GDPR - Προστασία Δεδομένων

Η δέσμευσή μας στην προστασία των προσωπικών σας δεδομένων

1. Δέσμευση στο GDPR

Η DetaHashi συμμορφώνεται πλήρως με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης (Κανονισμός ΕΕ 2016/679) και τον ελληνικό Νόμο 4624/2019 περί προστασίας δεδομένων προσωπικού χαρακτήρα.

Ως εταιρεία με έδρα την Ελλάδα που επεξεργάζεται δεδομένα Ευρωπαίων πολιτών, η προστασία προσωπικών δεδομένων αποτελεί θεμελιώδη αρχή σε κάθε πτυχή της λειτουργίας μας. Η παρούσα σελίδα εξηγεί λεπτομερώς πώς εφαρμόζουμε τις αρχές του GDPR.

2. Βασικές Αρχές GDPR που Εφαρμόζουμε

Η επεξεργασία δεδομένων στη DetaHashi βασίζεται στις 7 θεμελιώδεις αρχές του Άρθρου 5 του GDPR:

Νομιμότητα, Αντικειμενικότητα και Διαφάνεια

Κάθε επεξεργασία βασίζεται σε σαφή νομική βάση. Σας ενημερώνουμε πλήρως για τον τρόπο χρήσης των δεδομένων σας. Δεν υπάρχουν κρυφές πρακτικές.

Περιορισμός Σκοπού

Τα δεδομένα συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς. Δεν χρησιμοποιούμε δεδομένα για σκοπούς ασύμβατους με αυτούς που αρχικά δηλώθηκαν.

Ελαχιστοποίηση Δεδομένων

Συλλέγουμε μόνο τα δεδομένα που είναι απαραίτητα για την παροχή της υπηρεσίας. Δεν ζητάμε περιττές πληροφορίες.

Ακρίβεια

Λαμβάνουμε μέτρα ώστε τα δεδομένα να είναι ακριβή και ενημερωμένα. Σας δίνουμε τη δυνατότητα να ενημερώσετε τα στοιχεία σας ανά πάσα στιγμή.

Περιορισμός Αποθήκευσης

Δεν διατηρούμε δεδομένα πέραν του χρόνου που απαιτείται για τον σκοπό τους. Εφαρμόζουμε σαφείς πολιτικές διατήρησης και αυτόματης διαγραφής.

Ακεραιότητα και Εμπιστευτικότητα

Εφαρμόζουμε ολοκληρωμένα τεχνικά και οργανωτικά μέτρα ασφαλείας για την προστασία δεδομένων από μη εξουσιοδοτημένη πρόσβαση, απώλεια ή καταστροφή.

Λογοδοσία

Τηρούμε αρχεία επεξεργασίας, πολιτικές και διαδικασίες που τεκμηριώνουν τη συμμόρφωσή μας. Είμαστε σε θέση να αποδείξουμε τη συμμόρφωσή μας ανά πάσα στιγμή.

3. Τα Δικαιώματά σας βάσει GDPR

Ο GDPR σας παρέχει ισχυρά δικαιώματα σε σχέση με τα προσωπικά σας δεδομένα. Στη DetaHashi σεβόμαστε και διευκολύνουμε την άσκηση κάθε δικαιώματος:

Δικαίωμα Ενημέρωσης (Άρθρα 13-14)

Δικαιούστε πλήρη ενημέρωση σχετικά με τον τρόπο επεξεργασίας των δεδομένων σας. Η Πολιτική Απορρήτου μας παρέχει αυτές τις πληροφορίες αναλυτικά.

Πώς το εφαρμόζουμε: Δημοσιεύουμε αναλυτική Πολιτική Απορρήτου, Πολιτική Cookies και την παρούσα σελίδα GDPR. Σας ενημερώνουμε για αλλαγές μέσω email.

Δικαίωμα Πρόσβασης (Άρθρο 15)

Δικαιούστε να λάβετε επιβεβαίωση σχετικά με τη επεξεργασία δεδομένων σας και αντίγραφο αυτών, μαζί με πληροφορίες για τους σκοπούς, τις κατηγορίες, τους αποδέκτες, τη διάρκεια διατήρησης και τα δικαιώματά σας.

