Πολιτική Απορρήτου
1. Εισαγωγή / Στοιχεία Υπευθύνου Επεξεργασίας
Ο Νικόλαος Μώτος, ατομική επιχείρηση με έδρα την Αγία Βαρβάρα Αττικής, στην οδό Δημητρίου Ανδρέα αρ. 19, Α.Φ.Μ. 174203743 Δ.Ο.Υ. ΚΕΦΟΔΕ Αττικής, αρ. Γ.Ε.ΜΗ. 171036608000, e-mail [email protected] (εφεξής «Επιχείρηση», «εμείς», «μας»), λειτουργεί τον ιστότοπο https://pcmr.gr (εφεξής «Ιστότοπος»).
Η Επιχείρηση ενεργεί ως «υπεύθυνος επεξεργασίας» κατά την έννοια του άρθρου 4 στ. 7 του Κανονισμού (ΕΕ) 2016/679 (GDPR) σε σχέση με τα δεδομένα προσωπικού χαρακτήρα που συλλέγει μέσω του Ιστοτόπου ή/και κατά τη συναλλακτική σας σχέση με αυτήν.
Η παρούσα Πολιτική Απορρήτου περιγράφει με διαφάνεια ποια δεδομένα συλλέγουμε, για ποιους σκοπούς, με ποια νομική βάση, για πόσο χρονικό διάστημα τα διατηρούμε, σε ποιους τα διαβιβάζουμε, καθώς και τα δικαιώματα που σας αναγνωρίζει η ευρωπαϊκή και η ελληνική νομοθεσία.
2. Νομικό πλαίσιο
- Κανονισμός (ΕΕ) 2016/679 (Γενικός Κανονισμός Προστασίας Δεδομένων, GDPR).
- Ν. 4624/2019 (μέτρα εφαρμογής GDPR στην Ελλάδα).
- Ν. 3471/2006 (προστασία δεδομένων στις ηλεκτρονικές επικοινωνίες).
- Ν. 2251/1994 (προστασία καταναλωτή).
- Ν. 4174/2013 (Κώδικας Φορολογικής Διαδικασίας).
- Οδηγία 2002/58/ΕΚ (ePrivacy).
- Αποφάσεις και Οδηγίες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και Κατευθυντήριες Γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB).
3. Βασικοί ορισμοί
Για τους σκοπούς της παρούσας:
- «Δεδομένα προσωπικού χαρακτήρα» σημαίνει κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
- «Επεξεργασία» σημαίνει κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα (συλλογή, καταχώριση, αποθήκευση, διαβίβαση κ.λπ.).
- «Υποκείμενο δεδομένων» είναι το φυσικό πρόσωπο τα δεδομένα του οποίου υπόκεινται σε επεξεργασία (π.χ. πελάτης, επισκέπτης Ιστοτόπου).
- «Εκτελών την επεξεργασία» είναι ο τρίτος που επεξεργάζεται δεδομένα για λογαριασμό μας (π.χ. πάροχος hosting, courier, payment provider).
4. Κατηγορίες δεδομένων που συλλέγουμε
Ανάλογα με τη σχέση σας με τον Ιστότοπο και την Επιχείρηση, ενδέχεται να συλλέγουμε τις ακόλουθες κατηγορίες δεδομένων:
4.1 Δεδομένα ταυτοποίησης και επικοινωνίας
- Ονοματεπώνυμο, πατρώνυμο (όπου απαιτείται για την έκδοση παραστατικού).
- Διεύθυνση ηλεκτρονικού ταχυδρομείου (e-mail).
- Αριθμός σταθερού/κινητού τηλεφώνου.
- Διεύθυνση χρέωσης και διεύθυνση παράδοσης.
- Για επιτηδευματίες/εταιρείες (B2B): επωνυμία, ΑΦΜ, ΔΟΥ, ΓΕΜΗ, επάγγελμα, στοιχεία νομίμου εκπροσώπου.
4.2 Δεδομένα λογαριασμού
- Username, κωδικός πρόσβασης (αποθηκεύεται σε μορφή hashed and salted, ποτέ σε plaintext), προτιμήσεις χρήστη.
- Ιστορικό παραγγελιών, λίστα επιθυμιών (wishlist), αγαπημένα.
