Συμμόρφωση GDPR
Τελευταία ενημέρωση: 1 Μαρτίου 2026
1. Η Δέσμευσή μας στον GDPR
Η πλατφόρμα Cardly (παρέχεται από τη Nifty — nifty.gr) δεσμεύεται πλήρως στη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (General Data Protection Regulation — GDPR, Κανονισμός ΕΕ 2016/679), ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018, καθώς και με τον ελληνικό εφαρμοστικό νόμο 4624/2019.
Ο GDPR αποτελεί το πιο ολοκληρωμένο νομοθετικό πλαίσιο για την προστασία δεδομένων παγκοσμίως και θέτει αυστηρές απαιτήσεις για τον τρόπο με τον οποίο οι οργανισμοί συλλέγουν, αποθηκεύουν, επεξεργάζονται και προστατεύουν τα προσωπικά δεδομένα φυσικών προσώπων εντός της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Οικονομικού Χώρου.
Η παρούσα σελίδα περιγράφει αναλυτικά τον τρόπο με τον οποίο η Cardly συμμορφώνεται με τις απαιτήσεις του GDPR, τα μέτρα που εφαρμόζουμε, τα δικαιώματα που σας παρέχονται και τους μηχανισμούς που διαθέτουμε για την προστασία των δεδομένων σας. Η Cardly εφαρμόζει τις θεμελιώδεις αρχές του GDPR (Άρθρο 5): νομιμότητα, αντικειμενικότητα και διαφάνεια, περιορισμός σκοπού, ελαχιστοποίηση δεδομένων, ακρίβεια, περιορισμός χρόνου αποθήκευσης, ακεραιότητα και εμπιστευτικότητα, και λογοδοσία.
2. Υπεύθυνος Επεξεργασίας Δεδομένων (Data Controller)
Σύμφωνα με το Άρθρο 4(7) του GDPR, ο Υπεύθυνος Επεξεργασίας Δεδομένων είναι:
- Επωνυμία: Nifty
- Ιστοσελίδα: nifty.gr
- Χώρα: Ελλάδα
- Email: support@cardly.gr
- Υπηρεσία: Cardly — cardly.gr
Η Nifty, ως Υπεύθυνος Επεξεργασίας, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων που συλλέγονται μέσω της πλατφόρμας Cardly. Φέρουμε την πλήρη ευθύνη για τη νόμιμη και ασφαλή επεξεργασία των δεδομένων σας.
Για δεδομένα που εισάγουν χρήστες εταιρικών λογαριασμών (π.χ. στοιχεία υπαλλήλων που εισάγει ένας company admin), η Cardly ενεργεί ως Εκτελών την Επεξεργασία (Data Processor) σύμφωνα με το Άρθρο 4(8) του GDPR, ενώ Υπεύθυνος Επεξεργασίας είναι η εκάστοτε εταιρεία-πελάτης.
3. Υπεύθυνος Προστασίας Δεδομένων (DPO)
Σύμφωνα με τα Άρθρα 37-39 του GDPR, έχουμε ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer — DPO), ο οποίος:
- Παρακολουθεί τη συμμόρφωσή μας με τον GDPR και τις σχετικές πολιτικές
- Παρέχει συμβουλές σχετικά με εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων (DPIA)
- Αποτελεί σημείο επαφής για τα υποκείμενα δεδομένων και την εποπτική αρχή
- Συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
- Εποπτεύει την εκπαίδευση του προσωπικού σε θέματα προστασίας δεδομένων
- Διενεργεί εσωτερικούς ελέγχους συμμόρφωσης
Επικοινωνία με τον DPO:
Email: dpo@cardly.gr
4. Νομικές Βάσεις Επεξεργασίας (Άρθρο 6 GDPR)
Κάθε δραστηριότητα επεξεργασίας δεδομένων βασίζεται σε μία από τις νομικές βάσεις που προβλέπονται στο Άρθρο 6(1) του GDPR. Παρακάτω αναλύονται οι νομικές βάσεις ανά δραστηριότητα:
