Η παρούσα Πολιτική Απορρήτου περιγράφει τον τρόπο με τον οποίο η πλατφόρμα IKEwebsites.gr συλλέγει, χρησιμοποιεί και προστατεύει τα προσωπικά σας δεδομένα, σε συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR — Κανονισμός ΕΕ 2016/679) και τον ν. 4624/2019.
1. Υπεύθυνος Επεξεργασίας
Υπεύθυνος επεξεργασίας των δεδομένων σας είναι η Helix Technologies Μονοπρόσωπη Ι.Κ.Ε.:
- ΑΦΜ: 803240617 · ΓΕΜΗ: 192841603000
- Έδρα: Λεωφ. Κηφισίας 265, 14561 Κηφισιά, Ελλάδα
- Email: [email protected]
- Τηλέφωνο: 210 220 3180
2. Δεδομένα που Συλλέγουμε
2.1 Δεδομένα εγγραφής & λογαριασμού
- Email (για auth μέσω magic link — χωρίς κωδικούς)
- Claim Token (hashed) για ανακτήσεις ανώνυμων λογαριασμών
- IP address + User Agent κατά τη σύνδεση (security audit log)
2.2 Δεδομένα εταιρείας από δημόσιες πηγές
Από το επίσημο ΓΕΜΗ Open Data API (δημόσια κατά Ν.4919/2022 Άρθρο 26):
- Επωνυμία, ΓΕΜΗ, ΑΦΜ, ΔΟΥ, νομική μορφή, status
- Έδρα, διεύθυνση, ΤΚ, πόλη, περιφέρεια
- Τηλέφωνο, email, website εταιρείας (όπως δηλώθηκαν στο ΓΕΜΗ)
- Ονοματεπώνυμα, ρόλοι, ποσοστά συμμετοχής εταίρων/διαχειριστών
- Εταιρικό κεφάλαιο, κατηγορίες εισφορών
- ΚΑΔ, επιμελητήριο, ημερομηνία σύστασης
- Ιστορικό τροποποιήσεων ΓΕΜΗ
2.3 Δεδομένα που συμπληρώνει ο χρήστης
- Διευθύνσεις εταίρων (όταν διαφέρουν από έδρα)
- Κατηγορία εισφοράς ανά εταίρο (κεφαλαιακή/εξωκεφαλαιακή/εγγυητική)
- Logo + brand colors (Starter+)
- Uploaded έγγραφα (ισολογισμοί, πρακτικά, πιστοποιητικά, ανακοινώσεις)
2.4 Δεδομένα πληρωμών
- Stripe Customer ID + κατάσταση συνδρομής (αποθηκεύονται στη βάση μας)
- Ιστορικό συναλλαγών (ποσό, ημερομηνία, πλάνο, κατάσταση)
- Αριθμοί καρτών, CVV, ημερομηνίες λήξης ΔΕΝ αποθηκεύονται από εμάς — διαχειρίζονται αποκλειστικά από Stripe / Viva Wallet
2.5 Δεδομένα χρήσης
- Manager sign-off audit trail (IP, timestamp, user agent, action)
- Refresh-from-ΓΕΜΗ επισκέψεις
- Αλληλεπιδράσεις dashboard
- Ανώνυμα δεδομένα επισκεψιμότητας (σελίδες, referrer) μέσω Cloudflare
3. Σκοπός & Νομική Βάση Επεξεργασίας
| Σκοπός | Νομική Βάση (GDPR) |
|---|---|
| Δημοσίευση υποχρεωτικών στοιχείων στο Tenant Site | Άρθ. 6§1γ — Συμμόρφωση με νομική υποχρέωση (Ν.4072/2012 Άρθρο 47 §2) |
| Εκτέλεση σύμβασης συνδρομής | Άρθ. 6§1β — Εκτέλεση σύμβασης |
| Επεξεργασία πληρωμών (Stripe/Viva) | Άρθ. 6§1β — Εκτέλεση σύμβασης |
| Manager sign-off audit trail | Άρθ. 6§1γ + Άρθ. 6§1στ — Έννομο συμφέρον (απόδειξη συμμόρφωσης) |
| Ασφάλεια & fraud prevention | Άρθ. 6§1στ — Έννομο συμφέρον |
| Email ειδοποιήσεις deadlines | Άρθ. 6§1β — Εκτέλεση σύμβασης |
| Marketing newsletter | Άρθ. 6§1α — Ρητή opt-in συγκατάθεση (ανακλητή) |
| Ανώνυμα analytics | Άρθ. 6§1στ — Έννομο συμφέρον |
4. Κοινοποίηση Δεδομένων σε Τρίτους (Processors)
Δεν πωλούμε ή ενοικιάζουμε δεδομένα σε τρίτους για εμπορικούς σκοπούς.
