Πολιτική Απορρήτου & Όροι Χρήσης

Τελευταία ενημέρωση: 12 Σεπτεμβρίου 2025

Πολιτική Απορρήτου & Cookies

1. Εισαγωγή

Η παρούσα Πολιτική περιγράφει πώς η Τόνια Καπαρελιώτη («εμείς», «η Εταιρεία») επεξεργάζεται τα προσωπικά δεδομένα των επισκεπτών και χρηστών της ιστοσελίδας και εφαρμογής tonia-kaparelioti.gr (εφεξής «Ιστότοπος» και «Εφαρμογή»). Δεσμευόμαστε στην προστασία της ιδιωτικότητας σύμφωνα με τον GDPR (2016/679) και την ελληνική νομοθεσία.

2. Υπεύθυνος Επεξεργασίας & Επικοινωνία

  • Υπεύθυνος Επεξεργασίας: Τόνια Καπαρελιώτη
  • Email για θέματα απορρήτου (αιτήματα GDPR): t.believeinyourself@gmail.com
  • Διεύθυνση έδρας/γραφείου: Ελαιών 25 και Ρέμβης, Κηφισιά 145 64
  • Αριθμός Γ.Ε.Μ.Η.: 165781403000
  • Φόρμα επικοινωνίας: διαθέσιμη στον Ιστότοπο

3. Περιγραφή υπηρεσιών & προέλευση δεδομένων

  • Χάρτης: Ενσωματωμένος (iframe) Google Maps. Ενδέχεται να τοποθετούνται cookies/να συλλέγονται τεχνικά στοιχεία από την Google (βλ. ενότητα Cookies).
  • Φόρμα Επικοινωνίας (Netlify Forms): Συλλογή Ονόματος (υποχρεωτικό), Επωνύμου (υποχρεωτικό), Τηλεφώνου (υποχρεωτικό), Μηνύματος (προαιρετικό) και επιλογής «επικοινωνώ για να κλείσω ραντεβού» (προαιρετικό). Η αποδοχή της Πολιτικής Απορρήτου είναι υποχρεωτική για υποβολή.
  • Εφαρμογή με αυθεντικοποίηση: Λογαριασμοί χρηστών δημιουργούνται αρχικά από Διαχειριστή και αποθηκεύονται στοιχεία για παροχή υπηρεσίας (βλ. §4).
  • Αποθήκευση δεδομένων: Τα αρχεία/έγγραφα (Δίαιτες, Μετρήσεις, Φωτογραφίες προόδου) φιλοξενούνται αποκλειστικά για file storage σε Backblaze B2 (S3-compatible) σε ιδιωτικό (private) bucket εντός ΕΕ. Η βάση δεδομένων (προσωπικά στοιχεία, ρυθμίσεις λογαριασμού κ.λπ.) φιλοξενείται στο Supabase (managed PostgreSQL) σε AWS eu-central-1.

4. Κατηγορίες δεδομένων που επεξεργαζόμαστε

A. Στοιχεία λογαριασμού (clients/admins):

  • Όνομα, Επώνυμο, Email, Τηλέφωνο
  • Κωδικός πρόσβασης (αποθηκεύεται κρυπτογραφημένος)
  • Ημερομηνία & ώρα τελευταίας τροποποίησης

Β. Περιεχόμενο φακέλου πελάτη (ειδικές κατηγορίες):

  • Δίαιτες, Μετρήσεις, Φωτογραφίες προόδου — δεδομένα υγείας κατά GDPR άρθ. 9

Γ. Δεδομένα επικοινωνίας μέσω φόρμας (Netlify):

  • Όνομα, Επώνυμο, Τηλέφωνο, Μήνυμα, επιλογή ραντεβού
  • Ενδεχομένως IP/τεχνικά μεταδεδομένα από την πλατφόρμα υποδοχής

Δ. Τεχνικά/λειτουργικά δεδομένα:

  • IP διεύθυνση, User-Agent (π.χ. πρόγραμμα περιήγησης/έκδοση/λειτουργικό), log αρχεία (ημερομηνία/ώρα, endpoint, status), τεχνικά IDs συνεδρίας, JWT tokens, προσωρινοί υπογεγραμμένοι σύνδεσμοι πρόσβασης (signed URLs).

