Πολιτική Απορρήτου

Έκδοση 2.0 · Έναρξη ισχύος: 6 Ιουλίου 2026

Η παρούσα Πολιτική Απορρήτου εξηγεί πώς η υπηρεσία easylog (easylog.ai και η mobile εφαρμογή «easylog») συλλέγει, χρησιμοποιεί και προστατεύει προσωπικά δεδομένα, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ) και τον ν. 4624/2019, όπως ισχύουν.

1. Ποιοι είμαστε

Πάροχος Γεώργιος Τσίπος — ατομική επιχείρηση
ΑΦΜ / Έδρα [ΑΦΜ: ____ · ΕΔΡΑ: ____ — συμπληρώνεται με την έναρξη]
Επικοινωνία για προσωπικά δεδομένα privacy@easylog.ai

Η υπηρεσία λειτουργεί στο easylog.ai.

Δεν έχουμε ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO), καθώς δεν συντρέχουν οι προϋποθέσεις του άρθρου 37 §1 ΓΚΠΔ· η απόφαση επανεξετάζεται τακτικά και τεκμηριώνεται εσωτερικά. Αρμόδιο σημείο επαφής για κάθε θέμα προσωπικών δεδομένων είναι το privacy@easylog.ai.

2. Οι δύο ρόλοι μας: Υπεύθυνος και Εκτελών την Επεξεργασία

Η πλατφόρμα λειτουργεί με δύο διακριτούς ρόλους κατά τον ΓΚΠΔ. Ο πίνακας δείχνει ποιος αποφασίζει τον σκοπό της επεξεργασίας για κάθε κατηγορία δεδομένων:

Κατηγορία δεδομένωνΟ ρόλος μας Υπεύθυνος Επεξεργασίας (controller)
Στοιχεία λογαριασμού χρήστη (email, κινητό, κωδικός σε μορφή hash, 2FA, ρόλος, προτιμήσεις ειδοποιήσεων) Υπεύθυνος ΕπεξεργασίαςΟ Πάροχος
Στοιχεία τιμολόγησης & χρεώσεων (ιστορικό χρεώσεων, παραστατικά της επιχείρησής μας· αναγνωριστικά Stripe εφόσον ενεργοποιηθούν οι πληρωμές μέσω πλατφόρμας) Υπεύθυνος ΕπεξεργασίαςΟ Πάροχος
Τεχνικά δεδομένα & αρχεία ασφαλείας (IP, καταγραφές συνδέσεων, audit logs, μετρήσεις χρήσης) Υπεύθυνος ΕπεξεργασίαςΟ Πάροχος
Αρχείο αποδοχής όρων (χρόνος, έκδοση όρων) Υπεύθυνος ΕπεξεργασίαςΟ Πάροχος
Παραστατικά που ανεβάζεις (τιμολόγια, αποδείξεις, τραπεζικά έγγραφα) και τα δεδομένα που εξάγονται αυτόματα από αυτά Εκτελών την Επεξεργασία (άρ. 28 ΓΚΠΔ) Η επιχείρησή σου — ή, αν χρησιμοποιείς την υπηρεσία μέσω λογιστή που ενεργεί ως εκτελών για τους πελάτες του, ο πελάτης του λογιστή (τότε εμείς ενεργούμε ως υπο-εκτελών, άρ. 28 §4 ΓΚΠΔ)
Κοινόχρηστα αρχεία λογιστή–επιχείρησης (π.χ. μισθοδοσίες), σχόλια, ετικέτες Εκτελών / υπο-εκτελών Ο tenant (επιχείρηση ή πελάτης λογιστή)
Επαφές/αντισυμβαλλόμενοι που καταχωρεί ο tenant (επωνυμίες, ΑΦΜ) Εκτελών / υπο-εκτελώνΟ tenant
Διαπιστευτήρια myDATA και δεδομένα που αντλούνται από myDATA/ΑΑΔΕ κατ' εντολή του tenant Εκτελών / υπο-εκτελώνΟ tenant
Πλήρη στοιχεία πληρωμής (κάρτα, τραπεζικός λογαριασμός SEPA) — εφόσον ενεργοποιηθούν οι πληρωμές μέσω πλατφόρμας Κανένας — δεν τα λαμβάνουμε ποτέ Η Stripe ως ανεξάρτητος Υπεύθυνος Επεξεργασίας (βλ. §6)