4.1 Εκτέλεση σύμβασης — Άρθρο 6(1)(β)
- Δημιουργία και διαχείριση λογαριασμού χρήστη
- Παροχή της υπηρεσίας ψηφιακών επαγγελματικών καρτών
- Αποθήκευση και εμφάνιση περιεχομένου καρτών
- Διαχείριση συνδρομών και αλλαγές πλάνου
- Παροχή τεχνικής υποστήριξης
- Αποστολή transactional emails (επιβεβαίωση εγγραφής, ειδοποιήσεις λογαριασμού)
4.2 Συγκατάθεση — Άρθρο 6(1)(α)
- Αποστολή ενημερωτικών δελτίων (newsletters) και marketing emails
- Χρήση cookies ανάλυσης και marketing
- Επεξεργασία φωτογραφιών προφίλ / avatar
- Συμμετοχή σε έρευνες ικανοποίησης χρηστών
4.3 Έννομο συμφέρον — Άρθρο 6(1)(στ)
- Ανάλυση χρήσης και βελτίωση της Υπηρεσίας
- Στατιστικά προβολών καρτών (analytics dashboard)
- Πρόληψη απάτης και κακόβουλης χρήσης
- Διασφάλιση ασφάλειας δικτύου και πληροφοριών
- Αρχεία καταγραφής (server logs) για αντιμετώπιση σφαλμάτων
4.4 Νομική υποχρέωση — Άρθρο 6(1)(γ)
- Τήρηση φορολογικών αρχείων και τιμολογίων (ελληνική φορολογική νομοθεσία — 7 έτη)
- Συμμόρφωση με δικαστικές αποφάσεις ή αιτήματα αρμοδίων αρχών
- Ειδοποίηση παραβίασης δεδομένων προς την εποπτική αρχή (Άρθρο 33 GDPR)
- Τήρηση αρχείου δραστηριοτήτων επεξεργασίας (Άρθρο 30 GDPR)
5. Κατηγορίες Προσωπικών Δεδομένων που Υποβάλλονται σε Επεξεργασία
Τα προσωπικά δεδομένα που επεξεργαζόμαστε κατατάσσονται στις ακόλουθες κατηγορίες:
| Κατηγορία | Περιγραφή |
|---|---|
| Δεδομένα ταυτοποίησης | Ονοματεπώνυμο, φωτογραφία προφίλ / avatar, κωδικός πρόσβασης (hashed) |
| Δεδομένα επικοινωνίας | Διεύθυνση email, αριθμός τηλεφώνου, ταχυδρομική διεύθυνση, ιστοσελίδα |
| Επαγγελματικά δεδομένα | Τίτλος θέσης εργασίας, εταιρεία/οργανισμός, βιογραφικό σημείωμα, επαγγελματικός τομέας |
| Περιεχόμενο ψηφιακής κάρτας | Σύνδεσμοι κοινωνικών δικτύων, λογότυπα, εικόνες, προσαρμοσμένα πεδία, κουμπιά δράσης |
| Τεχνικά δεδομένα | Διεύθυνση IP, τύπος browser, λειτουργικό σύστημα, συσκευή, cookies, referrer URL |
| Οικονομικά δεδομένα | Στοιχεία χρέωσης (μέσω Stripe), ιστορικό συναλλαγών, τιμολόγια, ΑΦΜ |
Σημείωση: Δεν επεξεργαζόμαστε ειδικές κατηγορίες δεδομένων (Άρθρο 9 GDPR), όπως δεδομένα υγείας, φυλετικής ή εθνοτικής καταγωγής, πολιτικών φρονημάτων, θρησκευτικών ή φιλοσοφικών πεποιθήσεων, γενετικά ή βιομετρικά δεδομένα.
6. Κατηγορίες Υποκειμένων Δεδομένων
Τα υποκείμενα των δεδομένων που επεξεργαζόμαστε κατατάσσονται στις ακόλουθες ομάδες:
- Χρήστες (Users): Φυσικά πρόσωπα που εγγράφονται και χρησιμοποιούν την πλατφόρμα Cardly για τη δημιουργία και διαχείριση ψηφιακών επαγγελματικών καρτών.
- Διαχειριστές εταιρειών (Company Admins): Χρήστες με δικαιώματα διαχείρισης σε εταιρικά πλάνα, οι οποίοι διαχειρίζονται τις κάρτες και τους λογαριασμούς μελών της ομάδας τους.