Ε. Πολιτική εικόνων/εικονιδίων:

Μέρος του υλικού είναι ιδιοκτησία μας. Άλλο υλικό έχει ληφθεί από Pexels, Unsplash, Flaticon, Freepik με δωρεάν άδειες που συχνά απαιτούν απόδοση. Οι αποδόσεις παρατίθενται μόνο στη σελίδα αυτή (βλ. §13).

5. Σκοποί & Νομικές Βάσεις (GDPR art. 6 & 9)

ΕνέργειαΔεδομέναΣκοπόςΝομική Βάση
Διαχείριση λογαριασμού (create/login)Ονοματεπώνυμο, email, τηλέφωνο, hash κωδικούΠαροχή πρόσβασης στην ΕφαρμογήΣύμβαση (άρθ. 6(1)(β))
Τήρηση/προβολή φακέλουΔίαιτες, Μετρήσεις, ΦωτογραφίεςΠαροχή διατροφικών υπηρεσιώνΡητή συγκατάθεση για ευαίσθητα (άρθ. 9(2)(α)) + Σύμβαση (6(1)(β))
Επικοινωνία αιτημάτωνΣτοιχεία φόρμαςΑπάντηση σε αίτημα / ραντεβούΣύμβαση/προ-συμβατικά (6(1)(β)) ή Συγκατάθεση
Ειδοποιήσεις υπηρεσίαςEmail/τηλέφωνοΕνημέρωση για νέα αρχεία/ενημερώσειςΣύμβαση (λειτουργικές ενημερώσεις)
Ασφάλεια & logsIP διεύθυνσηUser-AgentΤεχνικά δεδομένα
Google MapsCookies/τεχνικά τρίτουΠροβολή τοποθεσίαςΣυγκατάθεση cookies (όπου απαιτείται)

Δεν αποστέλλουμε προωθητικές επικοινωνίες (marketing) χωρίς προηγούμενη συγκατάθεση. Οι ενημερώσεις για ανεβάσματα/αλλαγές φακέλων είναι λειτουργικές.

6. Ρητή συγκατάθεση για ειδικές κατηγορίες (δεδομένα υγείας)

Με τη δημιουργία/χρήση λογαριασμού και την αποδοχή των παρόντων Όρων/Πολιτικής κατά τη σύνδεση, ο χρήστης δηλώνει ρητά ότι παρέχει ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφή συγκατάθεση για την επεξεργασία των δεδομένων υγείας του (ενδεικτικά: διαιτολόγια, μετρήσεις, φωτογραφίες προόδου) αποκλειστικά για σκοπούς παροχής των υπηρεσιών. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε χωρίς αναδρομική ισχύ, με αίτημα στο t.believeinyourself@gmail.com.

Η αποδοχή των Όρων & της Πολιτικής Απορρήτου αποτελεί προϋπόθεση για τη σύνδεση. Η αποδοχή χρησιμοποιείται μόνο για την ολοκλήρωση της σύνδεσης και δεν αποθηκεύεται μόνιμα πέραν τυχόν τεχνικών αρχείων καταγραφής ασφαλείας. Η μη αποδοχή συνεπάγεται αδυναμία χρήσης της Εφαρμογής.

7. Μηχανισμός συγκατάθεσης κατά τη σύνδεση

Κατά κάθε σύνδεση εμφανίζεται σαφής δήλωση/checkbox αποδοχής των Όρων & της Πολιτικής Απορρήτου, η οποία περιλαμβάνει ρητή αναφορά στην επεξεργασία δεδομένων υγείας όπως ανωτέρω. Χωρίς την αποδοχή, η σύνδεση δεν ολοκληρώνεται. Η αποδοχή δεν αποθηκεύεται μόνιμα πέραν τυχόν τεχνικών logs ασφαλείας.

8. Ρόλοι & Πρόσβαση

  • CLIENT: Πρόσβαση αποκλειστικά στα δικά του στοιχεία/αρχεία. Δεν ανεβάζει/επεξεργάζεται περιεχόμενο· το κάνει ο Διαχειριστής κατ’ εντολή του.
  • ADMIN (π.χ. Τόνια Καπαρελιώτη, Μαρία Κοκορέ, Διαχειριστής συστήματος): Πρόσβαση σε δεδομένα όλων των πελατών, αποκλειστικά για σκοπούς παροχής υπηρεσίας/υποστήριξης/ασφάλειας. Διέπεται από αρχή ελαχιστοποίησης και ρήτρες εμπιστευτικότητας.