Πώς το εφαρμόζουμε: Μπορείτε να δείτε τα περισσότερα δεδομένα σας απευθείας μέσω του λογαριασμού σας. Για πλήρες αντίγραφο, στείλτε αίτημα στο info@detahashi.com.

Χρόνος απάντησης: Εντός 30 ημερών. Δυνατότητα παράτασης 60 ημερών σε σύνθετες περιπτώσεις (με ενημέρωση).

Δικαίωμα Διόρθωσης (Άρθρο 16)

Δικαιούστε τη διόρθωση ανακριβών δεδομένων και τη συμπλήρωση ελλιπών δεδομένων χωρίς αδικαιολόγητη καθυστέρηση.

Πώς το εφαρμόζουμε: Ενημερώστε τα στοιχεία σας απευθείας στο προφίλ σας. Για δεδομένα που δεν είναι άμεσα επεξεργάσιμα, επικοινωνήστε μαζί μας.

Δικαίωμα Διαγραφής / "Δικαίωμα στη Λήθη" (Άρθρο 17)

Δικαιούστε τη διαγραφή των δεδομένων σας σε ορισμένες περιπτώσεις: όταν δεν είναι πλέον απαραίτητα, ανακαλείτε τη συγκατάθεσή σας, εναντιώνεστε στην επεξεργασία, τα δεδομένα υποβλήθηκαν σε παράνομη επεξεργασία, ή απαιτείται από νομική υποχρέωση.

Πώς το εφαρμόζουμε: Μπορείτε να διαγράψετε τον λογαριασμό σας μέσω των ρυθμίσεων ή αποστέλλοντας αίτημα. Τα δεδομένα διαγράφονται εντός 30 ημερών.

Εξαιρέσεις: Ενδέχεται να διατηρήσουμε δεδομένα που απαιτούνται από τη νομοθεσία (φορολογικά αρχεία), για τη θεμελίωση νομικών αξιώσεων, ή για λόγους δημόσιου συμφέροντος.

Δικαίωμα Περιορισμού Επεξεργασίας (Άρθρο 18)

Δικαιούστε τον περιορισμό της επεξεργασίας όταν: αμφισβητείτε την ακρίβεια δεδομένων (κατά τη διάρκεια επαλήθευσης), η επεξεργασία είναι παράνομη αλλά δεν θέλετε διαγραφή, τα δεδομένα δεν χρειάζονται πλέον αλλά τα χρειάζεστε για νομικές αξιώσεις, ή ασκήσατε δικαίωμα εναντίωσης (εν αναμονή επαλήθευσης).

Πώς το εφαρμόζουμε: Στείλτε αίτημα περιορισμού. Τα δεδομένα θα σημανθούν και η επεξεργασία θα περιοριστεί μόνο σε αποθήκευση, με τη συγκατάθεσή σας, ή για νομικούς σκοπούς.

Δικαίωμα Φορητότητας Δεδομένων (Άρθρο 20)

Δικαιούστε να λάβετε τα δεδομένα σας σε δομημένο, κοινώς χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο, καθώς και να τα διαβιβάσετε σε άλλον υπεύθυνο επεξεργασίας.

Πώς το εφαρμόζουμε: Ζητήστε εξαγωγή δεδομένων. Θα λάβετε τα δεδομένα σας σε μορφή JSON ή CSV εντός 30 ημερών. Εφόσον είναι τεχνικά εφικτό, μπορούμε να τα διαβιβάσουμε απευθείας σε άλλον πάροχο.

Τι περιλαμβάνεται: Στοιχεία λογαριασμού, δεδομένα προϊόντων, αντιστοιχίσεις κατηγοριών/χαρακτηριστικών, ιστορικό συγχρονισμού.

Δικαίωμα Εναντίωσης (Άρθρο 21)

Δικαιούστε να εναντιωθείτε στην επεξεργασία δεδομένων που βασίζεται σε έννομο συμφέρον ή δημόσιο συμφέρον. Σε περίπτωση εναντίωσης, θα σταματήσουμε την επεξεργασία εκτός εάν αποδείξουμε επιτακτικούς νόμιμους λόγους.

