Πολιτική Απορρήτου & Προστασίας Δεδομένων
Έκδοση 1.0 — ισχύς από Απρίλιος 2026
1. Ταυτότητα Υπευθύνου Επεξεργασίας
| Επωνυμία | ΜΠΕΓΚΛΗΣ ΝΙΚΟΛΑΟΣ (ατομική επιχείρηση) |
|---|---|
| Διακριτικός Τίτλος | BTech |
| ΑΦΜ / ΔΟΥ | 171075890 / Ε΄ Θεσσαλονίκης |
| Αρ. Γ.Ε.ΜΗ. | 192788706000 (ΓΕΜΗ Θεσσαλονίκης) |
| Έδρα | Πολίχνη, Θεσσαλονίκη Τ.Κ. 56532 |
| Email επικοινωνίας | nbegklis@btech-ai.com |
| Website | btech-ai.com |
Σύμφωνα με τα Άρθρα 37-39 GDPR, ο Υπεύθυνος Επεξεργασίας δεν υποχρεούται σε ορισμό Υπευθύνου Προστασίας Δεδομένων (DPO), καθώς η κύρια δραστηριότητά του δεν συνίσταται σε επεξεργασίες ευρείας κλίμακας ή ειδικών κατηγοριών δεδομένων. Για κάθε θέμα GDPR, αρμόδιο σημείο επαφής είναι ο ίδιος ο Υπεύθυνος Επεξεργασίας στην ως άνω διεύθυνση email.
2. Είδη Δεδομένων που Επεξεργαζόμαστε
| Κατηγορία | Συγκεκριμένα Δεδομένα | Πηγή |
|---|---|---|
| Ταυτοποίησης Λογαριασμού | όνομα χρήστη, email, hashed κωδικός (bcrypt), ρόλος (admin/user/superadmin), ημερομηνία δημιουργίας, τελευταία σύνδεση | Παρέχονται από εσάς |
| Στοιχεία Επιχείρησης | επωνυμία, ΑΦΜ, ΔΟΥ, αρ. Γ.Ε.ΜΗ., διεύθυνση έδρας, ΤΚ, τηλέφωνο, email επιχείρησης, ΚΑΔ, IBAN τραπεζικών λογαριασμών | Παρέχονται από εσάς |
| API Credentials Τρίτων | aade-user-id, Ocp-Apim-Subscription-Key (myDATA), SMTP credentials (όταν δηλωθούν) | Παρέχονται από εσάς, αποθηκεύονται κρυπτογραφημένα |
| Πελατολογίου | στοιχεία πελατών σας: επωνυμία, ΑΦΜ, ΔΟΥ, διεύθυνση, τηλέφωνο, email | Καταχωρείτε εσείς (είστε ο Υπεύθυνος Επεξεργασίας τους) |
| Συναλλακτικά | παραστατικά (τιμολόγια, αποδείξεις, πιστωτικά), έξοδα, πληρωμές, υπενθυμίσεις, σχετικά συνημμένα (PDF, εικόνες) | Καταχωρείτε εσείς |
| Τεχνικά / Logs | διεύθυνση IP, user-agent, χρόνος αιτήματος, endpoint, session cookies (httpOnly, Secure), CSRF token | Αυτόματη συλλογή για ασφάλεια |
| Πληρωμών Συνδρομής | όνομα χρέωσης, ποσό, ιστορικό συνδρομών. Στοιχεία κάρτας ΔΕΝ αποθηκεύονται — επεξεργάζονται απευθείας από τον πάροχο πληρωμών | Πάροχος πληρωμών (PCI-DSS compliant) |
Δεν επεξεργαζόμαστε ειδικές κατηγορίες δεδομένων (Άρθρο 9 GDPR) — υγεία, βιομετρικά, πολιτικές πεποιθήσεις, σεξουαλικός προσανατολισμός κ.λπ.