Για τις επεξεργασίες όπου ενεργούμε ως Εκτελών, οι όροι διέπονται από το Παράρτημα Επεξεργασίας Δεδομένων (DPA) που αποτελεί αναπόσπαστο παράρτημα των Όρων Χρήσης· επεξεργαζόμαστε τα δεδομένα αποκλειστικά βάσει των τεκμηριωμένων εντολών του Υπευθύνου Επεξεργασίας.

3. Ποια δεδομένα επεξεργαζόμαστε

Ως Υπεύθυνος Επεξεργασίας (δικά μας δεδομένα):

  • Λογαριασμός: email, αριθμός κινητού, κωδικός πρόσβασης αποκλειστικά σε μορφή hash (PBKDF2-SHA256), μυστικό 2FA (TOTP), ρόλος (λογιστής/επιχείρηση), λογότυπο, προτιμήσεις ειδοποιήσεων.
  • Συνεδρίες & ταυτοποίηση: διακριτικά συνεδρίας, κωδικοί μίας χρήσης (OTP) για SMS-επιβεβαίωση, προσκλήσεις συνεργατών (email προσκεκλημένων).
  • Τιμολόγηση: ιστορικό χρεώσεων και τα φορολογικά παραστατικά που εκδίδουμε· εφόσον ενεργοποιηθούν οι πληρωμές μέσω πλατφόρμας: αναγνωριστικά πελάτη/συνδρομής Stripe, τύπος και τελευταία 4 ψηφία κάρτας, κατάσταση εντολής SEPA. Δεν αποθηκεύουμε ποτέ πλήρη αριθμό κάρτας ή πλήρη IBAN πληρωμών — αυτά τα συλλέγει απευθείας η Stripe.
  • Τεχνικά δεδομένα: διεύθυνση IP, καταγραφές προσπαθειών σύνδεσης, αρχεία ελέγχου ενεργειών (audit logs — χωρίς περιεχόμενο εγγράφων), μετρήσεις χρήσης της λειτουργίας AI (χωρίς περιεχόμενο εγγράφων).
  • Αποδοχή όρων: χρόνος αποδοχής, έκδοση όρων.

Ως Εκτελών την Επεξεργασία (δεδομένα των tenants):

  • Παραστατικά που ανεβαίνουν μέσω web, σάρωσης από το κινητό ή προώθησης email (από τα εισερχόμενα email αποθηκεύονται μόνο τα συνημμένα, όχι το σώμα του μηνύματος): PDF/εικόνες που περιέχουν ονόματα, ΑΦΜ, IBAN, διευθύνσεις και ποσά τρίτων προσώπων (πελατών, προμηθευτών, ελεύθερων επαγγελματιών των tenants).
  • Εξαγόμενα δεδομένα από τα παραστατικά (ποσά, ημερομηνίες, ΑΦΜ αντισυμβαλλομένων, κατηγορίες δαπανών).
  • Κοινόχρηστα αρχεία λογιστή–επιχείρησης, συμπεριλαμβανομένων αρχείων μισθοδοσίας (ονόματα και αποδοχές εργαζομένων), σχόλια και ετικέτες σε παραστατικά.
  • Επαφές (επωνυμίες, ΑΦΜ αντισυμβαλλομένων) που καταχωρεί ο tenant.
  • Διαπιστευτήρια myDATA (αποθηκεύονται κρυπτογραφημένα) και δεδομένα που αντλούνται από myDATA/Μητρώο ΑΑΔΕ/VIES κατ' εντολή του tenant (μόνο ΑΦΜ και επωνυμίες).

Δεν επεξεργαζόμαστε εν γνώσει μας ειδικές κατηγορίες δεδομένων (άρ. 9 ΓΚΠΔ)· ο tenant οφείλει να μην ανεβάζει τέτοια δεδομένα, εκτός αν περιλαμβάνονται υποχρεωτικά σε νόμιμα λογιστικά έγγραφα.

