίου 2025, η Επιτροπή επέβαλε πρόστιμο 500 εκατομμυρίων ευρώ στην Apple για παραβιάσεις κατά της αποτροπής παράκαμψης βάσει του Άρθρου 5 παράγραφος 4, και 200 εκατομμυρίων ευρώ στη Meta για το μοντέλο διαφήμισης «πλήρωσε ή συναίνεσε» βάσει του Άρθρου 5 παράγραφος 2, τα πρώτα πρόστιμα μη συμμόρφωσης που επιβλήθηκαν βάσει του DMA. Η πρώτη τριετής επανεξέταση της Επιτροπής, που παραδόθηκε στις 3 Μαΐου 2026 ως COM(2026) 178, κατέληξε ότι το καθεστώς είναι κατάλληλο για τον σκοπό του χωρίς ανάγκη νομοθετικής αλλαγής, ενώ οι διαδικασίες προσδιορισμού που ανοίχτηκαν κατά του Google Play και της Google Search τον Ιανουάριο του 2026 παραμένουν ενεργές.

Ο Data Act έγινε εφαρμοστέος στις 12 Σεπτεμβρίου 2025, δίνοντας στους χρήστες συνδεδεμένων προϊόντων και υπηρεσιών το δικαίωμα πρόσβασης στα δεδομένα που παράγουν αυτά τα προϊόντα και, όπου είναι εφικτό, να τα μοιράζονται με τρίτους σε πραγματικό χρόνο. Οι υποχρεώσεις σχεδιασμού που απαιτούν από τα συνδεδεμένα προϊόντα να κάνουν τα δεδομένα προσβάσιμα εξ ορισμού τίθενται σε ισχύ στις 12 Σεπτεμβρίου 2026, και δίκαιοι, εύλογοι και χωρίς διακρίσεις συμβατικοί όροι εφαρμόζονται σε όλες τις συμφωνίες ανταλλαγής δεδομένων μεταξύ επιχειρήσεων που υπογράφηκαν μετά τον Σεπτέμβριο του 2025, επεκτεινόμενοι σε ορισμένες μακροχρόνιες υφιστάμενες συμβάσεις από τον Σεπτέμβριο του 2027. Όπου εμπλέκονται προσωπικά δεδομένα, οι κυρώσεις του Data Act ακολουθούν τα επίπεδα του GDPR, έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου κύκλου εργασιών.

Για τις χρηματοπιστωτικές οντότητες ειδικότερα, η περίοδος χάριτος του DORA έληξε με το 2025. Από το πρώτο τρίμηνο του 2026, η ΕΚΤ, η BaFin, η AMF, η CSSF και άλλες εθνικές αρμόδιες αρχές έχουν περάσει από αξιολογήσεις ετοιμότητας σε επίσημες εποπτικές αξιολογήσεις της διαχείρισης κινδύνου ΤΠΕ, των συμβάσεων με τρίτους παρόχους και της αναφοράς περιστατικών, με πρόστιμα έως 2% του παγκόσμιου κύκλου εργασιών για τα ιδρύματα και έως 1 εκατομμύριο ευρώ προσωπικά για μέλη διοικητικού οργάνου που δεν ενεργούν βάσει αναφορών κινδύνου ΤΠΕ.

ΜέσοΚατάσταση (Ιούλιος 2026)Βασική προθεσμία προς παρακολούθηση
AI Act, Παράρτημα III υψηλού κινδύνουOmnibus εγκρίθηκε, εκκρεμεί δημοσίευση στην Επίσημη Εφημερίδα2 Δεκεμβρίου 2027 (αντί 2 Αυγούστου 2026)
AI Act, διαφάνεια Άρθρου 50Περίοδος χάριτος περιορίστηκε από το Omnibus2 Δεκεμβρίου 2026
Επιβολή συστημικού κινδύνου DSAΕνεργή, δύο πρόστιμα επιβλήθηκαν, ένα υπό έφεση28 Αυγούστου 2026 (σχέδιο διορθωτικών ενεργειών Temu)
GDPR (υπόθεση διαβίβασης TikTok)Ευθύνη και πρόστιμο επικυρώθηκαν, διορθωτικό μέτρο υπό επανεξέτασηΕπανεξέταση από την ιρλανδική αρχή σε εκκρεμότητα
Αναθεώρηση GDPR (Digital Omnibus)Στη συνήθη νομοθετική διαδικασίαΔεν έχει οριστεί ημερομηνία έγκρισης
Υποχρεώσεις ελεγκτών πρόσβασης DMAΔύο πρόστιμα επιβλήθηκαν, επανεξέταση ολοκληρώθηκε, καμία αλλαγήΔιαδικασίες προσδιορισμού Google σε εξέλιξη
Υποχρεώσεις σχεδιασμού Data ActΒασικοί κανόνες εφαρμοστέοι από τον Σεπτέμβριο 202512 Σεπτεμβρίου 2026
Εποπτική επιβολή DORAΠερίοδος χάριτος έληξε, ενεργές αξιολογήσειςΣυνεχής, ανά εθνική αρμόδια αρχή