- Επισκέπτες καρτών (Card Visitors): Τρίτα πρόσωπα που προβάλλουν ψηφιακές κάρτες μέσω συνδέσμων, QR codes ή NFC. Για αυτά τα άτομα συλλέγονται μόνο ανώνυμα τεχνικά δεδομένα (IP, browser, device) για σκοπούς ανάλυσης.
- Επισκέπτες ιστοτόπου: Άτομα που επισκέπτονται το cardly.gr χωρίς να εγγραφούν. Συλλέγονται μόνο cookies και τεχνικά δεδομένα σύμφωνα με τις προτιμήσεις τους.
7. Δραστηριότητες Επεξεργασίας Δεδομένων
Ο ακόλουθος πίνακας παρουσιάζει αναλυτικά τις δραστηριότητες επεξεργασίας, τον σκοπό, τη νομική βάση και την περίοδο διατήρησης για κάθε μία:
| Δραστηριότητα | Σκοπός | Νομική Βάση | Διατήρηση |
|---|---|---|---|
| Εγγραφή χρήστη | Δημιουργία λογαριασμού | Σύμβαση — Άρθρο 6§1β | Ενεργή χρήση + 2 έτη |
| Δημιουργία κάρτας | Παροχή υπηρεσίας | Σύμβαση — Άρθρο 6§1β | Ενεργή χρήση + 30 ημέρες |
| Επεξεργασία πληρωμών | Χρέωση συνδρομής | Σύμβαση / Νομική υποχρέωση — Άρθρο 6§1β, 6§1γ | 7 έτη (φορολογική νομοθεσία) |
| Analytics καρτών | Στατιστικά προβολών | Έννομο συμφέρον — Άρθρο 6§1στ | 12 μήνες (στη συνέχεια ανωνυμοποίηση) |
| Marketing emails | Προώθηση υπηρεσιών | Συγκατάθεση — Άρθρο 6§1α | Μέχρι ανάκληση συγκατάθεσης |
| Αρχεία καταγραφής | Ασφάλεια / debug | Έννομο συμφέρον — Άρθρο 6§1στ | 90 ημέρες |
| Cookies ανάλυσης | Βελτίωση UX | Συγκατάθεση — Άρθρο 6§1α | Βλ. πολιτική cookies |
| Τεχνική υποστήριξη | Επίλυση αιτημάτων | Σύμβαση — Άρθρο 6§1β | 2 έτη μετά την επίλυση |
| Διαχείριση ομάδας | Εταιρικά πλάνα | Σύμβαση — Άρθρο 6§1β | Ενεργή χρήση + 2 έτη |
| Φορολογικά αρχεία | Νομική υποχρέωση | Νομική υποχρέωση — Άρθρο 6§1γ | 7 έτη |
8. Υπο-εκτελούντες Επεξεργασία (Sub-processors)
Για την παροχή της Υπηρεσίας, συνεργαζόμαστε με τους ακόλουθους υπο-εκτελούντες επεξεργασία, με τους οποίους έχουμε συνάψει Συμφωνίες Επεξεργασίας Δεδομένων (Data Processing Agreements — DPAs):
| Πάροχος | Σκοπός | Τοποθεσία | Εγγυήσεις |
|---|---|---|---|
| Stripe | Επεξεργασία πληρωμών | ΗΠΑ / ΕΕ | SCCs, EU-US DPF, PCI DSS Level 1 |
| Πάροχος φιλοξενίας | Hosting & αποθήκευση δεδομένων | ΕΕ | DPA, ISO 27001 |
| Πάροχος email | Transactional & marketing emails | ΕΕ | DPA, GDPR compliant |
Κάθε υπο-εκτελών επεξεργασία υποχρεούται συμβατικά να επεξεργάζεται τα δεδομένα αποκλειστικά σύμφωνα με τις οδηγίες μας και να εφαρμόζει κατάλληλα μέτρα ασφαλείας. Δεσμεύεται επίσης να μας ειδοποιεί αμέσως σε περίπτωση παραβίασης δεδομένων.