4. Σκοποί και νομικές βάσεις

Α. Για τις επεξεργασίες όπου είμαστε Υπεύθυνος Επεξεργασίας:

ΣκοπόςΔεδομένα Νομική βάση (άρ. 6 §1 ΓΚΠΔ)
Δημιουργία και λειτουργία λογαριασμού, σύνδεση, 2FA Στοιχεία λογαριασμού, συνεδρίες, OTP (β) εκτέλεση σύμβασης
Τιμολόγηση χρήσης και χρεώσεων Στοιχεία τιμολόγησης, ιστορικό χρεώσεων (β) εκτέλεση σύμβασης
Έκδοση και διαφύλαξη των δικών μας φορολογικών παραστατικών Στοιχεία τιμολόγησης (γ) νομική υποχρέωση (ν. 4308/2014, ν. 5104/2024)
Ασφάλεια της υπηρεσίας, αποτροπή κατάχρησης, διερεύνηση περιστατικών IP, καταγραφές συνδέσεων, audit logs, όρια ρυθμού (rate limiting) (στ) έννομο συμφέρον — προστασία υπηρεσίας και χρηστών
Λειτουργικές ειδοποιήσεις (email, SMS, push) Email, κινητό, push tokens (β) εκτέλεση σύμβασης· οι μη κρίσιμες ειδοποιήσεις απενεργοποιούνται από τις ρυθμίσεις
Απόδειξη αποδοχής όρων και νομικών εκδόσεων Χρόνος/έκδοση αποδοχής (στ) έννομο συμφέρον — απόδειξη σύναψης σύμβασης
Απάντηση σε αιτήματα δικαιωμάτων και εποπτικών αρχών Αρχείο αιτημάτων (γ) νομική υποχρέωση (άρ. 12–22, 31 ΓΚΠΔ)

Δεν χρησιμοποιούμε τα δεδομένα για διαφήμιση, δεν καταρτίζουμε διαφημιστικό προφίλ και δεν πωλούμε δεδομένα σε τρίτους.

Β. Για τις επεξεργασίες όπου είμαστε Εκτελών: η νομική βάση προσδιορίζεται από τον εκάστοτε Υπεύθυνο Επεξεργασίας (κατά κανόνα: εκτέλεση σύμβασης με τον λογιστή του και συμμόρφωση με φορολογικές υποχρεώσεις — ν. 4308/2014, ν. 5104/2024, myDATA). Εμείς εκτελούμε αποκλειστικά τις εξής εργασίες, βάσει τεκμηριωμένων εντολών: αποθήκευση παραστατικών, αυτόματη εξαγωγή πεδίων με AI, διασύνδεση myDATA/Μητρώου ΑΑΔΕ/VIES, κοινή χρήση με τον συνδεδεμένο λογιστή/επιχείρηση, λειτουργικές ειδοποιήσεις για νέα έγγραφα.

5. Δεδομένα τρίτων προσώπων μέσα στα παραστατικά

Τα παραστατικά περιέχουν κατά νόμο στοιχεία τρίτων (αντισυμβαλλομένων, εργαζομένων, εκπροσώπων). Για τα δεδομένα αυτά:

  • Υπεύθυνος Επεξεργασίας είναι ο tenant (η επιχείρηση — ή ο πελάτης του λογιστή). Η υποχρέωση ενημέρωσης των υποκειμένων κατά τα άρθρα 13–14 ΓΚΠΔ βαρύνει αποκλειστικά τον εκάστοτε Υπεύθυνο Επεξεργασίας και όχι την πλατφόρμα, η οποία επεξεργάζεται τα δεδομένα αυτά μόνο ως εκτελούσα, κατ' εντολή.
  • Η συλλογή και τήρηση των στοιχείων αυτών προβλέπεται ρητά από τη φορολογική νομοθεσία (υποχρεωτικό περιεχόμενο παραστατικών: άρ. 8–9 ν. 4308/2014· τήρηση και διαφύλαξη: άρ. 13 ν. 5104/2024· υποχρεωτική διαβίβαση myDATA), η οποία περιλαμβάνει κατάλληλες εγγυήσεις (φορολογικό απόρρητο, καθορισμένοι σκοποί). Για τον λόγο αυτό οι Υπεύθυνοι Επεξεργασίας δύνανται να στηρίζονται στην εξαίρεση του άρθρου 14 §5 στοιχ. γ' ΓΚΠΔ και, επικουρικά, στη δυσανάλογη προσπάθεια του άρθρου 14 §5 στοιχ. β' ΓΚΠΔ, εφόσον διαθέτουν δημόσια προσβάσιμη ενημέρωση.
  • Διαθέτουμε στους tenants υπόδειγμα κειμένου ενημέρωσης (privacy notice) που καλύπτει τα δεδομένα αντισυμβαλλομένων και τρίτων σε φορολογικά παραστατικά, ως καλή πρακτική — χωρίς η πλατφόρμα να αναλαμβάνει τη σχετική υποχρέωση.

