Πολιτική Απορρήτου
Έκδοση: 1.0 — Ισχύει από 2026-05-20.
Η παρούσα Πολιτική περιγράφει πώς η εταιρεία A.Z. SUSTAINABLE MEDIA SERVICES L.T.D. επεξεργάζεται προσωπικά δεδομένα όταν χρησιμοποιείτε την εφαρμογή και τις υπηρεσίες CardsBox. Έχει συνταχθεί με γνώμονα τον Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 — “ΓΚΠΔ”) και τον Ν. 4624/2019.
Action items πριν τη δημοσίευση:
- Συμπλήρωση της καταχωρημένης διεύθυνσης της εταιρείας (Companies House) — βλ.
[...]placeholders παρακάτω. - Ορισμός EU Representative κατά Art. 27 ΓΚΠΔ (η εταιρεία είναι UK Ltd και απευθύνεται σε EU residents — πιθανότατα απαιτείται).
- Νομικός έλεγχος από δικηγόρο εξειδικευμένο σε προστασία δεδομένων.
- Επικύρωση των αναφερόμενων retention periods (ιδίως για backups).
Όταν συμπληρωθούν, αφαιρέστε αυτό το κόκκινο πλαίσιο και ξανατρέξτε ./deploy/web/update-page.py privacy.
1. Ποιοι είμαστε
Υπεύθυνος επεξεργασίας (Data Controller)
| Επωνυμία | A.Z. SUSTAINABLE MEDIA SERVICES L.T.D. |
| Έδρα | [Καταχωρημένη διεύθυνση Companies House — ΣΥΜΠΛΗΡΩΝΕΤΑΙ] |
| Νομική μορφή | UK Private Limited Company |
| Επικοινωνία για θέματα προστασίας δεδομένων | info@water-waste.com |
Εκπρόσωπος στην ΕΕ (Άρθρο 27 ΓΚΠΔ): [Προς ορισμό — ΣΥΜΠΛΗΡΩΝΕΤΑΙ]. Επειδή η εταιρεία είναι εγκατεστημένη εκτός της Ευρωπαϊκής Ένωσης και προσφέρει υπηρεσίες σε υποκείμενα δεδομένων που βρίσκονται στην ΕΕ, ενδέχεται να απαιτείται ο ορισμός εκπροσώπου στην ΕΕ. Η ενότητα αυτή θα ενημερωθεί μόλις ολοκληρωθεί η σχετική διαδικασία.
2. Ποια δεδομένα συλλέγουμε
2.1 Δεδομένα λογαριασμού (Account data)
Όταν δημιουργείτε λογαριασμό CardsBox, συλλέγουμε:
- Διεύθυνση email
- Όνομα εμφάνισης
- Κωδικό πρόσβασης (αποθηκεύεται αποκλειστικά ως bcrypt hash, ποτέ ως plaintext)
- Tokens αυθεντικοποίησης (JWT access token + rotating refresh token)
- Ημερομηνία δημιουργίας λογαριασμού + τελευταίας σύνδεσης
2.2 Δεδομένα που δημιουργείτε εσείς
Όταν χρησιμοποιείτε την εφαρμογή:
- Φωτογραφίες επαγγελματικών καρτών που σαρώνετε
- Στοιχεία επαφών που εξάγονται από τις κάρτες (όνομα, τίτλος, εταιρεία, email, τηλέφωνα, διεύθυνση, ιστοσελίδα, κλάδος)
- Σημειώσεις σε καρτέλες επαφών
- Ετικέτες (tags) που δημιουργείτε
- Υπενθυμίσεις (ημερομηνία, ώρα, σχόλιο)
- GPS check-ins (συντεταγμένες όπου συναντήσατε την επαφή — μόνο εφόσον δώσετε άδεια τοποθεσίας)
- Ιστορικό αλλαγών ανά επαφή
2.3 Λειτουργικά δεδομένα
Για την ασφάλεια και την ορθή λειτουργία της υπηρεσίας:
- Λογαριασμοί συνδέσεων (IP address, user-agent, χρονοσήμανση)
- Αρχεία καταγραφής διακομιστή (server logs)
- Συμβάντα αυθεντικοποίησης (επιτυχείς/αποτυχημένες προσπάθειες σύνδεσης)
- Στατιστικά χρήσης των AI scanning quota (αριθμός σαρώσεων ανά χρήστη)
2.4 Δεδομένα επικοινωνίας
Εφόσον μας στείλετε email ή χρησιμοποιήσετε form επικοινωνίας, αποθηκεύουμε το περιεχόμενο της επικοινωνίας μέχρι την επίλυση του θέματος.