3. Σκοποί & Νόμιμες Βάσεις Επεξεργασίας
| Σκοπός | Νόμιμη Βάση (Άρθρο 6 GDPR) | Δεδομένα |
|---|---|---|
| Παροχή της Υπηρεσίας — αυθεντικοποίηση, έκδοση και αποστολή παραστατικών, διαβίβαση στο myDATA | (β) Εκτέλεση σύμβασης | Λογαριασμού, Επιχείρησης, API Credentials, Πελατολογίου, Συναλλακτικά |
| Έκδοση τιμολογίων προς εσάς, τήρηση φορολογικών βιβλίων του Παρόχου | (γ) Συμμόρφωση με έννομη υποχρέωση (Ν. 4308/2014, Ν. 4174/2013) | Στοιχεία πληρωμής/χρέωσης |
| Ασφάλεια συστήματος, εντοπισμός απάτης, audit logs, brute-force προστασία | (στ) Έννομο συμφέρον (αιτιολογημένη στάθμιση κατά Άρθρο 6 § 1 περ. στ΄) | Τεχνικά / Logs |
| Επικοινωνία λειτουργίας (downtime, αλλαγές, αναβαθμίσεις) | (στ) Έννομο συμφέρον / (β) Εκτέλεση σύμβασης | Email Λογαριασμού |
| Προωθητικές ενέργειες, newsletters | (α) Συγκατάθεση (ρητή, ανακλητή ανά πάσα στιγμή) | Email Λογαριασμού |
| Νομικές αξιώσεις, υπεράσπιση δικαιωμάτων | (στ) Έννομο συμφέρον | Όλα τα ανωτέρω εφόσον απαιτηθεί |
4. Αποδέκτες & Τρίτοι Εκτελούντες την Επεξεργασία
Τα δεδομένα σας ενδέχεται να διαβιβαστούν στους εξής αποδέκτες, με τους οποίους έχουν συναφθεί ή συνάπτονται οι κατάλληλες συμβάσεις βάσει του Άρθρου 28 GDPR:
- Α.Α.Δ.Ε. (myDATA) — υποχρεωτική διαβίβαση παραστατικών δυνάμει Ν. 4646/2019 και Α.1138/2020· διενεργείται με τα δικά σας credentials.
- Hetzner Online GmbH (Γερμανία, εντός Ε.Ε.) — πάροχος cloud hosting, υπό σύμβαση εκτελούντος την επεξεργασία (Data Processing Agreement).
- Πάροχοι πληρωμών (π.χ. Viva Wallet, Stripe) — αποκλειστικά για τη χρέωση της συνδρομής σας. Οι πάροχοι αυτοί είναι ανεξάρτητοι Υπεύθυνοι Επεξεργασίας ως προς τα δεδομένα κάρτας.
- Α.Α.Δ.Ε. (αναζήτηση ΑΦΜ) — όταν εσείς αιτείστε αναζήτηση ΑΦΜ πελάτη/προμηθευτή.
- Γ.Ε.ΜΗ. — όταν αιτείστε αναζήτηση εταιρικών στοιχείων.
- Πάροχος email (SMTP) — εφόσον δηλώσετε δικά σας SMTP credentials για αποστολή παραστατικών.
- Νομικοί / λογιστικοί σύμβουλοι του Παρόχου — υπό αυστηρό απόρρητο, μόνο όταν απαιτείται.
- Δικαστικές / Διοικητικές αρχές — μόνο σε νόμιμο αίτημα (εισαγγελική παραγγελία, δικαστική απόφαση, αρμόδια εποπτική αρχή).
Δεν πωλούμε και δεν ενοικιάζουμε τα δεδομένα σας. Δεν χρησιμοποιούμε τα Συναλλακτικά Δεδομένα σας για δικούς μας εμπορικούς σκοπούς ή profiling.