6. Αποδέκτες δεδομένων

Κοινοποιούμε δεδομένα μόνο στους παρακάτω αποδέκτες. Οι υπο-εκτελούντες δεσμεύονται με σύμβαση επεξεργασίας δεδομένων (άρ. 28 ΓΚΠΔ):

ΑποδέκτηςΡόλοςΧώραΙδιότητα
Anthropic PBC (μέσω Anthropic Ireland, Limited για πελάτες ΕΟΧ) Αυτόματη ανάγνωση/εξαγωγή πεδίων παραστατικών με AI (Claude API). Δεν εκπαιδεύει μοντέλα στα δεδομένα. Αποστέλλεται μόνο το ελάχιστο αναγκαίο (κείμενο εγγράφου, εικόνα 1ης σελίδας μόνο όταν δεν υπάρχει αναγνώσιμο κείμενο). ΗΠΑΥπο-εκτελών
Hetzner Online GmbH Φιλοξενία διακομιστών και κρυπτογραφημένη αποθήκευση αρχείων ΓερμανίαΥπο-εκτελών
Neon, LLC (όμιλος Databricks) Βάση δεδομένων PostgreSQL — τα δεδομένα φιλοξενούνται σε κέντρο δεδομένων ΕΕ (AWS eu-central-1, Φρανκφούρτη) ΗΠΑ (δεδομένα σε region ΕΕ)Υπο-εκτελών
Brevo SAS Αποστολή email και SMS (επιβεβαιώσεις, OTP, ειδοποιήσεις) ΓαλλίαΥπο-εκτελών
Expo (650 Industries, Inc.) — με δίκτυα μεταφοράς Apple APNs και Google FCM Παράδοση push ειδοποιήσεων στο κινητό. Το περιεχόμενο είναι γενικό, χωρίς προσωπικά δεδομένα (π.χ. «Νέο παραστατικό»)· το Expo δεν αποθηκεύει το περιεχόμενο μετά την παράδοση. ΗΠΑΥπο-εκτελών (APNs/FCM: πάροχοι μεταφοράς)
ΑΑΔΕ/ΓΓΠΣ (myDATA, Μητρώο) & VIES Υποβολή/άντληση δεδομένων myDATA και επαλήθευση ΑΦΜ, κατ' εντολή του tenant Ελλάδα / ΕΕΔημόσιες αρχές — όχι υπο-εκτελούντες
Stripe (Stripe Payments Europe, Ltd. και Stripe, Inc.) — εφόσον ενεργοποιηθούν οι πληρωμές μέσω πλατφόρμας Εκτέλεση πληρωμών (κάρτες, SEPA άμεση χρέωση) και εκταμιεύσεις προς λογιστές μέσω Stripe Connect. Η Stripe συλλέγει τα στοιχεία πληρωμής απευθείας και ενεργεί ως ανεξάρτητος Υπεύθυνος Επεξεργασίας για τα δεδομένα αυτά, σύμφωνα με τη δική της πολιτική απορρήτου (stripe.com/privacy). Ιρλανδία / ΗΠΑΑνεξάρτητος Υπεύθυνος Επεξεργασίας
Ο λογιστής σου / η επιχείρηση-πελάτης σου Μόνο μετά από ρητή σύνδεση των λογαριασμών σας, αποκτά πρόσβαση στα έγγραφα, τις αναφορές και τα κοινόχρηστα αρχεία ΕλλάδαΑυτοτελής Υπεύθυνος ή Εκτελών, κατά τον ρόλο του
  • Ο πλήρης, επικαιροποιημένος κατάλογος υπο-εκτελούντων δημοσιεύεται στη σελίδα /subprocessors. Για κάθε προσθήκη ή αντικατάσταση υπο-εκτελούντος ειδοποιούμε τους tenants ενεργά (email και ειδοποίηση εντός της πλατφόρμας) τουλάχιστον 15 ημερολογιακές ημέρες πριν ο νέος υπο-εκτελών αποκτήσει πρόσβαση σε δεδομένα, με δικαίωμα αντίρρησης κατά τα οριζόμενα στο DPA (άρθρο 8.3).
  • Εάν ενεργοποιηθεί εργαλείο παρακολούθησης σφαλμάτων (Sentry, σε region ΕΕ), ο κατάλογος υπο-εκτελούντων και η παρούσα Πολιτική θα ενημερωθούν πριν την ενεργοποίηση.
  • Ενδέχεται να γνωστοποιήσουμε δεδομένα σε δημόσιες ή δικαστικές αρχές, εφόσον αυτό επιβάλλεται από δεσμευτική νόμιμη υποχρέωση· θα ενημερώσουμε τον θιγόμενο tenant πριν τη γνωστοποίηση, εκτός αν αυτό απαγορεύεται από τον νόμο.