9. Διεθνείς Μεταφορές Δεδομένων και Εγγυήσεις
Η κύρια αποθήκευση και επεξεργασία δεδομένων γίνεται σε servers εντός της Ευρωπαϊκής Ένωσης. Σε περιπτώσεις μεταφοράς δεδομένων εκτός ΕΟΧ, εφαρμόζουμε τους ακόλουθους μηχανισμούς εγγυήσεων σύμφωνα με τα Άρθρα 44-49 του GDPR:
- Τυποποιημένες Συμβατικές Ρήτρες (Standard Contractual Clauses — SCCs): Χρησιμοποιούμε τις τελευταίες εγκεκριμένες SCCs (Εκτελεστική Απόφαση 2021/914 της Ευρωπαϊκής Επιτροπής) για κάθε μεταφορά δεδομένων σε τρίτες χώρες.
- Αποφάσεις επάρκειας (Adequacy Decisions): Όπου υπάρχει απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής (π.χ. EU-U.S. Data Privacy Framework), βασιζόμαστε και σε αυτήν ως πρόσθετη εγγύηση.
- Transfer Impact Assessment (TIA): Πριν από κάθε μεταφορά, διενεργούμε αξιολόγηση επιπτώσεων μεταφοράς για να διασφαλίσουμε ότι η χώρα υποδοχής παρέχει επαρκές επίπεδο προστασίας.
- Συμπληρωματικά μέτρα: Κρυπτογράφηση δεδομένων κατά τη μεταφορά, ελαχιστοποίηση δεδομένων, ψευδωνυμοποίηση όπου είναι εφικτό.
10. Δικαιώματα Υποκειμένων Δεδομένων (Άρθρα 15-22 GDPR)
Ο GDPR σας παρέχει εκτεταμένα δικαιώματα σχετικά με τα προσωπικά σας δεδομένα. Τα δικαιώματα αυτά και ο τρόπος άσκησής τους περιγράφονται αναλυτικά παρακάτω:
Δικαίωμα Πρόσβασης (Άρθρο 15)
Έχετε το δικαίωμα να ζητήσετε και να λάβετε επιβεβαίωση σχετικά με το κατά πόσον τα προσωπικά σας δεδομένα υφίστανται επεξεργασία. Σε αυτή την περίπτωση, δικαιούστε πρόσβαση σε αντίγραφο των δεδομένων σας καθώς και σε πληροφορίες σχετικά με τους σκοπούς επεξεργασίας, τις κατηγορίες δεδομένων, τους αποδέκτες, τις περιόδους διατήρησης και τα δικαιώματά σας.
Πώς: Ρυθμίσεις λογαριασμού → Εξαγωγή δεδομένων, ή email στο dpo@cardly.gr
Δικαίωμα Διόρθωσης (Άρθρο 16)
Έχετε το δικαίωμα να ζητήσετε τη διόρθωση ανακριβών προσωπικών δεδομένων καθώς και τη συμπλήρωση ελλιπών δεδομένων. Μπορείτε επίσης να ενημερώσετε τα περισσότερα στοιχεία σας απευθείας μέσω των ρυθμίσεων του λογαριασμού σας στο Cardly.
Πώς: Επεξεργασία προφίλ στην εφαρμογή, ή email στο dpo@cardly.gr
Δικαίωμα Διαγραφής — «Δικαίωμα στη Λήθη» (Άρθρο 17)
Έχετε το δικαίωμα να ζητήσετε τη διαγραφή των δεδομένων σας όταν: τα δεδομένα δεν είναι πλέον απαραίτητα, ανακαλείτε τη συγκατάθεσή σας, αντιτίθεστε στην επεξεργασία, ή τα δεδομένα υποβλήθηκαν σε παράνομη επεξεργασία. Εξαίρεση αποτελούν τα δεδομένα που υποχρεούμαστε νομικά να διατηρήσουμε (π.χ. φορολογικά αρχεία 7 ετών).