5. Διεθνείς Διαβιβάσεις
Όλη η αποθήκευση και επεξεργασία γίνεται σε servers εντός Ευρωπαϊκής Ένωσης (Γερμανία). Δεν πραγματοποιούμε συστηματικές διαβιβάσεις σε τρίτες χώρες. Σε εξαιρετικές περιπτώσεις τυχόν διαβίβαση εκτός ΕΟΧ θα προστατεύεται από τις εγγυήσεις των Άρθρων 44-49 GDPR (Τυποποιημένες Συμβατικές Ρήτρες της Επιτροπής 2021/914 ή Απόφαση Επάρκειας).
6. Χρόνος Διατήρησης
| Κατηγορία | Διάρκεια | Νομική Βάση Διατήρησης |
|---|---|---|
| Λογαριασμός Χρήστη (ενεργός) | Καθ' όλη τη διάρκεια συνδρομής | Εκτέλεση σύμβασης |
| Λογαριασμός μετά λύση | + 90 ημέρες (grace period εξαγωγής) | Έννομο συμφέρον |
| Παραστατικά & λογιστικά αρχεία | 5 έτη από λήξη φορολογικού έτους | Άρθρο 5 Ν. 4308/2014 |
| Στοιχεία πληρωμών συνδρομής | 10 έτη | Άρθρο 13 § 2 ΚΦΔ Ν. 4174/2013 |
| Τεχνικά logs (IP, sessions) | έως 12 μήνες | Άρθρο 6 Ν. 3471/2006 / έννομο συμφέρον |
| Logs ασφαλείας / brute-force | έως 6 μήνες | Έννομο συμφέρον |
| Email επικοινωνίας υποστήριξης | έως 3 έτη μετά την επίλυση | Έννομο συμφέρον |
7. Τα Δικαιώματά σας ως Υποκείμενο Δεδομένων
Σύμφωνα με τα Άρθρα 12-22 GDPR, διατηρείτε τα παρακάτω δικαιώματα, τα οποία ασκούνται δωρεάν:
(Άρθρα 13-15) — να γνωρίζετε ποια δεδομένα έχουμε και πώς τα επεξεργαζόμαστε, και να λάβετε αντίγραφο.
(Άρθρο 16) — διόρθωση ανακριβών ή ελλιπών δεδομένων σας.
(Άρθρο 17) — διαγραφή των δεδομένων σας, εφόσον δεν υπερισχύει νόμιμη υποχρέωση διατήρησης (π.χ. φορολογικά παραστατικά πενταετίας).
(Άρθρο 18) — αναστολή της επεξεργασίας υπό προϋποθέσεις.
(Άρθρο 20) — λήψη των δεδομένων σας σε δομημένη, μηχαναγνώσιμη μορφή (π.χ. CSV/JSON) και μεταφορά τους σε άλλον πάροχο.
(Άρθρο 21) — εναντίωση σε επεξεργασία βάσει εννόμου συμφέροντος, ιδίως για άμεση εμπορική προώθηση.
(Άρθρο 7 § 3) — όπου η επεξεργασία στηρίζεται σε αυτήν, χωρίς να επηρεάζεται η νομιμότητα προηγούμενων επεξεργασιών.
(Άρθρο 22) — η Υπηρεσία δεν λαμβάνει αυτοματοποιημένες αποφάσεις με νομικές συνέπειες για εσάς.
Άσκηση δικαιωμάτων: Στείλτε email στο nbegklis@btech-ai.com με σαφή περιγραφή του αιτήματός σας. Απαντάμε εντός ενός μηνός από την παραλαβή (Άρθρο 12 § 3 GDPR), με δυνατότητα παράτασης δύο επιπλέον μηνών σε σύνθετες περιπτώσεις, για τις οποίες θα ενημερωθείτε εντός του πρώτου μήνα.