7. Διαβιβάσεις εκτός ΕΟΧ

Η αποθήκευση των δεδομένων γίνεται εντός ΕΕ (Γερμανία). Ορισμένοι πάροχοι εδρεύουν στις ΗΠΑ· κάθε διαβίβαση καλύπτεται από τους ακόλουθους μηχανισμούς του Κεφαλαίου V ΓΚΠΔ:

ΑποδέκτηςΔεδομέναΜηχανισμός διαβίβασης
Anthropic PBC (ΗΠΑ) Κείμενο/εικόνα παραστατικού προς εξαγωγή πεδίων Τυποποιημένες Συμβατικές Ρήτρες (Απόφαση (ΕΕ) 2021/914 — SCCs), ενσωματωμένες στη σύμβαση επεξεργασίας δεδομένων της Anthropic, μαζί με συμπληρωματικά μέτρα: κρυπτογράφηση κατά τη μεταφορά (TLS), ελαχιστοποίηση δεδομένων, μη χρήση για εκπαίδευση μοντέλων, μη διατήρηση για τα μοντέλα που χρησιμοποιούμε. Η Anthropic δεν είναι πιστοποιημένη στο Data Privacy Framework — η διαβίβαση στηρίζεται αποκλειστικά σε SCCs. Έχει εκπονηθεί Εκτίμηση Αντικτύπου Διαβίβασης (TIA), διαθέσιμη κατόπιν αιτήματος.
Neon, LLC / Databricks (ΗΠΑ) Δεδομένα βάσης (αποθηκευμένα σε Φρανκφούρτη· δυνατή απομακρυσμένη διαχειριστική πρόσβαση από ΗΠΑ) Πιστοποίηση EU-U.S. Data Privacy Framework (καλύπτει ρητά τη Neon, LLC) και, επικουρικά, SCCs στη σύμβαση επεξεργασίας
Expo / 650 Industries, Inc. (ΗΠΑ) Push token συσκευής· το περιεχόμενο των ειδοποιήσεων δεν αποθηκεύεται Πιστοποίηση EU-U.S. Data Privacy Framework και, επικουρικά, SCCs
Google LLC — FCM (ΗΠΑ) Push token (Android) Πιστοποίηση EU-U.S. Data Privacy Framework
Apple Inc. — APNs (ΗΠΑ) Push token (iOS) — ψευδωνυμοποιημένο, χωρίς προσωπικά δεδομένα στο περιεχόμενο Τυποποιημένες Συμβατικές Ρήτρες (SCCs)
Stripe (ΗΠΑ) — εφόσον ενεργοποιηθούν οι πληρωμές Δεδομένα πληρωμών (ως ανεξάρτητος controller) Πιστοποίηση EU-U.S. Data Privacy Framework και SCCs

Αντίγραφο των εφαρμοστέων εγγυήσεων (SCCs, αποσπάσματα συμβάσεων επεξεργασίας) διατίθεται κατόπιν αιτήματος στο privacy@easylog.ai (άρ. 13 §1 στοιχ. στ' ΓΚΠΔ).