Χρησιμοποιούμε τους παρακάτω εκτελούντες επεξεργασία για λειτουργικούς σκοπούς:
- Stripe Payments Europe, Ltd. (Ιρλανδία / ΕΕ) — επεξεργασία πληρωμών. Αποθηκεύουμε μόνο Customer ID.
- Viva Services Single Member S.A. (Ελλάδα) — τραπεζική κατάθεση, IRIS, κάρτες.
- Resend, Inc. (ΗΠΑ, Standard Contractual Clauses) — αποστολή transactional email.
- Smartlead AI Inc. (ΗΠΑ, SCC) — ενορχήστρωση B2B email campaigns (reply detection, rotation, warm-up).
- Google LLC (Workspace) (ΗΠΑ, SCC) — business email mailboxes για B2B επικοινωνία.
- Twilio Inc. (ΗΠΑ, SCC) — SMS alerts για Pro/Business tier.
- Cloudflare, Inc. (ΗΠΑ, SCC) — CDN, DDoS protection, DNS.
- VPS/Hosting — entry-level εντός ΕΕ (Γερμανία/Ολλανδία).
- Γενική Γραμματεία Εμπορίου (ΓΕΜΗ Open Data API) — ανάκτηση δημοσίων εταιρικών δεδομένων.
4α. B2B Επικοινωνία (Cold Email Outreach)
Η Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. χρησιμοποιεί δημόσια διαθέσιμα στοιχεία επιχειρήσεων από το επίσημο ΓΕΜΗ publicity.businessportal.gr (δημόσια κατά Άρθρο 26 Ν.4919/2022) για την αποστολή πληροφοριών σχετικά με τη συμμόρφωση Άρθρου 47 §2 του Ν.4072/2012, όπου η εταιρεία μας λειτουργεί ως πάροχος λύσης.
4α.1 Νομική βάση
Άρθρο 6§1(στ) GDPR — έννομο συμφέρον, σε συνδυασμό με Ν. 3471/2006 Άρθρο 11 (ePrivacy, soft opt-in για B2B επικοινωνία).
Το έννομο συμφέρον τεκμαίρεται από:
- Παραλήπτες είναι business contacts (ΙΚΕ διαχειριστές), όχι καταναλωτές
- Δεδομένα προέρχονται από δημόσιο εμπορικό μητρώο (ΓΕΜΗ)
- Μήνυμα άμεσα σχετικό με τον επαγγελματικό τους ρόλο
- Η υπηρεσία λύνει πραγματικό νομικό πρόβλημα (πρόστιμα ΚΥΑ 46982/2025)
- Σαφές opt-out σε κάθε επικοινωνία
- Έχει γίνει τεκμηριωμένο Legitimate Interest Assessment (LIA) πριν την έναρξη της επεξεργασίας
4α.2 Δεδομένα που επεξεργαζόμαστε
- Επωνυμία εταιρείας
- Αριθμός ΓΕΜΗ, ΑΦΜ
- Δημόσιο email επικοινωνίας (όπως δηλωμένο στο ΓΕΜΗ)
- Έδρα, πόλη, κατηγορία δραστηριότητας (ΚΑΔ)
ΔΕΝ επεξεργαζόμαστε προσωπικά δεδομένα διαχειριστών ή εταίρων εκτός ΓΕΜΗ, ΔΕΝ κάνουμε profiling ή scoring, ΔΕΝ λαμβάνουμε αυτοματοποιημένες αποφάσεις (Άρθρο 22 GDPR).