4.3 Δεδομένα συναλλαγής και παραγγελίας
- Λεπτομέρειες παραγγελίας (προϊόντα, ποσότητες, τιμές, κωδικοί).
- Στοιχεία πληρωμής. Ειδικότερα, τα δεδομένα κάρτας (αριθμός, CVV, ημερομηνία λήξης) δεν αποθηκεύονται από την Επιχείρηση· εισάγονται απευθείας στο ασφαλές περιβάλλον του παρόχου υπηρεσιών πληρωμής (PSP) Viva Payments S.A. (Viva Wallet Smart Checkout), ο οποίος είναι πιστοποιημένος κατά PCI-DSS Level 1 και έχει την έδρα του εντός ΕΟΧ (Ελλάδα). Ο PSP εξυπηρετεί επίσης τις εναλλακτικές μεθόδους πληρωμής (κάρτα, Viva Wallet, IRIS, PayPal, DIAS, Cash via Viva Spot, TBI Bank δόσεις).
- Τιμολόγια / αποδείξεις και φορολογικά στοιχεία για την έκδοση και αρχειοθέτηση παραστατικών.
- Ιστορικό επιστροφών, υπαναχωρήσεων, εγγυήσεων και επικοινωνίας με την υποστήριξη πελατών.
4.4 Τεχνικά δεδομένα και δεδομένα πλοήγησης
- Διεύθυνση IP, αναγνωριστικά συσκευής, τύπος συσκευής, τύπος και έκδοση browser, λειτουργικό σύστημα, γλώσσα.
- Σελίδες που επισκεφθήκατε, χρόνος παραμονής, προέλευση επίσκεψης, clicks.
- Cookies και παρόμοιες τεχνολογίες (βλ. Πολιτική Cookies).
4.5 Δεδομένα επικοινωνίας με την Επιχείρηση
- Περιεχόμενο μηνυμάτων μέσω e-mail ή φόρμας επικοινωνίας του Ιστοτόπου.
- Καταγραφή τηλεφωνικών κλήσεων (μεταδεδομένα: αριθμός, ημερομηνία, ώρα, διάρκεια — δεν περιλαμβάνει εγγραφή ήχου).
- Εγγραφή ηχητικού περιεχομένου τηλεφωνικών κλήσεων (voice recording): δεν πραγματοποιείται κατά την παρούσα έκδοση. Σε περίπτωση μελλοντικής ενεργοποίησης, θα ζητείται ρητή προηγούμενη συγκατάθεση πριν την έναρξη κάθε κλήσης και θα ενημερωθεί η παρούσα Πολιτική.
- Σχόλια και αξιολογήσεις προϊόντων.
4.6 Δεδομένα από newsletter και marketing
- Διεύθυνση e-mail και (όπου παρέχεται) όνομα, για αποστολή ενημερωτικών μηνυμάτων.
- Στοιχεία αλληλεπίδρασης με τα ενημερωτικά μηνύματα μέσω παρόχου αποστολής (open tracking μέσω pixel, click tracking μέσω link rewriting). Η συναίνεσή σας λαμβάνεται κατά την εγγραφή στο newsletter ή σε waitlist, και διατηρείτε δικαίωμα απεγγραφής (one-click unsubscribe) σε κάθε email. Στα συναλλακτικά email (επιβεβαίωση παραγγελίας, ενημέρωση πληρωμής κ.λπ.) ενεργοποιείται μόνο open tracking για στατιστικούς λόγους και διασφάλιση παράδοσης, με νομική βάση το έννομο συμφέρον της Επιχείρησης.
- Εγγραφή σε waitlists για νέα προϊόντα, λειτουργίες ή early access — διεύθυνση e-mail και προαιρετικά όνομα. Λειτουργούν τεχνικά ως ξεχωριστή λίστα από το γενικό newsletter, με ξεχωριστή συναίνεση και ανεξάρτητο opt-out.
5. Σκοποί επεξεργασίας και νομική βάση
Η Επιχείρηση επεξεργάζεται τα δεδομένα σας για τους ακόλουθους, ρητούς και νόμιμους σκοπούς, καθένας με τη δική του νομική βάση:
5.1 Εκτέλεση σύμβασης πώλησης (άρθρο 6 παρ. 1 στοιχ. β' GDPR)
- Δημιουργία και διαχείριση λογαριασμού.