Ειδική περίπτωση - Απευθείας Marketing: Μπορείτε να εναντιωθείτε ανά πάσα στιγμή στην επεξεργασία για σκοπούς απευθείας marketing. Η εναντίωση αυτή είναι απόλυτη και δεν απαιτεί αιτιολόγηση.

Πώς το εφαρμόζουμε: Στείλτε αίτημα εναντίωσης ή χρησιμοποιήστε τον σύνδεσμο "unsubscribe" σε emails marketing.

Δικαίωμα μη Αυτοματοποιημένης Λήψης Αποφάσεων (Άρθρο 22)

Δικαιούστε να μην υπόκεισθε σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ (profiling), η οποία παράγει έννομα αποτελέσματα ή σας επηρεάζει σημαντικά.

Πώς το εφαρμόζουμε: Η DetaHashi δεν χρησιμοποιεί αυτοματοποιημένη λήψη αποφάσεων ή profiling που επηρεάζει σημαντικά τους χρήστες. Ο συγχρονισμός δεδομένων είναι αυτοματοποιημένος αλλά δεν λαμβάνει αποφάσεις σχετικά με εσάς.

Δικαίωμα Ανάκλησης Συγκατάθεσης

Εάν η επεξεργασία βασίζεται σε συγκατάθεση (π.χ. cookies ανάλυσης, marketing emails), μπορείτε να την ανακαλέσετε ανά πάσα στιγμή. Η ανάκληση δεν θίγει τη νομιμότητα της επεξεργασίας που έγινε πριν.

Πώς ανακαλείτε: Αλλαγή ρυθμίσεων cookies, unsubscribe από emails, ή αίτημα μέσω email.

4. Πώς να Ασκήσετε τα Δικαιώματά σας

4.1 Υποβολή Αιτήματος

Για να ασκήσετε οποιοδήποτε δικαίωμα GDPR:

  • Στείλτε email στο info@detahashi.com
  • Θέμα: "Αίτημα GDPR - [Τύπος Δικαιώματος]"
  • Περιγράψτε σαφώς το αίτημά σας
  • Συμπεριλάβετε στοιχεία ταυτοποίησης (π.χ. email λογαριασμού)

4.2 Επαλήθευση Ταυτότητας

Για την προστασία σας, ενδέχεται να σας ζητήσουμε επαλήθευση ταυτότητας πριν ικανοποιήσουμε ένα αίτημα. Αυτό μπορεί να περιλαμβάνει:

  • Επιβεβαίωση μέσω του email του λογαριασμού
  • Απάντηση σε ερωτήσεις ασφαλείας
  • Σε εξαιρετικές περιπτώσεις, αντίγραφο ταυτότητας (με κάλυψη μη απαραίτητων στοιχείων)

4.3 Χρονοδιάγραμμα Απόκρισης

  • Αρχική επιβεβαίωση: Εντός 72 ωρών από τη λήψη
  • Πλήρης απάντηση: Εντός 30 ημερών
  • Παράταση: Έως 60 επιπλέον ημέρες σε σύνθετες περιπτώσεις (με ενημέρωση εντός 30 ημερών)
  • Κόστος: Δωρεάν, εκτός εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά

4.4 Άρνηση Αιτήματος

Σε σπάνιες περιπτώσεις, ενδέχεται να αρνηθούμε ένα αίτημα εάν:

  • Δεν μπορούμε να επαληθεύσουμε την ταυτότητά σας
  • Το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό
  • Η ικανοποίηση θα παραβίαζε δικαιώματα τρίτων
  • Υφίσταται νομικός λόγος διατήρησης (π.χ. φορολογικοί)

Σε κάθε περίπτωση άρνησης, θα σας ενημερώσουμε εγγράφως για τους λόγους και το δικαίωμα προσφυγής στην εποπτική αρχή.