8. Πόσο καιρό διατηρούμε τα δεδομένα

ΚατηγορίαΧρόνος διατήρησης
Παραστατικά και εξαγόμενα δεδομένα τους (ως Εκτελών) Για όσο διαρκεί η σύμβαση με τον tenant. Μετά τη λήξη: πλήρης εξαγωγή (export) διαθέσιμη επί 30 ημέρες, οριστική διαγραφή εντός 90 ημερών από τη λήξη. Προσοχή: η υποχρέωση διαφύλαξης βιβλίων και στοιχείων για τουλάχιστον 5 έτη (άρ. 13 ν. 5104/2024, άρ. 7 ν. 4308/2014) βαρύνει τον tenant/την υπόχρεη οντότητα — ο tenant οφείλει να παραλάβει την εξαγωγή πριν την οριστική διαγραφή και διατηρεί πάντα ο ίδιος τα πρωτότυπα παραστατικά του.
Στοιχεία λογαριασμού Μέχρι τη διαγραφή του λογαριασμού
Συνεδρίες Απόλυτη λήξη σε 14 ημέρες· οι εγγραφές διαγράφονται 21 ημέρες μετά τη δημιουργία τους
Κωδικοί μίας χρήσης (OTP) Ισχύς 10 λεπτών· οι εγγραφές διαγράφονται 7 ημέρες μετά τη λήξη τους
Καταγραφές προσπαθειών σύνδεσης 90 ημέρες
Ειδοποιήσεις εντός εφαρμογής Διαγράφονται 12 μήνες μετά την ανάγνωσή τους
Αρχεία ελέγχου ασφαλείας (audit logs) 24 μήνες
Push tokens Διαγράφονται κατά την αποσύνδεση (logout) από τη συσκευή
Προσωρινή μνήμη επωνυμιών ΑΦΜ (cache επωνυμιών από Μητρώο ΑΑΔΕ/VIES) Έως 12 μήνες — καθαρίζεται αυτόματα
Μετρήσεις χρήσης AI (χωρίς περιεχόμενο εγγράφων) Για όσο διατηρείται ο λογαριασμός
Φορολογικά παραστατικά του Παρόχου (χρεώσεις προς πελάτες μας) Τουλάχιστον 5 έτη (άρ. 13 ν. 5104/2024) — νομική υποχρέωση της επιχείρησής μας
Αντίγραφα ασφαλείας Κρυπτογραφημένα στιγμιότυπα με αυτόματη λήξη: 7 ημερήσια, 4 εβδομαδιαία, 6 μηνιαία — κανένα δεδομένο δεν επιβιώνει σε αντίγραφο ασφαλείας πέραν των 7 μηνών. Αν αποκατασταθεί αντίγραφο που περιέχει διαγραμμένα δεδομένα, αυτά διαγράφονται εκ νέου άμεσα (πολιτική re-delete).

Ο καθαρισμός των τεχνικών δεδομένων εκτελείται αυτόματα σε καθημερινή βάση.

9. Τα δικαιώματά σου και πώς τα ασκείς

Έχεις τα δικαιώματα των άρθρων 15–22 ΓΚΠΔ: πρόσβαση, διόρθωση, διαγραφή, περιορισμό, φορητότητα, εναντίωση (για επεξεργασίες που βασίζονται σε έννομο συμφέρον).