- Επεξεργασία και εκτέλεση παραγγελιών (παραγωγή/συναρμολόγηση custom Η/Υ, αποστολή, παράδοση).
- Είσπραξη τιμήματος μέσω παρόχου υπηρεσιών πληρωμής.
- Διαχείριση επιστροφών, υπαναχώρησης, εγγυήσεων και ελαττωματικών προϊόντων.
- Εξυπηρέτηση πελατών (pre-sales, after-sales).
5.2 Συμμόρφωση με νομική υποχρέωση (άρθρο 6 παρ. 1 στοιχ. γ' GDPR)
- Έκδοση φορολογικών παραστατικών και τήρηση βιβλίων κατά τον Κώδικα Φορολογικής Διαδικασίας (Ν. 4174/2013).
- Συμμόρφωση με την προστασία καταναλωτή (Ν. 2251/1994).
- Συνεργασία με δημόσιες και δικαστικές αρχές.
- Ενημέρωση καταναλωτή για τα δικαιώματά του.
5.3 Έννομο συμφέρον της Επιχείρησης (άρθρο 6 παρ. 1 στοιχ. στ' GDPR)
- Πρόληψη απάτης και κατάχρησης του Ιστοτόπου.
- Ασφάλεια πληροφοριακών συστημάτων και δικτύων.
- Εσωτερική διοικητική και στατιστική διαχείριση.
- Άσκηση και υπεράσπιση νομικών αξιώσεων.
- Βελτίωση των υπηρεσιών μας μέσω ανώνυμης ή ψευδωνυμοποιημένης ανάλυσης.
5.4 Συγκατάθεση (άρθρο 6 παρ. 1 στοιχ. α' και άρθρο 7 GDPR)
- Αποστολή newsletter και προωθητικών ενεργειών (e-mail marketing), ιδίως κατά το άρθρο 11 Ν. 3471/2006.
- Cookies στατιστικών και marketing (βλ. Πολιτική Cookies).
- Προφίλ προτιμήσεων / προσωποποιημένες προτάσεις προϊόντων.
Έχετε το δικαίωμα να ανακαλέσετε τη συγκατάθεσή σας ανά πάσα στιγμή, χωρίς να επηρεάζεται η νομιμότητα της επεξεργασίας που έγινε πριν από την ανάκληση.
6. Αποδέκτες, Εκτελούντες την επεξεργασία
Πρόσβαση στα δεδομένα σας έχουν, στον αναγκαίο πάντοτε βαθμό:
- Εξουσιοδοτημένο προσωπικό της Επιχείρησης (πωλήσεις, υποστήριξη, λογιστήριο, IT).
- Πάροχος hosting / υποδομών: Hetzner Online GmbH (Γερμανία, εντός ΕΟΧ).
- Πάροχος δικτυακής ασφάλειας / CDN: Cloudflare, Inc. (Global Edge Network). Η διαβίβαση δεδομένων σε edge nodes εκτός ΕΟΧ καλύπτεται από τις Τυποποιημένες Συμβατικές Ρήτρες (SCCs) κατά την Εκτελ. Απόφαση (ΕΕ) 2021/914.
- Πάροχος πλατφόρμας eshop: εσωτερική custom-built πλατφόρμα (self-hosted στις υποδομές της Επιχείρησης).
- Πάροχος υπηρεσιών πληρωμής (PSP): Viva Payments S.A. (Viva Wallet Smart Checkout, Ελλάδα).
- Εταιρείες ταχυμεταφορών / courier: θα ανακοινωθούν με την έναρξη του Ιστοτόπου· θα ενημερωθεί η παρούσα Πολιτική με την υπογραφή σύμβασης.
- Λογιστής / λογιστικό γραφείο για την έκδοση και αρχειοθέτηση παραστατικών.
- Νομικοί σύμβουλοι (όπου χρειάζεται).
- Πάροχος υπηρεσιών αποστολής συναλλακτικών email, newsletter και waitlists: Zoho Corporation B.V. (ZeptoMail, εντός ΕΟΧ).
- Πάροχοι αναλυτικών εργαλείων:
- (i) Google Analytics 4 — Google Ireland Limited (cookies, opt-in).