4α.3 Τι στέλνουμε
- Μέγιστο 3 emails ανά παραλήπτη (initial + 2 follow-ups σε 5-12 μέρες)
- Κάθε email αναφέρει ρητά τον αποστολέα (Helix Technologies Μονοπρόσωπη Ι.Κ.Ε., ΑΦΜ 803240617, ΓΕΜΗ 192841603000)
- Link άμεσης αφαίρεσης + δυνατότητα reply "αφαίρεση" σε κάθε email
- Μη παραπλανητικά subject lines
- Αναφορά πηγής δεδομένων (ΓΕΜΗ) στο footer
4α.4 Τα δικαιώματά σας
- Αντίρρηση (Άρθρο 21 GDPR) — οποτεδήποτε, με άμεση διακοπή επικοινωνίας
- Πρόσβαση (Άρθρο 15) — ποια δεδομένα σας έχουμε
- Διόρθωση (Άρθρο 16) — αν τα δεδομένα ΓΕΜΗ είναι λανθασμένα
- Διαγραφή (Άρθρο 17) — πλήρης αφαίρεση (πλην τεχνικής εγγραφής σε internal suppression list για διασφάλιση μη μελλοντικής επικοινωνίας)
- Καταγγελία στην ΑΠΔΠΧ (Κηφισίας 1-3, 11523 Αθήνα, www.dpa.gr)
4α.5 Πώς να ασκήσετε τα δικαιώματά σας
- Email: [email protected] (απάντηση ≤48 ώρες)
- Reply "αφαίρεση" σε οποιοδήποτε από τα emails μας (αυτόματη αφαίρεση εντός 24 ωρών)
- Click στο unsubscribe link στο footer κάθε email
4α.6 Διατήρηση δεδομένων
- Στοιχεία B2B επαφής: έως 24 μήνες από την τελευταία επικοινωνία
- Μετά από αίτημα διαγραφής: αφαίρεση εντός 48 ωρών, πλην τεχνικής εγγραφής email σε internal suppression list (αποκλειστικά για διασφάλιση μη μελλοντικής επικοινωνίας, κατ' άρθρο 21§3 GDPR)
- Suppression list διατηρείται επ' άπειρον — δεν περιέχει άλλα δεδομένα πέραν του email hash
4α.7 Transfers εκτός ΕΕ
Τα emails στέλνονται μέσω Smartlead AI (ΗΠΑ) + Google Workspace (ΗΠΑ), οι οποίοι είναι certified συνεργάτες με Standard Contractual Clauses (SCCs) για GDPR-compliant διασυνοριακή μεταφορά (Άρθρα 45-46 GDPR).
5. Cookies
Χρησιμοποιούμε μόνο απαραίτητα (functional) cookies:
gemi_session— JWT για auth (httpOnly, Secure, SameSite=Lax, 30 ημέρες)cookie_consent— προτίμηση cookie banner (localStorage)theme— dark/light mode
Δεν χρησιμοποιούμε: advertising cookies, tracking cookies τρίτων, profiling cookies.
6. Διατήρηση Δεδομένων
- Λογαριασμός & tenant: μέχρι αίτηση διαγραφής, ή αυτόματα 12 μήνες μετά από ανενεργή συνδρομή.
- Audit log (manager sign-off): 5 έτη — νομική απαίτηση για απόδειξη συμμόρφωσης Ν.4072/2012.
- Uploaded έγγραφα (PDFs): μέχρι αίτηση διαγραφής από τον χρήστη.
- Login attempts & security logs: 90 ημέρες.
- Εταιρικά δεδομένα από ΓΕΜΗ cache: 24 ώρες TTL (cache-through), αντικαθίστανται με κάθε refresh.
- Backups: 30 ημέρες rolling.
