Νομικά κείμενα

GDPR & συμμόρφωση

Τελευταία ενημέρωση: 7 Μαΐου 2026 Έκδοση: 1.0

Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ 2016/679) δεν είναι για εμάς ένα κουτάκι που τσεκάρουμε. Είναι μέρος του τρόπου με τον οποίο σχεδιάζουμε και λειτουργούμε την πλατφόρμα. Παρακάτω εξηγούμε πώς το εφαρμόζουμε στην πράξη.

Το παρόν κείμενο συμπληρώνει την Πολιτική Απορρήτου και τους Όρους Χρήσης και απευθύνεται κυρίως σε νομικά πρόσωπα - πελάτες και συνεργάτες της CactusCRM που χρειάζονται τεκμηρίωση συμμόρφωσης για τις δικές τους υποχρεώσεις GDPR.

Σύντομη απάντηση Είμαστε εκτελών την επεξεργασία (processor) όταν επεξεργαζόμαστε δεδομένα για λογαριασμό σας. Παρέχουμε DPA, λίστα subprocessors, τεχνικά μέτρα ασφάλειας, ευρωπαϊκή φιλοξενία και πλήρη διαδικασία άσκησης δικαιωμάτων.

1. Επισκόπηση

Η CactusCRM σχεδιάζεται με αρχές privacy by design και privacy by default:

  • Συλλέγουμε μόνο τα δεδομένα που είναι απαραίτητα για τη λειτουργικότητα που χρησιμοποιείτε.
  • Οι ρόλοι & τα δικαιώματα ορίζονται με βάση την αρχή ελάχιστων προνομίων.
  • Τα δεδομένα φιλοξενούνται σε ευρωπαϊκά data centers.
  • Η πρόσβαση του προσωπικού μας σε δεδομένα πελατών καταγράφεται και είναι αυστηρά αιτιολογημένη.

2. Ρόλοι: Controller & Processor

Σενάριο Ρόλος CactusCRM Νομικό πλαίσιο
Επισκέπτης ιστοτόπου, marketing, λογαριασμός εταιρείας πελάτη. Υπεύθυνος επεξεργασίας (Controller). Άρθρο 4 §7 GDPR
Δεδομένα που εισάγει ο πελάτης μας στην πλατφόρμα (πελάτες του, leads, παραστατικά κ.λπ.). Εκτελών την επεξεργασία (Processor). Άρθρο 4 §8 & Άρθρο 28 GDPR
Στατιστικά πλατφόρμας (αποπροσωποποιημένα). Υπεύθυνος επεξεργασίας. Έννομο συμφέρον

3. Συμφωνία επεξεργασίας (DPA)

Για κάθε επιχειρηματικό πελάτη υπογράφουμε Data Processing Agreement (DPA) σύμφωνα με το Άρθρο 28 GDPR, το οποίο περιλαμβάνει:

  • Αντικείμενο, διάρκεια, φύση και σκοπό της επεξεργασίας.
  • Είδος προσωπικών δεδομένων & κατηγορίες υποκειμένων.
  • Υποχρεώσεις του εκτελούντος (εμπιστευτικότητα, ασφάλεια, συνδρομή).
  • Όρους εμπλοκής υπεργολάβων.
  • Διαδικασία ειδοποίησης σε περίπτωση παραβίασης.
  • Επιστροφή ή διαγραφή δεδομένων μετά τη λήξη της σύμβασης.
  • Συνδρομή σε αιτήματα δικαιωμάτων & DPIA.

Πρότυπο DPA διατίθεται κατόπιν αιτήματος στο dpo@cactusweb.gr.

4. Υπεργολάβοι (Subprocessors)

Χρησιμοποιούμε προσεκτικά επιλεγμένους υπεργολάβους για συγκεκριμένες λειτουργίες της πλατφόρμας. Όλοι δεσμεύονται με αντίστοιχες συμβάσεις και εφαρμόζουν κατάλληλα μέτρα ασφάλειας.

Υπεργολάβος Σκοπός Τοποθεσία
DigitalOcean LLC Hosting & υποδομή production EE (Frankfurt / Amsterdam)
Anthropic, Inc. AI επεξεργασία (insights, summarization) ΗΠΑ - SCCs
OpenAI, LLC AI υπηρεσίες (προαιρετικές λειτουργίες) ΗΠΑ - SCCs
Voyage AI Embeddings για semantic search (RAG) ΗΠΑ - SCCs
VivaWallet S.A. Επεξεργασία πληρωμών EE (Ελλάδα)
Stripe Payments Europe Εναλλακτικός πάροχος πληρωμών EE (Ιρλανδία)
Postmark / SendGrid Αποστολή transactional email EE / SCCs

Διατηρούμε το δικαίωμα προσθήκης ή αλλαγής υπεργολάβων με προηγούμενη ενημέρωση 30 ημερών. Ο Πελάτης μπορεί να εναντιωθεί τεκμηριωμένα στη συγκεκριμένη αλλαγή.

5. Τεχνικά & οργανωτικά μέτρα

5.1 Τεχνικά μέτρα

  • Κρυπτογράφηση δεδομένων εν κινήσει (TLS 1.2+).
  • Κρυπτογράφηση «at rest» στις βάσεις δεδομένων & τα backups.
  • Αυστηρή απομόνωση πελατών σε επίπεδο εφαρμογής (multi-tenant με tenant guards).
  • RBAC (role-based access control) και αρχή ελάχιστων προνομίων.
  • 2FA για κρίσιμους ρόλους.
  • Audit logs για δημιουργία/τροποποίηση/διαγραφή κρίσιμων εγγραφών.
  • Καθημερινά αυτοματοποιημένα backups με δοκιμές αποκατάστασης.
  • Διαχωρισμένα περιβάλλοντα (development / staging / production).
  • Έλεγχοι ευπαθειών (dependency scanning, code review).