5. Τεχνικά και Οργανωτικά Μέτρα (Άρθρο 32)

Εφαρμόζουμε ολοκληρωμένα μέτρα ασφαλείας σύμφωνα με το Άρθρο 32 του GDPR:

5.1 Κρυπτογράφηση

  • TLS 1.2/1.3 για κρυπτογράφηση δεδομένων σε μεταφορά
  • AES-256 για κρυπτογράφηση δεδομένων σε αποθήκευση
  • Bcrypt hashing για κωδικούς πρόσβασης (μη αντιστρέψιμο)
  • Κρυπτογράφηση backups
  • Κρυπτογραφημένη αποθήκευση διαπιστευτηρίων ERP/WooCommerce

5.2 Έλεγχος Πρόσβασης

  • Αρχή ελάχιστου προνομίου (Principle of Least Privilege)
  • Έλεγχος πρόσβασης βάσει ρόλου (RBAC) σε επίπεδο εφαρμογής
  • Multi-tenant αρχιτεκτονική με αυστηρή απομόνωση δεδομένων
  • Αρχεία καταγραφής πρόσβασης (audit logs)
  • Αυτόματη αποσύνδεση μετά από αδράνεια

5.3 Ασφάλεια Δικτύου

  • Τείχος προστασίας (firewall) σε επίπεδο δικτύου και εφαρμογής
  • Σύστημα ανίχνευσης και πρόληψης εισβολών (IDS/IPS)
  • Προστασία DDoS
  • Τακτικές σαρώσεις ευπαθειών
  • Τμηματοποίηση δικτύου

5.4 Ασφάλεια Εφαρμογής

  • Προστασία CSRF (Cross-Site Request Forgery)
  • Προστασία XSS (Cross-Site Scripting)
  • Προστασία SQL Injection
  • Content Security Policy (CSP) headers
  • Rate limiting για αποτροπή brute force επιθέσεων
  • Τακτικές ενημερώσεις ασφαλείας dependencies

5.5 Φυσική Ασφάλεια

  • Φιλοξενία σε πιστοποιημένα data centers εντός ΕΕ
  • Ελεγχόμενη φυσική πρόσβαση στους servers
  • Πλεονασμός (redundancy) σε υποδομές

5.6 Οργανωτικά Μέτρα

  • Εκπαίδευση προσωπικού σε θέματα GDPR και ασφάλειας
  • Πολιτικές εσωτερικής πρόσβασης σε δεδομένα
  • Σχέδιο αντιμετώπισης περιστατικών (Incident Response Plan)
  • Τακτικοί εσωτερικοί έλεγχοι συμμόρφωσης
  • Αξιολόγηση αντίκτυπου (DPIA) όπου απαιτείται

6. Παραβίαση Δεδομένων (Άρθρα 33-34)

Σε περίπτωση παραβίασης προσωπικών δεδομένων:

6.1 Ενημέρωση Εποπτικής Αρχής

Θα ενημερώσουμε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εντός 72 ωρών από τη στιγμή που λάβουμε γνώση της παραβίασης, εκτός εάν η παραβίαση δεν ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα σας.

6.2 Ενημέρωση Χρηστών

Εάν η παραβίαση ενδέχεται να δημιουργήσει υψηλό κίνδυνο για τα δικαιώματά σας, θα σας ενημερώσουμε αμέσως με σαφή γλώσσα, περιγράφοντας:

  • Τη φύση της παραβίασης
  • Τα δεδομένα που επηρεάστηκαν
  • Τις πιθανές συνέπειες
  • Τα μέτρα που λαμβάνουμε
  • Τις ενέργειες που μπορείτε να κάνετε εσείς

6.3 Αρχείο Παραβιάσεων

Τηρούμε αρχείο όλων των παραβιάσεων δεδομένων, ανεξαρτήτως σοβαρότητας, συμπεριλαμβανομένων των γεγονότων, των επιπτώσεων και των διορθωτικών ενεργειών.