- Τιμολόγια & στοιχεία πληρωμών: 10 έτη — φορολογική υποχρέωση (ν. 4308/2014).
7. Τα Δικαιώματά σας (GDPR)
Βάσει του Άρθρου 15-22 GDPR έχετε τα εξής δικαιώματα:
- Πρόσβαση (Άρθ. 15) — αντίγραφο των δεδομένων σας
- Διόρθωση (Άρθ. 16) — απευθείας από το dashboard ή email
- Διαγραφή / Δικαίωμα στη Λήθη (Άρθ. 17) — από settings ή email αίτημα
- Περιορισμός επεξεργασίας (Άρθ. 18)
- Φορητότητα δεδομένων (Άρθ. 20) — JSON export όλων των δεδομένων σας
- Εναντίωση (Άρθ. 21) — ιδίως για επεξεργασία στη βάση έννομου συμφέροντος
- Ανάκληση συγκατάθεσης ανά πάσα στιγμή (για marketing, public profile)
- Να μην υπόκειστε σε αυτοματοποιημένη λήψη αποφάσεων (Άρθ. 22) — δε χρησιμοποιούμε.
Για άσκηση δικαιωμάτων: [email protected]. Θα απαντήσουμε εντός 30 ημερών.
7.1 Καταγγελία σε Αρχή
Έχετε δικαίωμα να υποβάλλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ): Κηφισίας 1-3, 115 23 Αθήνα, www.dpa.gr, [email protected].
8. Υπεύθυνος επικοινωνίας για θέματα προστασίας δεδομένων
Κατά το Άρθρο 37 GDPR, ο ορισμός τυπικού DPO (Data Protection Officer) είναι υποχρεωτικός μόνο για: (α) δημόσιους φορείς, (β) οργανισμούς με μεγάλης κλίμακας συστηματική παρακολούθηση, ή (γ) μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (Άρθρο 9).
Η Helix Technologies Μονοπρόσωπη Ι.Κ.Ε. δεν εμπίπτει σε καμία από τις τρεις κατηγορίες — επεξεργαζόμαστε δημοσίως διαθέσιμα δεδομένα ΓΕΜΗ (κατά Ν.4919/2022 Άρθρο 26), όχι ευαίσθητα προσωπικά δεδομένα, και σε μικρή κλίμακα. Επομένως, τυπικός DPO δεν απαιτείται.
Παρόλα αυτά, έχουμε ορίσει εθελοντικό Υπεύθυνο Επικοινωνίας για θέματα προστασίας δεδομένων για άμεση εξυπηρέτηση αιτημάτων: [email protected]. Σε περίπτωση που η κλίμακα επεξεργασίας αυξηθεί σημαντικά (π.χ. άνω των 10.000 ενεργών χρηστών) ή προστεθούν ειδικές κατηγορίες δεδομένων, θα ορίσουμε τυπικό DPO σύμφωνα με το Άρθρο 37 GDPR και θα ενημερώσουμε την παρούσα Πολιτική.
9. Ασφάλεια Δεδομένων
- Όλη η επικοινωνία μέσω HTTPS/TLS 1.3
- Βάση δεδομένων με encryption at rest
- Session cookies με
httpOnly,Secure,SameSite=Lax - Magic token authentication (χωρίς passwords — zero password leak risk)
- Audit log για όλες τις ευαίσθητες ενέργειες
- Rate limiting σε όλα τα endpoints
- Δεν αποθηκεύονται αριθμοί καρτών, CVV, ή τραπεζικά στοιχεία
- Daily backups με 30-day retention
- Monitoring + intrusion detection
- Access controls με least-privilege principle
9.1 Data Breach Notification
Σε περίπτωση data breach που ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα των υποκειμένων, θα ειδοποιήσουμε:
- Την ΑΠΔΠΧ εντός 72 ωρών από την ανακάλυψη (Άρθ. 33 GDPR)
- Τους επηρεαζόμενους χρήστες χωρίς αδικαιολόγητη καθυστέρηση (Άρθ. 34 GDPR)
10. Μεταφορές Δεδομένων εκτός ΕΕ
Κάποιοι processors (Stripe US, Resend, Twilio, Cloudflare) βρίσκονται στις ΗΠΑ. Οι μεταφορές γίνονται με:
- Standard Contractual Clauses (SCC) — Απόφαση Επιτροπής 2021/914
- EU-US Data Privacy Framework (όπου εφαρμόζεται)
- Encryption in transit & at rest
- Minimum necessary data principle
10α. Δικαιώματα CCPA (κάτοικοι Καλιφόρνιας)
Εάν είστε κάτοικος Καλιφόρνιας, ο California Consumer Privacy Act (CCPA) σας παρέχει επιπλέον δικαιώματα:
- Δικαίωμα πληροφόρησης σχετικά με τις κατηγορίες δεδομένων που συλλέγουμε, τις πηγές, τους σκοπούς και τις κατηγορίες τρίτων.