Πώς: Ρυθμίσεις → Διαγραφή λογαριασμού, ή email στο dpo@cardly.gr
Δικαίωμα Περιορισμού Επεξεργασίας (Άρθρο 18)
Μπορείτε να ζητήσετε τον περιορισμό της επεξεργασίας σε ορισμένες περιπτώσεις, π.χ. εάν αμφισβητείτε την ακρίβεια των δεδομένων σας ή εάν έχετε αντίρρηση στην επεξεργασία. Κατά τη διάρκεια του περιορισμού, τα δεδομένα αποθηκεύονται αλλά δεν υφίστανται περαιτέρω επεξεργασία (πέραν της αποθήκευσης).
Πώς: Email στο dpo@cardly.gr
Δικαίωμα Φορητότητας Δεδομένων (Άρθρο 20)
Έχετε το δικαίωμα να λάβετε τα δεδομένα σας σε δομημένο, κοινώς χρησιμοποιούμενο και μηχαναγνώσιμο μορφότυπο (π.χ. JSON, CSV). Μπορείτε επίσης να ζητήσετε τη διαβίβαση των δεδομένων σας απευθείας σε άλλον υπεύθυνο επεξεργασίας, εφόσον αυτό είναι τεχνικά εφικτό. Η Cardly παρέχει λειτουργία εξαγωγής δεδομένων μέσω του dashboard.
Πώς: Ρυθμίσεις → Εξαγωγή δεδομένων (JSON/CSV), ή email στο dpo@cardly.gr
Δικαίωμα Εναντίωσης (Άρθρο 21)
Έχετε το δικαίωμα να αντιτάξετε ανά πάσα στιγμή στην επεξεργασία που βασίζεται σε έννομο συμφέρον (Άρθρο 6§1στ), συμπεριλαμβανομένης της δημιουργίας προφίλ. Θα σταματήσουμε την επεξεργασία εκτός εάν αποδείξουμε επιτακτικούς νόμιμους λόγους που υπερισχύουν. Σε περίπτωση εναντίωσης σε direct marketing, η επεξεργασία παύει αμέσως χωρίς εξαίρεση.
Πώς: Κουμπί «Unsubscribe» σε emails, ρυθμίσεις ειδοποιήσεων, ή email στο dpo@cardly.gr
Αυτοματοποιημένη Λήψη Αποφάσεων (Άρθρο 22)
Έχετε το δικαίωμα να μην υπόκεισθε σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα ή σας επηρεάζει σε σημαντικό βαθμό. Η Cardly δεν πραγματοποιεί αυτοματοποιημένη λήψη αποφάσεων που επηρεάζει ουσιωδώς τους χρήστες.
11. Πώς να Ασκήσετε τα Δικαιώματά σας
Μπορείτε να ασκήσετε τα δικαιώματά σας με τους ακόλουθους τρόπους:
- Email: Αποστέλλοντας αίτημα στο dpo@cardly.gr με σαφή περιγραφή του δικαιώματος που θέλετε να ασκήσετε
- Μέσω εφαρμογής: Μέσω των ρυθμίσεων λογαριασμού στο Cardly dashboard (διόρθωση στοιχείων, εξαγωγή δεδομένων, διαγραφή λογαριασμού)
- Ταχυδρομικά: Αποστέλλοντας γραπτό αίτημα στη διεύθυνση της εταιρείας
Χρόνος απάντησης: Θα απαντήσουμε στο αίτημά σας εντός 30 ημερών από την παραλαβή του (Άρθρο 12§3). Σε εξαιρετικές περιπτώσεις (πολυπλοκότητα ή μεγάλος αριθμός αιτημάτων), η προθεσμία μπορεί να παραταθεί κατά 60 ημέρες, με σχετική ενημέρωσή σας εντός του πρώτου μήνα.
Επαλήθευση ταυτότητας: Για την προστασία σας, ενδέχεται να ζητήσουμε επαλήθευση της ταυτότητάς σας πριν ανταποκριθούμε σε αίτημα. Αυτό γίνεται για να διασφαλίσουμε ότι τα δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένα πρόσωπα.
Κόστος: Η άσκηση των δικαιωμάτων σας είναι δωρεάν. Σε περίπτωση προδήλως αβάσιμων ή υπερβολικών αιτημάτων (ιδίως λόγω επαναληπτικού χαρακτήρα), ενδέχεται να χρεώσουμε εύλογη αμοιβή ή να αρνηθούμε να ικανοποιήσουμε το αίτημα, σύμφωνα με το Άρθρο 12(5) του GDPR.
12. Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων (DPIA)
Σύμφωνα με το Άρθρο 35 του GDPR, διενεργούμε Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων (Data Protection Impact Assessments — DPIAs) σε περιπτώσεις που η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Συγκεκριμένα, διενεργούμε DPIA:
- Πριν από την εισαγωγή νέων τεχνολογιών ή λειτουργιών που περιλαμβάνουν εκτεταμένη επεξεργασία δεδομένων
- Κατά τη συστηματική παρακολούθηση δραστηριοτήτων χρηστών (π.χ. analytics καρτών)
- Κατά την επεξεργασία δεδομένων μεγάλης κλίμακας
- Πριν από τη σύναψη νέων συμφωνιών με υπο-εκτελούντες επεξεργασία εκτός ΕΕ
- Κατά την εισαγωγή νέων τεχνολογιών παρακολούθησης ή tracking
- Κατά τη μεταβολή του τρόπου αποθήκευσης ή μεταφοράς δεδομένων
Κάθε DPIA αξιολογεί τον σκοπό και την αναγκαιότητα της επεξεργασίας, τους κινδύνους για τα υποκείμενα δεδομένων και τα μέτρα μετριασμού. Τα αποτελέσματα κοινοποιούνται στον DPO και, εφόσον απαιτείται, στην εποπτική αρχή.
13. Διαδικασία Ειδοποίησης Παραβίασης Δεδομένων
Σε περίπτωση παραβίασης προσωπικών δεδομένων, εφαρμόζουμε τις ακόλουθες διαδικασίες σύμφωνα με τα Άρθρα 33 και 34 του GDPR:
13.1 Ειδοποίηση Εποπτικής Αρχής (Άρθρο 33)
- Ειδοποιούμε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εντός 72 ωρών από τη στιγμή που λαμβάνουμε γνώση της παραβίασης
- Η ειδοποίηση περιλαμβάνει: τη φύση της παραβίασης, τις κατηγορίες και τον αριθμό των υποκειμένων δεδομένων που επηρεάζονται, τα πιθανά αποτελέσματα, τα μέτρα που ελήφθησαν ή προτείνονται
- Εάν η ειδοποίηση γίνει μετά τις 72 ώρες, συνοδεύεται από αιτιολόγηση της καθυστέρησης
13.2 Ειδοποίηση Υποκειμένων Δεδομένων (Άρθρο 34)
- Εάν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες σας, σας ειδοποιούμε χωρίς αδικαιολόγητη καθυστέρηση
- Η ειδοποίηση περιλαμβάνει σαφή περιγραφή της παραβίασης, τα πιθανά αποτελέσματα και τα μέτρα που μπορείτε να λάβετε για την προστασία σας
- Η ειδοποίηση γίνεται μέσω email, ειδοποίησης εντός εφαρμογής ή/και ανάρτησης στον ιστότοπο
13.3 Εσωτερική Διαδικασία
- Άμεσος περιορισμός της παραβίασης και εκτίμηση του εύρους επιπτώσεων
- Καταγραφή κάθε παραβίασης σε εσωτερικό μητρώο (Άρθρο 33§5 GDPR)
- Ανάλυση αιτίων και εφαρμογή διορθωτικών μέτρων
- Ενημέρωση DPO και διοίκησης
- Αναθεώρηση μέτρων ασφαλείας και ενημέρωση τεκμηρίωσης
14. Cookies και Τεχνολογίες Παρακολούθησης
Η Cardly χρησιμοποιεί cookies και παρόμοιες τεχνολογίες σύμφωνα με τον Κανονισμό ePrivacy (Οδηγία 2002/58/ΕΚ), τον ελληνικό Ν. 3471/2006 και τον GDPR. Βασικές αρχές μας:
- Τα αυστηρά απαραίτητα cookies χρησιμοποιούνται χωρίς συγκατάθεση, καθώς είναι απολύτως αναγκαία για τη λειτουργία της Υπηρεσίας (αυθεντικοποίηση συνεδρίας, προστασία CSRF)
- Τα cookies ανάλυσης και marketing χρησιμοποιούνται μόνο μετά τη ρητή συγκατάθεσή σας μέσω του banner cookies
- Μπορείτε να ανακαλέσετε τη συγκατάθεσή σας ανά πάσα στιγμή μέσω των ρυθμίσεων cookies ή του browser σας
- Η απενεργοποίηση cookies δεν επηρεάζει τα δικαιώματά σας βάσει GDPR
Για αναλυτικές πληροφορίες σχετικά με τα cookies, ανατρέξτε στην Πολιτική Απορρήτου μας.