- (ii) Umami — self-hosted στις υποδομές της Επιχείρησης (Hetzner, Γερμανία), χωρίς cookies, χωρίς PII.
Δεν χρησιμοποιούνται προς το παρόν πάροχοι διαφήμισης ή τεχνολογίες re-targeting.
Με κάθε εκτελούντα την επεξεργασία η Επιχείρηση συνάπτει σύμβαση επεξεργασίας δεδομένων (DPA) σύμφωνα με το άρθρο 28 GDPR, που εγγυάται κατάλληλο επίπεδο προστασίας. Η Επιχείρηση δεν πωλεί, ενοικιάζει ή εμπορεύεται τα δεδομένα σας σε τρίτους.
7. Διαβιβάσεις εκτός ΕΟΧ
Ορισμένοι από τους παραπάνω παρόχους ενδέχεται να εδρεύουν εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Σε κάθε τέτοια διαβίβαση η Επιχείρηση διασφαλίζει ότι υφίσταται έγκυρη βάση κατά τα άρθρα 45-49 GDPR, ιδίως:
- Απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής (άρθρο 45).
- Τυποποιημένες Συμβατικές Ρήτρες, Standard Contractual Clauses (SCCs) κατά την Εκτελεστική Απόφαση (ΕΕ) 2021/914 (άρθρο 46).
- Συμμετοχή του παραλήπτη στο πλαίσιο EU-U.S. Data Privacy Framework (όπου εφαρμόζεται).
- Πρόσθετα τεχνικά και οργανωτικά μέτρα όπου απαιτούνται μετά την απόφαση Schrems II (ΔΕΕ C-311/18).
8. Χρόνος διατήρησης
Διατηρούμε τα δεδομένα σας μόνο για όσο διάστημα είναι αναγκαίο για τους σκοπούς της επεξεργασίας:
- Δεδομένα παραγγελιών και φορολογικά παραστατικά: πέντε (5) έτη από τη λήξη του οικείου φορολογικού έτους, σύμφωνα με το άρθρο 36 του Κώδικα Φορολογικής Διαδικασίας (Ν. 4174/2013).
- Δεδομένα για την προβολή ή υπεράσπιση νομικών αξιώσεων: έως τη λήξη του χρόνου παραγραφής (ως 20ετία κατά τον Α.Κ., αναλόγως της αξίωσης).
- Δεδομένα λογαριασμού πελάτη: για όσο χρόνο παραμένει ενεργός ο λογαριασμός και έως πέντε (5) έτη από την τελευταία δραστηριότητα.
- Δεδομένα newsletter: μέχρι την ανάκληση της συγκατάθεσης ή την απεγγραφή.
- Δεδομένα cookies: όπως ορίζεται στην Πολιτική Cookies.
- Δεδομένα επικοινωνίας υποστήριξης: ένα (1) έτος από τη λήξη του αιτήματος ή όσο απαιτείται για την επεξεργασία αξιώσεων.
- Εγγραφές βιντεοπαρακολούθησης φυσικού καταστήματος (όπου εφαρμόζεται): δεκαπέντε (15) ημέρες, εκτός εάν αποτελούν αντικείμενο νομικής διαδικασίας.
- Αξιολογήσεις πελατών (reviews): διατηρούνται όσο και τα δεδομένα της αντίστοιχης παραγγελίας (πέντε (5) έτη — βλ. ανωτέρω). Έχετε δικαίωμα να διαγράψετε την αξιολόγησή σας οποτεδήποτε από την πύλη πελάτη (αυτόματη διαγραφή, ικανοποίηση δικαιώματος «λήθης» κατά το άρθρο 17 GDPR). Σε περίπτωση διαγραφής του λογαριασμού σας, το πεδίο
userIdτης αξιολόγησης μηδενίζεται (ανωνυμοποίηση): το κείμενο και η βαθμολογία διατηρούνται χωρίς απόδοση σε πρόσωπο, για στατιστική χρήση. Μπορείτε επίσης να ανακαλέσετε τη συγκατάθεσή σας για τη λήψη email αξιολόγησης μετά την παράδοση οποτεδήποτε από τις ρυθμίσεις λογαριασμού ή με ένα κλικ από το ίδιο το email (άρθρο 7 παρ. 3 GDPR).