- Δικαίωμα διαγραφής, με τις επιτρεπόμενες εξαιρέσεις.
- Δικαίωμα εξαίρεσης από πώληση — δε πωλούμε προσωπικά δεδομένα κατά την έννοια CCPA.
- Δικαίωμα μη διάκρισης — δεν θα χρεώνουμε διαφορετικά ή θα αρνούμαστε υπηρεσία για άσκηση δικαιωμάτων.
Για αιτήματα CCPA: [email protected]. Απαντάμε εντός 45 ημερών (με δυνατότητα παράτασης 45 ημερών).
10β. Τρίτοι πάροχοι AI
Το Business tier χρησιμοποιεί AI για parsing PDF ισολογισμών. Για τον σκοπό αυτόν ενδέχεται να στείλουμε ανωνυμοποιημένα τμήματα στο Anthropic (Claude API) ή OpenAI. Οι πάροχοι αυτοί:
- Δεν χρησιμοποιούν τα δεδομένα μας για training (opt-out ενεργό)
- SOC 2 Type II certified
- EU Standard Contractual Clauses signed
- Αποθήκευση ≤30 ημερών για abuse monitoring
Αν δεν επιθυμείτε AI parsing, το Business tier προσφέρει manual mode επιλογή.
11. Παιδιά & ηλικιακά όρια
Η Υπηρεσία απευθύνεται σε επιχειρηματίες/διαχειριστές ΙΚΕ, ηλικίας ≥18 ετών. Δε συλλέγουμε συνειδητά δεδομένα ανηλίκων. Αν αντιληφθούμε ότι ένας ανήλικος δημιούργησε λογαριασμό, θα τον διαγράψουμε άμεσα.
12. Automated Decision-Making
Δε χρησιμοποιούμε αυτοματοποιημένη λήψη αποφάσεων με νομικά ή παρόμοια σημαντικά αποτελέσματα κατά την έννοια του Άρθρου 22 GDPR. Τα compliance audits είναι αυτόματα αλλά συμβουλευτικά — ο Διαχειριστής λαμβάνει τις αποφάσεις.
13. Αλλαγές Πολιτικής
Η Πολιτική μπορεί να τροποποιηθεί. Για ουσιαστικές αλλαγές θα ειδοποιήσουμε μέσω email (αν έχουμε) και banner στον Ιστότοπο τουλάχιστον 30 ημέρες πριν την εφαρμογή. Η ημερομηνία τελευταίας ενημέρωσης εμφανίζεται στην κορυφή. Παλιότερες εκδόσεις διατηρούνται archived & διατίθενται κατόπιν αιτήματος.
14. Επικοινωνία
Για κάθε ερώτηση ή αίτημα σχετικά με προσωπικά δεδομένα:
Email: [email protected]
Ταχυδρομείο: Helix Technologies Μονοπρόσωπη Ι.Κ.Ε., Λεωφ. Κηφισίας 265, 14561 Κηφισιά
Πολιτική συντασσόμενη σύμφωνα με GDPR (Κανονισμός ΕΕ 2016/679), Ν. 4624/2019, ePrivacy Directive 2002/58/ΕΚ.