15. Συμφωνίες Επεξεργασίας Δεδομένων (DPAs)
Σύμφωνα με το Άρθρο 28 του GDPR, έχουμε συνάψει Συμφωνίες Επεξεργασίας Δεδομένων (Data Processing Agreements — DPAs) με όλους τους εκτελούντες επεξεργασία. Κάθε DPA:
- Ορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας
- Καθορίζει τη φύση και τον σκοπό της επεξεργασίας
- Προσδιορίζει τον τύπο των δεδομένων και τις κατηγορίες υποκειμένων
- Περιλαμβάνει υποχρεώσεις εμπιστευτικότητας
- Απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας
- Ρυθμίζει τη χρήση υπο-εκτελούντων επεξεργασία
- Προβλέπει υποχρέωση συνδρομής στην εκπλήρωση αιτημάτων υποκειμένων δεδομένων
- Καθορίζει τις υποχρεώσεις κατά τη λήξη της σύμβασης (διαγραφή ή επιστροφή δεδομένων)
- Παρέχει δυνατότητα ελέγχου (audit) στον υπεύθυνο επεξεργασίας
16. Αρχείο Δραστηριοτήτων Επεξεργασίας (Άρθρο 30 GDPR)
Σύμφωνα με το Άρθρο 30 του GDPR, τηρούμε πλήρες αρχείο δραστηριοτήτων επεξεργασίας (Record of Processing Activities — RoPA), το οποίο περιλαμβάνει:
- Το όνομα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και του DPO
- Τους σκοπούς κάθε δραστηριότητας επεξεργασίας
- Τις κατηγορίες υποκειμένων δεδομένων και προσωπικών δεδομένων
- Τις κατηγορίες αποδεκτών (συμπεριλαμβανομένων εκτελούντων σε τρίτες χώρες)
- Τις μεταφορές σε τρίτες χώρες με τις αντίστοιχες εγγυήσεις
- Τις προβλεπόμενες προθεσμίες διαγραφής ανά κατηγορία δεδομένων
- Γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας
Το αρχείο ενημερώνεται τακτικά και διατίθεται στην εποπτική αρχή κατόπιν αιτήματος.
17. Τεχνικά και Οργανωτικά Μέτρα Ασφαλείας (Άρθρο 32)
Εφαρμόζουμε κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση ενός επιπέδου ασφάλειας ανάλογου του κινδύνου:
Τεχνικά Μέτρα
- Κρυπτογράφηση σε μεταφορά (TLS 1.2+): Όλες οι επικοινωνίες κρυπτογραφούνται μέσω HTTPS
- Κρυπτογράφηση σε αποθήκευση: Ευαίσθητα δεδομένα αποθηκεύονται κρυπτογραφημένα
- Hashing κωδικών (bcrypt): Οι κωδικοί πρόσβασης δεν αποθηκεύονται ποτέ σε plain text
- CSRF Protection: Προστασία σε κάθε φόρμα
- Rate Limiting: Προστασία κατά brute-force επιθέσεων
- Αυτόματα Backups: Ημερήσια αντίγραφα ασφαλείας σε κρυπτογραφημένη μορφή
- Firewall & WAF: Web Application Firewall για αποτροπή κακόβουλων αιτημάτων
- Monitoring & Logging: Συνεχής παρακολούθηση για ανίχνευση ανωμαλιών
Οργανωτικά Μέτρα
- Αρχή ελάχιστων δικαιωμάτων (Least Privilege): Πρόσβαση μόνο στα δεδομένα που χρειάζονται
- Εκπαίδευση: Τακτική εκπαίδευση προσωπικού σε θέματα ασφάλειας και προστασίας δεδομένων
- Αξιολόγηση παρόχων: Αξιολόγηση υπο-εκτελούντων ως προς τη συμμόρφωση GDPR πριν τη σύναψη σύμβασης