3. Γιατί επεξεργαζόμαστε τα δεδομένα σας — Νομική βάση
| Κατηγορία δεδομένων | Σκοπός | Νομική βάση ΓΚΠΔ |
|---|---|---|
| Δεδομένα λογαριασμού | Δημιουργία και διαχείριση του λογαριασμού σας | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
| Φωτογραφίες καρτών + εξαγωγή στοιχείων με AI | Παροχή της κύριας λειτουργίας της υπηρεσίας | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
| Επαφές + ετικέτες + σημειώσεις | Αποθήκευση & συγχρονισμός μεταξύ συσκευών | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
| GPS check-ins | Λειτουργία τοποθεσίας (προαιρετική) | Άρθρο 6(1)(α) — συγκατάθεση (παραχωρείτε ή ανακαλείτε την άδεια τοποθεσίας από τις ρυθμίσεις της συσκευής) |
| Υπενθυμίσεις & push notifications | Αποστολή ειδοποιήσεων | Άρθρο 6(1)(α) — συγκατάθεση |
| Server logs | Ασφάλεια, εντοπισμός κατάχρησης, debugging | Άρθρο 6(1)(στ) — έννομο συμφέρον |
| Email επικοινωνίας | Υποστήριξη πελατών | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
4. Με ποιους μοιραζόμαστε τα δεδομένα σας
Δεν πουλάμε τα δεδομένα σας. Τα κοινοποιούμε μόνο σε εκτελούντες την επεξεργασία (sub-processors) που είναι απαραίτητοι για να λειτουργήσει η υπηρεσία:
| Πάροχος | Σκοπός | Τοποθεσία | Επεξεργαζόμενα δεδομένα |
|---|---|---|---|
| OpenAI, LLC | Εξαγωγή κειμένου από φωτογραφίες καρτών (Vision API) | ΗΠΑ | Φωτογραφία κάρτας (διαβιβάζεται κρυπτογραφημένα, OpenAI διατηρεί zero-retention για API requests) |
| Google LLC (Maps Platform) | Αναγνώριση διευθύνσεων & venues (Places API, Geocoding) | ΗΠΑ | Αναζήτηση κειμένου / συντεταγμένες |
| Amazon Web Services, Inc. | Φιλοξενία marketing site + αποστολή email (SES) | Ηνωμένο Βασίλειο (eu-west-2 London) | Server logs, εξερχόμενα emails |
| Cloudflare, Inc. | DNS + edge proxy για το api.cardsbox.app | Παγκόσμιο δίκτυο (EU PoPs προτιμώνται) | IP, request metadata |
| Google LLC (Firebase Cloud Messaging) | Push notifications | ΗΠΑ | Device token + payload notification |
Ο κατάλογος των ενεργών sub-processors ενημερώνεται κατόπιν αιτήματος.
5. Διεθνείς μεταφορές δεδομένων
Ορισμένοι από τους παραπάνω παρόχους έχουν έδρα εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Συγκεκριμένα:
- ΗΠΑ: OpenAI, Google, Cloudflare (παγκόσμια), FCM. Οι μεταφορές πραγματοποιούνται βάσει του Data Privacy Framework ή/και Τυποποιημένων Συμβατικών Ρητρών (Standard Contractual Clauses — SCCs) σύμφωνα με την Εκτελεστική Απόφαση (ΕΕ) 2021/914.
- Ηνωμένο Βασίλειο: AWS eu-west-2 και η εταιρεία μας. Το ΗΒ θεωρείται χώρα με επαρκές επίπεδο προστασίας από την Ευρωπαϊκή Επιτροπή (Απόφαση Επάρκειας 2021/1772, ανανεώνεται).
Μπορείτε να ζητήσετε αντίγραφο των διασφαλίσεων μεταφοράς απευθύνοντας email στο info@water-waste.com.
6. Πόσο καιρό κρατάμε τα δεδομένα σας
| Κατηγορία | Διάρκεια |
|---|---|
| Δεδομένα ενεργού λογαριασμού | Για όσο διάστημα διατηρείτε λογαριασμό |
| Δεδομένα μετά από διαγραφή λογαριασμού | 30 ημέρες grace period (ώστε να μπορείτε να επανέλθετε), στη συνέχεια μόνιμη διαγραφή |
| Server logs & συμβάντα αυθεντικοποίησης | 90 ημέρες |
| Αυτόματα αντίγραφα ασφαλείας βάσης | 30 ημέρες κυλιόμενα |
| Email επικοινωνίας | Έως 2 έτη μετά την τελευταία αλληλεπίδραση |
Όταν τα δεδομένα δεν είναι πλέον απαραίτητα για τους ανωτέρω σκοπούς, διαγράφονται ή ανωνυμοποιούνται.