Πώς ασκούνται:

  1. Διαγραφή λογαριασμού (επιχειρήσεις): άμεσα, αυτοπροσώπως, από τη σελίδα «Στοιχεία» εντός της εφαρμογής («Πλήρης διαγραφή λογαριασμού»). Η διαγραφή εκτελείται αμέσως· τα δεδομένα παύουν να είναι διαθέσιμα και απομακρύνονται οριστικά και από τα αντίγραφα ασφαλείας εντός των χρόνων της §8.
  2. Διαγραφή λογαριασμού (λογιστές): με αίτημα στο privacy@easylog.ai — ολοκληρώνεται εντός 30 ημερών.
  3. Πλήρες αντίγραφο/εξαγωγή δεδομένων: με email στο privacy@easylog.ai — αποστέλλεται σε κοινό μηχαναγνώσιμο μορφότυπο εντός 30 ημερών από το αίτημα.
  4. Κάθε άλλο αίτημα δικαιωμάτων: στο privacy@easylog.ai — απαντάμε εντός 30 ημερών (με δυνατότητα παράτασης 2 μηνών για ιδιαίτερα πολύπλοκα αιτήματα, με ενδιάμεση ενημέρωση, κατ' άρ. 12 §3 ΓΚΠΔ).

Σημαντικοί περιορισμοί:

  • Για δεδομένα όπου ενεργούμε ως Εκτελών (παραστατικά, δεδομένα τρίτων στα έγγραφα), αρμόδιος να κρίνει το αίτημά σου είναι ο εκάστοτε Υπεύθυνος Επεξεργασίας. Αν λάβουμε τέτοιο αίτημα, το προωθούμε στον Υπεύθυνο Επεξεργασίας εντός 3 εργάσιμων ημερών (όπως δεσμευόμαστε και στο DPA, άρθρο 9.1) και σε ενημερώνουμε ότι το πράξαμε.
  • Αίτημα διαγραφής παραστατικών που βρίσκονται εντός της νόμιμης περιόδου διαφύλαξης του ΚΦΔ μπορεί να απορριφθεί από τον Υπεύθυνο Επεξεργασίας βάσει του άρθρου 17 §3 στοιχ. β' ΓΚΠΔ (συμμόρφωση με νομική υποχρέωση).

Καταγγελία: έχεις πάντα δικαίωμα καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) — Κηφισίας 1-3, 115 23 Αθήνα, τηλ. 210 6475600, www.dpa.gr (ηλεκτρονική υποβολή μέσω της πύλης της Αρχής).

10. Αυτοματοποιημένη επεξεργασία (AI) — καμία αυτοματοποιημένη απόφαση

Η εξαγωγή και ταξινόμηση πεδίων γίνεται με τεχνολογία AI (μεγάλα γλωσσικά μοντέλα) και ενδέχεται να περιέχει σφάλματα (π.χ. εσφαλμένη αναγνώριση ποσών, ΑΦΜ ή ημερομηνιών). Η λειτουργία είναι αποκλειστικά υποβοηθητική: κάθε αποτέλεσμα επισκοπείται και διορθώνεται από άνθρωπο (τον χρήστη ή τον λογιστή) και δεν παράγεται καμία απόφαση με νομική ή αντίστοιχη ουσιώδη επίπτωση αποκλειστικά με αυτοματοποιημένα μέσα (άρ. 22 ΓΚΠΔ). Τα δεδομένα σου δεν χρησιμοποιούνται για εκπαίδευση μοντέλων AI.

11. Ασφάλεια

Εφαρμόζουμε, μεταξύ άλλων: κρυπτογράφηση κατά τη μεταφορά (TLS/HSTS)· κρυπτογράφηση των αρχείων σε ηρεμία (encryption at rest) σε όλα τα αποθηκευμένα έγγραφα· αποθήκευση κωδικών αποκλειστικά ως hash (PBKDF2-SHA256)· κρυπτογραφημένη αποθήκευση διαπιστευτηρίων τρίτων υπηρεσιών (myDATA, Stripe)· προαιρετική διπλή ταυτοποίηση (2FA/TOTP)· απομόνωση δεδομένων ανά tenant· προστασία CSRF και όρια ρυθμού αιτημάτων· κρυπτογραφημένα από την πλευρά του πελάτη αντίγραφα ασφαλείας· καταγραφή ενεργειών (audit log) χωρίς περιεχόμενο εγγράφων. Σε περίπτωση παραβίασης δεδομένων ενεργούμε κατά τα άρθρα 33–34 ΓΚΠΔ και ειδοποιούμε τους θιγόμενους tenants σύμφωνα με τις προθεσμίες του DPA (το αργότερο εντός 48 ωρών).