9. Ασφάλεια δεδομένων
Η Επιχείρηση λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων σας από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, σύμφωνα με τα άρθρα 24, 25 και 32 GDPR.
- Κρυπτογράφηση επικοινωνίας μέσω SSL/TLS.
- Έλεγχοι πρόσβασης και διαβαθμισμένα δικαιώματα.
- Τήρηση αντιγράφων ασφαλείας (backups).
- Δοκιμές ασφαλείας και ενημερώσεις λογισμικού.
- Εκπαίδευση προσωπικού σε θέματα προστασίας δεδομένων.
Σε περίπτωση παραβίασης δεδομένων που ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες σας, η Επιχείρηση θα σας ενημερώσει χωρίς αδικαιολόγητη καθυστέρηση κατά το άρθρο 34 GDPR και θα γνωστοποιήσει το περιστατικό στην ΑΠΔΠΧ εντός 72 ωρών κατά το άρθρο 33 GDPR.
10. Τα δικαιώματά σας
Σύμφωνα με τα άρθρα 12-22 GDPR, διατηρείτε τα ακόλουθα δικαιώματα:
- Δικαίωμα ενημέρωσης (άρθρα 13-14).
- Δικαίωμα πρόσβασης στα δεδομένα σας (άρθρο 15).
- Δικαίωμα διόρθωσης ανακριβών δεδομένων (άρθρο 16).
- Δικαίωμα διαγραφής («δικαίωμα στη λήθη», άρθρο 17), εφόσον δεν συντρέχει νομική υποχρέωση διατήρησης.
- Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18).
- Δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20).
- Δικαίωμα εναντίωσης (άρθρο 21).
- Δικαίωμα να μην υποβληθείτε σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22).
- Δικαίωμα ανάκλησης συγκατάθεσης ανά πάσα στιγμή (άρθρο 7 παρ. 3).
- Δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Λεωφ. Κηφισίας 1-3, Τ.Κ. 11523, Αθήνα, www.dpa.gr).
Για την άσκηση των δικαιωμάτων σας, μπορείτε να επικοινωνήσετε εγγράφως με την Επιχείρηση στα στοιχεία της § 12. Η Επιχείρηση απαντά εντός ενός (1) μηνός από την παραλαβή του αιτήματος, με δυνατότητα παράτασης κατά δύο (2) επιπλέον μήνες όταν αυτό απαιτείται λόγω πολυπλοκότητας. Η άσκηση των δικαιωμάτων είναι κατ' αρχήν δωρεάν.
11. Ανήλικοι
Ο Ιστότοπος και οι υπηρεσίες της Επιχείρησης απευθύνονται σε ενήλικα φυσικά πρόσωπα. Ανήλικοι κάτω των 15 ετών δεν επιτρέπεται να καταχωρούν δεδομένα ή να υποβάλλουν παραγγελίες χωρίς την προηγούμενη συγκατάθεση του ασκούντος τη γονική μέριμνα, κατά το άρθρο 8 GDPR σε συνδυασμό με το άρθρο 21 Ν. 4624/2019.
12. Επικοινωνία
Για κάθε ζήτημα σχετικά με την παρούσα Πολιτική, μπορείτε να επικοινωνείτε:
- Email προστασίας δεδομένων: [email protected] (αναφέρετε «GDPR / Προστασία Δεδομένων» στο θέμα).
- Τηλέφωνο: 6974029087
- Διεύθυνση: Δημητρίου Ανδρέα αρ. 19, Αγία Βαρβάρα Αττικής
13. Τροποποιήσεις
Η Επιχείρηση δικαιούται να τροποποιεί την παρούσα Πολιτική προκειμένου να την προσαρμόζει στις εκάστοτε νομοθετικές ή τεχνικές εξελίξεις. Η ισχύουσα έκδοση αναρτάται στον Ιστότοπο με ημερομηνία τελευταίας ενημέρωσης. Σε περιπτώσεις ουσιωδών αλλαγών, ενδέχεται να ενημερώνεστε επίσης ευθέως μέσω e-mail (όπου διαθέτουμε στοιχεία επικοινωνίας).