7. Πώς προστατεύονται τα δεδομένα σας
Εφαρμόζουμε τεχνικά και οργανωτικά μέτρα ανάλογα με τον κίνδυνο:
- Κρυπτογράφηση κατά τη μεταφορά: TLS 1.2/1.3 για όλες τις συνδέσεις προς τους διακομιστές μας (HTTPS) και προς τους sub-processors
- Κρυπτογράφηση κωδικών: bcrypt cost 12 για τους κωδικούς λογαριασμού — δεν αποθηκεύεται plaintext
- Tokens: rotating refresh tokens με sha256 hash στη βάση, JWT με 15-min lifetime
- Πρόσβαση: αυστηρός περιορισμός πρόσβασης στη βάση δεδομένων (μόνο εξουσιοδοτημένο προσωπικό μέσω SSH key authentication)
- Παρακολούθηση: fail2ban, IP allowlisting, audit logs
- Backups: κρυπτογραφημένα κυλιόμενα 30-day, με ξεχωριστό access control
- Software updates: αυτόματες ενημερώσεις ασφαλείας στο OS και το framework
Κανένα σύστημα δεν είναι 100% ασφαλές. Σε περίπτωση παραβίασης που επηρεάζει τα δεδομένα σας, θα σας ενημερώσουμε εντός 72 ωρών σύμφωνα με τα άρθρα 33-34 ΓΚΠΔ.
8. Τα δικαιώματά σας
Σύμφωνα με τα άρθρα 15-22 του ΓΚΠΔ έχετε τα εξής δικαιώματα:
- Πρόσβαση (Άρθρο 15): να ζητήσετε αντίγραφο των δεδομένων σας
- Διόρθωση (Άρθρο 16): να διορθώσετε ανακριβή δεδομένα — οι περισσότερες ενέργειες είναι διαθέσιμες απευθείας μέσα από την εφαρμογή
- Διαγραφή (Άρθρο 17 — “δικαίωμα στη λήθη”): να ζητήσετε διαγραφή του λογαριασμού και των δεδομένων σας
- Περιορισμός (Άρθρο 18): να ζητήσετε να σταματήσουμε προσωρινά την επεξεργασία ορισμένων δεδομένων
- Φορητότητα (Άρθρο 20): να λάβετε τα δεδομένα σας σε δομημένο, κοινώς χρησιμοποιούμενο, αναγνώσιμο από μηχάνημα μορφότυπο (vCard / JSON export)
- Εναντίωση (Άρθρο 21): να εναντιωθείτε στην επεξεργασία βάσει εννόμου συμφέροντος
- Ανάκληση συγκατάθεσης (Άρθρο 7(3)): όπου η νομική βάση είναι η συγκατάθεσή σας, μπορείτε να την ανακαλέσετε ανά πάσα στιγμή χωρίς να θιγεί η νομιμότητα της προγενέστερης επεξεργασίας
- Δικαίωμα μη υπαγωγής σε αυτοματοποιημένη απόφαση (Άρθρο 22): βλ. ενότητα 10
Πώς ασκείτε τα δικαιώματά σας
Στείλτε email στο info@water-waste.com αναφέροντας το δικαίωμα που θέλετε να ασκήσετε. Θα απαντήσουμε εντός 30 ημερών (ή 60 σε εξαιρετικά πολύπλοκες περιπτώσεις, ενημερώνοντάς σας για την παράταση).
Δικαίωμα Καταγγελίας
Εάν θεωρείτε ότι η επεξεργασία των προσωπικών σας δεδομένων παραβιάζει τη νομοθεσία, έχετε δικαίωμα να υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ):
- Διεύθυνση: Λεωφ. Κηφισίας 1-3, 11523 Αθήνα
- Τηλέφωνο: +30 210 6475600
- Ιστοσελίδα: https://www.dpa.gr
- Email: complaints@dpa.gr
9. Δεδομένα τρίτων προσώπων (επαφές που σαρώνετε)
Όταν σαρώνετε την επαγγελματική κάρτα κάποιου άλλου, ανεβάζετε τα προσωπικά του δεδομένα στο CardsBox. Σε αυτή την περίπτωση εσείς ενεργείτε ως υπεύθυνος επεξεργασίας των δεδομένων του τρίτου προσώπου, και το CardsBox ενεργεί ως εκτελών επεξεργασία.