12. Cookies

Χρησιμοποιούμε ένα μόνο cookie: το απολύτως απαραίτητο cookie συνεδρίας για να παραμένεις συνδεδεμένος (httpOnly, Secure, SameSite=lax). Δεν χρησιμοποιούμε cookies διαφήμισης, στατιστικών ή παρακολούθησης, ούτε τεχνολογίες τρίτων στον browser. Επειδή το cookie συνεδρίας είναι τεχνικά απαραίτητο για την παροχή της υπηρεσίας που ζητάς, δεν απαιτείται συγκατάθεση ούτε banner cookies (άρ. 4 §5 ν. 3471/2006).

13. Εφαρμογή για κινητά

  • Push ειδοποιήσεις: το περιεχόμενό τους είναι γενικό (π.χ. «Νέο παραστατικό») και δεν περιέχει προσωπικά δεδομένα ή στοιχεία εγγράφων· οι λεπτομέρειες εμφανίζονται μόνο μέσα στην εφαρμογή, μετά από σύνδεση. Μπορείς να τις απενεργοποιήσεις από τις ρυθμίσεις της συσκευής ή της εφαρμογής.
  • Βιομετρικό ξεκλείδωμα (Face ID / δακτυλικό αποτύπωμα): η βιομετρική επαλήθευση εκτελείται αποκλειστικά στη συσκευή σου από το λειτουργικό σύστημα. Η εφαρμογή λαμβάνει μόνο το αποτέλεσμα (επιτυχία/αποτυχία)· κανένα βιομετρικό δεδομένο δεν διαβιβάζεται ούτε αποθηκεύεται στους διακομιστές μας.
  • Κάμερα: χρησιμοποιείται μόνο όταν εσύ επιλέξεις να σαρώσεις παραστατικό· η εικόνα μεταφορτώνεται ως έγγραφο του λογαριασμού σου και δεν γίνεται καμία άλλη πρόσβαση στη συλλογή φωτογραφιών πέραν των αρχείων που επιλέγεις ρητά.
  • Τα διακριτικά σύνδεσης αποθηκεύονται στην ασφαλή περιοχή της συσκευής (Keychain/Keystore) και διαγράφονται κατά την αποσύνδεση.

14. Ανήλικοι

Η υπηρεσία απευθύνεται αποκλειστικά σε επιχειρήσεις και επαγγελματίες. Δεν απευθύνεται σε άτομα κάτω των 18 ετών και δεν συλλέγουμε εν γνώσει μας δεδομένα ανηλίκων.

15. Αλλαγές στην παρούσα Πολιτική

Κάθε έκδοση φέρει αριθμό και ημερομηνία έναρξης ισχύος· το αρχείο προηγούμενων εκδόσεων διατίθεται κατόπιν αιτήματος. Για ουσιώδεις αλλαγές (νέοι σκοποί, νέες κατηγορίες αποδεκτών, αλλαγές σε διαβιβάσεις ή χρόνους διατήρησης) θα σε ειδοποιούμε με email ή ειδοποίηση εντός της πλατφόρμας 30 ημέρες πριν την έναρξη ισχύος. Για επουσιώδεις αλλαγές (συμπεριλαμβανομένης της συμπλήρωσης των στοιχείων ταυτότητας του Παρόχου με την έναρξη της ατομικής επιχείρησης) αρκεί η ανανέωση της ημερομηνίας και της έκδοσης στην παρούσα σελίδα.

16. Επικοινωνία

Για κάθε ερώτημα ή αίτημα σχετικά με προσωπικά δεδομένα:

  • Email: privacy@easylog.ai
  • Ταχυδρομικά: Γεώργιος Τσίπος — ατομική επιχείρηση (έδρα: βλ. §1)
  • Εποπτική αρχή: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα — www.dpa.gr

Δείτε επίσης: Όροι Χρήσης · Παράρτημα Επεξεργασίας Δεδομένων (DPA) · Κατάλογος υπο-εκτελούντων

© 2026 easylog · Πολιτική Απορρήτου · Όροι Χρήσης · DPA · Υποεπεξεργαστές · Όροι v2026-07-06.1