8. Δικαίωμα Καταγγελίας στην Εποπτική Αρχή
Εάν θεωρείτε ότι τα δικαιώματά σας έχουν παραβιαστεί, έχετε δικαίωμα να υποβάλετε καταγγελία στην ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) (Άρθρο 77 GDPR):
- Διεύθυνση: Λεωφ. Κηφισίας 1-3, 11523 Αθήνα
- Τηλέφωνο: +30 210 6475600
- Fax: +30 210 6475628
- Email: contact@dpa.gr
- Ιστοσελίδα: www.dpa.gr
- Online καταγγελία: dpa.gr
9. Ασφάλεια Δεδομένων (Άρθρο 32 GDPR)
Εφαρμόζουμε τα ακόλουθα τεχνικά και οργανωτικά μέτρα:
- Κρυπτογράφηση μεταφοράς (HTTPS/TLS 1.2+) με HSTS
- Hashing κωδικών με bcrypt (one-way)
- Multi-tenant isolation σε επίπεδο εφαρμογής & βάσης
- Rate-limiting κατά brute-force (Άρθρο 32 § 1 περ. β΄)
- CSRF, XSS, SQL Injection protection
- Content-Security-Policy & X-Frame-Options headers
- Καθημερινά κρυπτογραφημένα αντίγραφα ασφαλείας
- Δοκιμή αποκατάστασης ανά τρίμηνο
- Αρχή του ελάχιστου προνομίου (least privilege)
- Logs πρόσβασης & παρακολούθηση ανωμαλιών
10. Παραβίαση Δεδομένων (Data Breach)
Σε περίπτωση παραβίασης δεδομένων που ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες σας, ο Πάροχος θα ειδοποιήσει: (α) την ΑΠΔΠΧ εντός 72 ωρών από τη γνωστοποίηση (Άρθρο 33 GDPR), (β) τα ενδιαφερόμενα Υποκείμενα χωρίς αδικαιολόγητη καθυστέρηση εφόσον ο κίνδυνος είναι υψηλός (Άρθρο 34 GDPR).
11. Cookies & Παρόμοιες Τεχνολογίες
| Είδος | Σκοπός | Διάρκεια | Συγκατάθεση; |
|---|---|---|---|
session |
Τήρηση συνεδρίας μετά τη σύνδεση | Έως κλείσιμο browser ή logout | Όχι (απαραίτητο, Άρθρο 4 § 5 Ν. 3471/2006) |
csrf_token |
Προστασία από CSRF επιθέσεις | Συνεδρία | Όχι (απαραίτητο) |
theme |
Light/dark mode preference | Τοπικά (localStorage) | Όχι |
Δεν χρησιμοποιούμε Google Analytics, Meta Pixel, ή άλλα tracking / advertising cookies. Δεν δημιουργούμε προφίλ συμπεριφοράς (no profiling).
12. Ανήλικοι
Η Υπηρεσία απευθύνεται αποκλειστικά σε επαγγελματίες/επιχειρήσεις. Δεν συλλέγουμε εν γνώσει μας δεδομένα ανηλίκων κάτω των 16 ετών (Άρθρο 8 GDPR, Άρθρο 21 Ν. 4624/2019). Εάν διαπιστώσουμε τέτοια συλλογή, διαγράφουμε άμεσα τα δεδομένα.
13. Σχέση με Πελάτες των Χρηστών
Όταν ο Χρήστης (επιχείρηση) εισάγει στοιχεία των δικών του πελατών, ο Χρήστης ενεργεί ως Υπεύθυνος Επεξεργασίας για τα δεδομένα αυτά, ενώ ο Πάροχος ενεργεί ως Εκτελών την Επεξεργασία κατά το Άρθρο 28 GDPR. Κατόπιν αιτήματος, ο Πάροχος υπογράφει Συμφωνία Εκτελούντος Επεξεργασίας (DPA).
14. Τροποποιήσεις
Η Πολιτική ενδέχεται να ενημερωθεί. Ουσιώδεις τροποποιήσεις γνωστοποιούνται μέσω της εφαρμογής ή email τουλάχιστον 30 ημέρες πριν την έναρξη ισχύος. Η συνεχιζόμενη χρήση συνιστά αποδοχή.
Για κάθε ερώτημα ή άσκηση δικαιωμάτων: nbegklis@btech-ai.com.