Οκτώ νομοθετήματα, οκτώ χρονοδιαγράμματα, και τουλάχιστον τρία από αυτά μεταβλήθηκαν ουσιωδώς μόνο στο πρώτο εξάμηνο του 2026. Μια λειτουργία κανονιστικής συμμόρφωσης που το παρακολουθεί με υπολογιστικό φύλλο απέχει ένα δελτίο τύπου του Συμβουλίου από το να χτίσει ένα πρόγραμμα γύρω από μια προθεσμία που δεν ισχύει πλέον, κάτι που είναι ακριβώς το κενό που ο σύντροφος ΤΝ της Obsidian έχει σχεδιαστεί για να καλύψει: όχι ως υποκατάστατο της νομικής κρίσης, αλλά ως επαληθευμένος κανονιστικός σύντροφος που επισημαίνει τη στιγμή που μια κατ' εξουσιοδότηση πράξη περνά τον έλεγχο ή ένα πρόστιμο γίνεται οριστικό.

Τι πρέπει να κάνει στη συνέχεια μια ομάδα κανονιστικής συμμόρφωσης;

Ξεκινήστε διαχωρίζοντας το δεσμευτικό κείμενο του AI Act από τις εκκρεμείς τροποποιήσεις του: συνεχίστε τις εργασίες κατάταξης βάσει του Παραρτήματος III με την παραδοχή ότι η 2 Αυγούστου 2026 θα μπορούσε ακόμη να ισχύσει, ενώ παρακολουθείτε την πρόοδο του Omnibus προς τη δημοσίευση στην Επίσημη Εφημερίδα, ώστε η νέα ημερομηνία 2 Δεκεμβρίου 2027 να επιβεβαιωθεί και όχι απλώς να θεωρηθεί δεδομένη. Παράλληλα, αντιμετωπίστε την επιβολή του DSA και του DMA ως απόδειξη των πραγματικών προτεραιοτήτων των ρυθμιστικών αρχών, τις εκτιμήσεις συστημικού κινδύνου και τους περιορισμούς παράκαμψης, αντί να βασίζεστε μόνο στο κείμενο των κανονισμών.

Για τις ομάδες που διαχειρίζονται την έκθεσή τους στον GDPR σε πολλές εγκαταστάσεις εντός της ΕΕ, επιβεβαιώστε ποια εποπτική αρχή κατέχει την ιδιότητα της επικεφαλής για κάθε δραστηριότητα επεξεργασίας και παρακολουθήστε τις διαπραγματεύσεις του Digital Omnibus για αλλαγές στον ορισμό των προσωπικών δεδομένων που θα μπορούσαν να επηρεάσουν προγράμματα εκπαίδευσης ΤΝ που βρίσκονται ήδη σε εξέλιξη. Το MCP για βοηθούς ΤΝ της Obsidian επιτρέπει σε αυτή την παρακολούθηση να λειτουργεί μέσα στα εργαλεία που οι ομάδες κανονιστικής συμμόρφωσης χρησιμοποιούν ήδη, και τα τρέχοντα πλάνα δείχνουν πώς η παρακολούθηση ανά δικαιοδοσία συμβαδίζει με ένα πλαίσιο κανόνων που άλλαξε τρεις φορές στο πρώτο εξάμηνο του 2026.