5.2 Οργανωτικά μέτρα

  • Συμβάσεις εμπιστευτικότητας με όλο το προσωπικό & συνεργάτες.
  • Ετήσια εκπαίδευση προσωπικού σε ασφάλεια & GDPR.
  • Διαδικασίες on-/off-boarding χρηστών.
  • Πολιτική «καθαρού γραφείου» & διαχείρισης συσκευών.
  • Ορισμένος Υπεύθυνος Προστασίας Δεδομένων (DPO).
  • Διαδικασίες απόκρισης σε συμβάντα ασφαλείας.

6. Παραβιάσεις δεδομένων

Σε περίπτωση παραβίασης που ενδέχεται να επηρεάζει προσωπικά δεδομένα πελατών μας, εφαρμόζουμε τεκμηριωμένη διαδικασία απόκρισης:

  1. Εντοπισμός & περιορισμός εντός των πρώτων ωρών.
  2. Αξιολόγηση επίπτωσης και κατηγοριοποίηση κινδύνου.
  3. Ενημέρωση Πελάτη χωρίς αδικαιολόγητη καθυστέρηση και κατά κανόνα εντός 48 ωρών.
  4. Ενημέρωση ΑΠΔΠΧ εντός 72 ωρών (Άρθρο 33 GDPR), όπου απαιτείται.
  5. Ενημέρωση υποκειμένων (Άρθρο 34 GDPR), εφόσον υπάρχει υψηλός κίνδυνος.
  6. Διορθωτικές ενέργειες & post-mortem με βελτιώσεις.

7. Διεθνείς διαβιβάσεις

Η κύρια αποθήκευση δεδομένων γίνεται εντός ΕΟΧ. Όπου υπάρχει διαβίβαση εκτός ΕΟΧ (κυρίως σε AI παρόχους) εφαρμόζονται:

  • Τυποποιημένες Συμβατικές Ρήτρες (SCCs) - Απόφαση 2021/914.
  • Συμπληρωματικά μέτρα: ψευδωνυμοποίηση, περιορισμός σκοπού, σύντομος χρόνος τήρησης από τον πάροχο.
  • Αξιολόγηση επιπτώσεων διαβίβασης (Transfer Impact Assessment) όπου είναι σχετικό.

8. Δικαιώματα υποκειμένων

Συνδράμουμε τους πελάτες μας στην ικανοποίηση αιτημάτων που λαμβάνουν από τα υποκείμενα δεδομένων (πελάτες τους, εργαζόμενους, leads κ.λπ.):

  • Πρόσβαση & φορητότητα: εξαγωγή δεδομένων σε δομημένη μορφή (JSON / CSV).
  • Διόρθωση & διαγραφή εγγραφών μέσω εργαλείων διαχειριστή.
  • Περιορισμός επεξεργασίας με σήμανση εγγραφών.
  • Εναντίωση & ανάκληση συγκατάθεσης για επικοινωνίες marketing.

9. Διατήρηση & διαγραφή

  • Κατά τη διάρκεια της σύμβασης, τα δεδομένα διατηρούνται σύμφωνα με τις ρυθμίσεις του Πελάτη.
  • Μετά τη λύση, δίνεται διάστημα 30 ημερών για εξαγωγή.
  • Στη συνέχεια, τα δεδομένα διαγράφονται οριστικά εντός 90 ημερών (συμπεριλαμβανομένων των backups, στο φυσιολογικό κύκλο rotation).
  • Δεδομένα που υπόκεινται σε νόμιμη υποχρέωση διατήρησης (π.χ. φορολογικά παραστατικά) τηρούνται για το προβλεπόμενο διάστημα.

10. AI & επεξεργασία γλώσσας

Όπου χρησιμοποιούνται AI λειτουργίες (μεταγραφή κλήσεων, sentiment analysis, RAG, AI insights), ισχύουν επιπλέον κανόνες:

  • Οι λειτουργίες ενεργοποιούνται ρητά από τον Πελάτη ανά module.
  • Δεν χρησιμοποιούμε δεδομένα Πελάτη για εκπαίδευση μοντέλων - οι πάροχοί μας δεσμεύονται συμβατικά αντίστοιχα.
  • Όπου είναι δυνατό, εφαρμόζεται ψευδωνυμοποίηση πριν την αποστολή σε εξωτερικό AI πάροχο.
  • Διατηρούνται audit logs για κάθε AI κλήση.

11. Υπεύθυνος Προστασίας Δεδομένων (DPO)

Έχουμε ορίσει εσωτερικό υπεύθυνο επικοινωνίας για ζητήματα προστασίας δεδομένων:

  • Email: dpo@cactusweb.gr
  • Διεύθυνση: Πλατεία Μοριχώβου 1, Θεσσαλονίκη, Ελλάδα.

12. Πώς υποβάλλεται αίτημα

Για άσκηση δικαιωμάτων ή για αίτημα DPA / λίστας subprocessors / TIA:

  1. Στείλτε email στο dpo@cactusweb.gr με σαφή περιγραφή του αιτήματος.
  2. Ενδέχεται να ζητηθούν πρόσθετα στοιχεία ταυτοποίησης για λόγους ασφαλείας.
  3. Απαντούμε εντός 30 ημερών (παράταση 60 ημερών σε σύνθετα αιτήματα, με ενημέρωση).
  4. Σε περίπτωση που θεωρείτε ότι παραβιάζονται τα δικαιώματά σας, μπορείτε να απευθυνθείτε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Κηφισίας 1-3, 11523 Αθήνα, τηλ. 210 6475600).
Νομικά Πολιτική απορρήτου Νομικά Όροι χρήσης