- Σχέδιο αντιμετώπισης περιστατικών: Τεκμηριωμένο Incident Response Plan
18. Εποπτική Αρχή
Η αρμόδια εποπτική αρχή για θέματα προστασίας δεδομένων στην Ελλάδα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) / Hellenic Data Protection Authority (HDPA):
- Επωνυμία: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
- Διεύθυνση: Κηφισίας 1-3, 11523 Αθήνα, Ελλάδα
- Τηλέφωνο: +30 210 6475600
- Fax: +30 210 6475628
- Email: contact@dpa.gr
- Ιστοσελίδα: www.dpa.gr
19. Διαδικασία Υποβολής Καταγγελίας
Εάν θεωρείτε ότι η επεξεργασία των προσωπικών σας δεδομένων παραβιάζει τον GDPR, έχετε τις ακόλουθες δυνατότητες:
- Βήμα 1 — Επικοινωνία μαζί μας: Σας ενθαρρύνουμε να επικοινωνήσετε πρώτα με τον DPO μας στο dpo@cardly.gr για να προσπαθήσουμε να επιλύσουμε το ζήτημα απευθείας.
- Βήμα 2 — Καταγγελία στην ΑΠΔΠΧ: Εάν δεν ικανοποιηθείτε από την απάντησή μας, έχετε το δικαίωμα να υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η καταγγελία μπορεί να υποβληθεί ηλεκτρονικά μέσω www.dpa.gr ή ταχυδρομικά στη διεύθυνση Κηφισίας 1-3, 11523 Αθήνα.
- Βήμα 3 — Δικαστική προσφυγή: Σύμφωνα με το Άρθρο 79 του GDPR, έχετε επίσης το δικαίωμα να ασκήσετε δικαστική προσφυγή κατά του υπεύθυνου ή εκτελούντος την επεξεργασία ενώπιον αρμόδιου δικαστηρίου.
20. Εφαρμοστέα Νομοθεσία
Η επεξεργασία δεδομένων από την Cardly υπόκειται στο ακόλουθο νομοθετικό πλαίσιο:
- GDPR (ΕΕ 2016/679): Ο Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης
- Ν. 4624/2019: Ο ελληνικός νόμος εφαρμογής του GDPR
- Οδηγία ePrivacy (2002/58/ΕΚ): Για θέματα σχετικά με cookies και ηλεκτρονικές επικοινωνίες
- Ν. 3471/2006: Ο ελληνικός νόμος ενσωμάτωσης της Οδηγίας ePrivacy
- Ν. 2472/1997: Ο ελληνικός νόμος για την προστασία δεδομένων (ισχύει συμπληρωματικά)
21. Ενημερώσεις στο Παρόν Έγγραφο
Ενδέχεται να ενημερώνουμε το παρόν έγγραφο συμμόρφωσης GDPR κατά καιρούς, ιδίως:
- Κατά την εισαγωγή νέων λειτουργιών ή υπηρεσιών
- Κατά την αλλαγή υπο-εκτελούντων επεξεργασία
- Κατά τη μεταβολή της ισχύουσας νομοθεσίας ή κατευθυντήριων γραμμών
- Κατόπιν σύστασης του DPO ή της εποπτικής αρχής
Κάθε ενημέρωση θα αντικατοπτρίζεται στην ημερομηνία «Τελευταίας ενημέρωσης» στην κορυφή αυτής της σελίδας. Σε περίπτωση ουσιωδών αλλαγών, θα σας ειδοποιήσουμε μέσω email ή ειδοποίησης εντός της Υπηρεσίας.
Τελευταία ενημέρωση: 1 Μαρτίου 2026. Για αναλυτικές πληροφορίες σχετικά με τη συλλογή και επεξεργασία δεδομένων, ανατρέξτε στην Πολιτική Απορρήτου μας.
Για οποιοδήποτε ζήτημα σχετικά με τον GDPR, επικοινωνήστε με τον DPO μας στο dpo@cardly.gr ή στο support@cardly.gr.