Με τη χρήση του CardsBox δηλώνετε ότι:
- Έχετε λάβει την κάρτα νόμιμα στο πλαίσιο επαγγελματικής επικοινωνίας
- Έχετε νόμιμη βάση να επεξεργάζεστε τα στοιχεία της κάρτας (συνήθως έννομο συμφέρον για B2B networking)
- Θα σεβαστείτε τυχόν αίτημα του τρίτου προσώπου για διαγραφή, διόρθωση κτλ.
Δείτε επίσης τους Όρους Χρήσης §6 σχετικά με την υπευθυνότητα του χρήστη.
10. Αυτοματοποιημένη επεξεργασία & AI
Το CardsBox χρησιμοποιεί τεχνητή νοημοσύνη (Computer Vision / OCR + Large Language Model) για να εξάγει αυτόματα στοιχεία από φωτογραφίες επαγγελματικών καρτών. Η επεξεργασία αυτή:
- Δεν επιφέρει έννομες ή σημαντικές συνέπειες για εσάς ή για τα τρίτα πρόσωπα στις κάρτες — η εξαγωγή είναι αμιγώς λειτουργική και υπό τον πλήρη έλεγχο του χρήστη
- Δεν συνιστά αποκλειστικά αυτοματοποιημένη απόφαση κατά την έννοια του άρθρου 22 ΓΚΠΔ, καθώς ο χρήστης ελέγχει και επεξεργάζεται χειροκίνητα κάθε εξαγόμενη επαφή πριν την αποθηκεύσει
- Πάντα μπορείτε να διαγράψετε τα αποτελέσματα και να σαρώσετε ξανά ή να εισάγετε χειροκίνητα
Τα μοντέλα μας δεν εκπαιδεύονται στα δεδομένα σας. Ο OpenAI Vision API τρέχει σε λειτουργία zero-retention για API requests.
11. Παιδιά
Το CardsBox δεν προορίζεται για παιδιά κάτω των 15 ετών (όριο ηλικίας συγκατάθεσης σύμφωνα με το Άρθρο 21 του Ν. 4624/2019). Δεν συλλέγουμε εν γνώσει μας δεδομένα από παιδιά. Εάν διαπιστώσουμε ότι έχουμε συλλέξει δεδομένα ανηλίκου, θα τα διαγράψουμε άμεσα.
12. Cookies & παρόμοιες τεχνολογίες
Ο ιστότοπος cardsbox.app χρησιμοποιεί μόνο τεχνικά απαραίτητα cookies για τη λειτουργία της σελίδας και τη διατήρηση συνδέσεων διαχειριστή. Δεν χρησιμοποιούμε analytics ή διαφημιστικά cookies. Σε περίπτωση μελλοντικής προσθήκης τέτοιων εργαλείων, θα ενημερωθείτε με banner συγκατάθεσης σύμφωνα με τον ν. 3471/2006 (όπως τροποποιήθηκε).
Η mobile εφαρμογή CardsBox δεν χρησιμοποιεί cookies — η αυθεντικοποίηση γίνεται μέσω JWT tokens αποθηκευμένων στο εσωτερικό secure storage της συσκευής.
13. Αλλαγές στην παρούσα Πολιτική
Ενδέχεται να επικαιροποιήσουμε αυτήν την Πολιτική. Όταν συμβεί αυτό:
- Αλλάζουμε την ημερομηνία “Ισχύει από” στην κορυφή της σελίδας
- Σε περίπτωση ουσιωδών αλλαγών ενημερώνουμε επιπλέον μέσω email ή ειδοποίηση εντός της εφαρμογής, τουλάχιστον 30 ημέρες πριν την έναρξη ισχύος
Συνιστούμε να ελέγχετε περιοδικά αυτή τη σελίδα.
14. Επικοινωνία
Για οποιοδήποτε ερώτημα σχετικά με την επεξεργασία των προσωπικών σας δεδομένων ή για άσκηση των δικαιωμάτων σας:
Email: info@water-waste.com
Υπεύθυνος επεξεργασίας: A.Z. SUSTAINABLE MEDIA SERVICES L.T.D.
Θα απαντήσουμε εντός 30 ημερών.