7. Εκτελούντες Επεξεργασία (Άρθρο 28)

Κάθε τρίτος πάροχος που επεξεργάζεται δεδομένα εκ μέρους μας (εκτελών επεξεργασία) υπόκειται σε:

  • Γραπτή σύμβαση επεξεργασίας δεδομένων (Data Processing Agreement - DPA)
  • Υποχρέωση εμπιστευτικότητας
  • Κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας
  • Απαγόρευση υπο-επεξεργασίας χωρίς τη συγκατάθεσή μας
  • Υποχρέωση συνδρομής στην άσκηση δικαιωμάτων υποκειμένων
  • Διαγραφή ή επιστροφή δεδομένων μετά τη λήξη της σύμβασης

8. Διεθνείς Μεταφορές (Κεφάλαιο V GDPR)

Τα δεδομένα αποθηκεύονται κατά κύριο λόγο εντός ΕΟΧ. Σε περίπτωση μεταφοράς εκτός ΕΟΧ, χρησιμοποιούμε:

  • Αποφάσεις Επάρκειας της Ευρωπαϊκής Επιτροπής (Άρθρο 45)
  • Τυποποιημένες Συμβατικές Ρήτρες (SCCs) σύμφωνα με το Άρθρο 46(2)(c)
  • Δεσμευτικούς Εταιρικούς Κανόνες (BCRs) σύμφωνα με το Άρθρο 47
  • Συμπληρωματικά μέτρα ασφαλείας σύμφωνα με τις κατευθυντήριες γραμμές EDPB

9. Αξιολόγηση Αντίκτυπου (DPIA - Άρθρο 35)

Διενεργούμε Αξιολόγηση Αντίκτυπου σχετικά με την Προστασία Δεδομένων (Data Protection Impact Assessment) όταν η επεξεργασία ενδέχεται να δημιουργήσει υψηλό κίνδυνο για τα δικαιώματα των υποκειμένων, ιδιαίτερα:

  • Κατά την εισαγωγή νέων τεχνολογιών ή μεθόδων επεξεργασίας
  • Κατά τη μεταφορά δεδομένων εκτός ΕΟΧ
  • Κατά τη συνεργασία με νέους εκτελούντες επεξεργασία
  • Σε επεξεργασία μεγάλης κλίμακας

10. Αρχείο Δραστηριοτήτων Επεξεργασίας (Άρθρο 30)

Τηρούμε αρχείο δραστηριοτήτων επεξεργασίας που περιλαμβάνει:

  • Ονοματεπώνυμο και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας
  • Σκοπούς επεξεργασίας
  • Κατηγορίες υποκειμένων και δεδομένων
  • Κατηγορίες αποδεκτών
  • Μεταφορές σε τρίτες χώρες
  • Χρονοδιαγράμματα διαγραφής
  • Περιγραφή μέτρων ασφαλείας

11. Εποπτική Αρχή

Εάν θεωρείτε ότι τα δικαιώματά σας βάσει GDPR δεν τηρούνται ή η επεξεργασία δεδομένων σας είναι παράνομη, έχετε δικαίωμα υποβολής καταγγελίας στην αρμόδια εποπτική αρχή:

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)

  • Ιστότοπος: www.dpa.gr
  • Τηλέφωνο: +30 210 6475600
  • Fax: +30 210 6475628
  • Email: contact@dpa.gr
  • Διεύθυνση: Κηφισίας 1-3, 115 23 Αθήνα, Ελλάδα

Εάν βρίσκεστε σε άλλο κράτος-μέλος της ΕΕ, μπορείτε επίσης να υποβάλετε καταγγελία στην εποπτική αρχή της χώρας διαμονής ή εργασίας σας.

Επιπλέον, έχετε δικαίωμα δικαστικής προσφυγής τόσο κατά του υπεύθυνου επεξεργασίας όσο και κατά αποφάσεων της εποπτικής αρχής.

12. Επικοινωνία για Θέματα GDPR

Για οποιοδήποτε ζήτημα σχετικά με τον GDPR και τα προσωπικά σας δεδομένα:

  • Email: info@detahashi.com
  • Θέμα: "GDPR - [το ερώτημα/αίτημά σας]"
  • Χρόνος απόκρισης: Εντός 72 ωρών για αρχική επιβεβαίωση, εντός 30 ημερών για πλήρη απάντηση

Χρήση Cookies

Χρησιμοποιούμε cookies για τη σωστή λειτουργία του ιστότοπου, τη βελτίωση της εμπειρίας σας και την ανάλυση της κίνησης. Διαβάστε περισσότερα στην Πολιτική Cookies και την Πολιτική Απορρήτου.