9. Αποθήκευση & Τοποθεσίες

  • Βάση δεδομένων: Supabase (managed PostgreSQL) σε AWS eu-central-1.
  • Αρχεία/έγγραφα: Backblaze B2 (S3-compatible) σε ιδιωτικό (private) bucket εντός ΕΕ (μόνο file storage).
  • Όλη η δικτυακή επικοινωνία πραγματοποιείται μέσω TLS. Τα δεδομένα αποθηκεύονται κρυπτογραφημένα at-rest βάσει πρακτικών των παρόχων.
  • Πρόσβαση μέσω backend/προσωρινών signed URLs και ελέγχων δικαιωμάτων (least-privilege, logging).

Για λόγους ασφάλειας, δεν δημοσιεύουμε λεπτομέρειες βάσης (π.χ. ακριβή σχήματα πινάκων) ή API endpoints. Παρέχουμε μόνο τις αναγκαίες πληροφορίες διαφάνειας/συμμόρφωσης.

10. Αυθεντικοποίηση με JWT & Logout

  • Χρήση JSON Web Tokens (JWT) για ταυτοποίηση/εξουσιοδότηση.
  • Πρακτική: access token σε HttpOnly, Secure, SameSite=Strict cookie. Το JWT φέρει exp και το cookie ορίζεται με ίδιο Max-Age (επί του παρόντος 4 ώρες), ώστε η λήξη να είναι ταυτόχρονη. Δεν χρησιμοποιούμε μηχανισμό refresh token.
  • Σε κάθε αίτημα επαληθεύεται υπογραφή JWT και δικαιώματα (ρόλοι/claims).
  • Logout: διαγραφή/ακύρωση session cookie (και τυχόν refresh token στον server/blacklist). Οι signed URLs λήγουν με τη διάρκειά τους.
  • Πρόσθετα μέτρα: rate limiting, αυστηρό token expiry, επανέκδοση σε αλλαγή κωδικού/ρόλου, ανίχνευση ασυνήθιστης δραστηριότητας.

11. Γνωστοποίηση περιστατικών παραβίασης

Σε περίπτωση περιστατικού παραβίασης προσωπικών δεδομένων που ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα/ελευθερίες φυσικών προσώπων, διενεργούμε αξιολόγηση και, όπου απαιτείται, γνωστοποιούμε στην ΑΠΔΠΧ εντός 72 ωρών από τη διαπίστωση (άρθ. 33 GDPR) και ενημερώνουμε χωρίς αδικαιολόγητη καθυστέρηση τα υποκείμενα (άρθ. 34 GDPR). Τηρούμε αρχεία περιστατικών και διορθωτικών ενεργειών.

12. Εκτελούντες την επεξεργασία & διεθνείς διαβιβάσεις

Συνάπτουμε Συμφωνίες Επεξεργασίας Δεδομένων (DPAs) με όλους τους εκτελούντες που χρησιμοποιούμε (ενδεικτικά: Supabase για DB σε AWS eu-central-1, Backblaze B2 για file storage σε ΕΕ, Netlify για φόρμες/hosting). Όπου απαιτούνται διαβιβάσεις εκτός ΕΟΧ, εφαρμόζονται Τυποποιημένες Συμβατικές Ρήτρες (SCCs) και κατάλληλα τεχνικά/οργανωτικά μέτρα.

Η βάση βρίσκεται σε AWS eu-central-1, ενώ τα αρχεία σε Backblaze B2 εντός ΕΕ. Η ενσωμάτωση Google Maps ενεργοποιείται μόνο κατόπιν συγκατάθεσης.

13. Cookies & παρόμοιες τεχνολογίες

  • Απολύτως απαραίτητα: cookie συνεδρίας για αυθεντικοποίηση (JWT σε HttpOnly, Secure, SameSite=Strict cookie). Διάρκεια: 4 ώρες (ευθυγραμμισμένη με το exp του JWT). Δεν χρησιμοποιείται για marketing/προφίλ.
  • Λειτουργικότητας/Προτιμήσεων: π.χ. απομνημόνευση ρυθμίσεων.
  • Τρίτων (Google Maps): ενδέχεται να τοποθετούνται cookies για προβολή/χρήση χάρτη. Η ενσωμάτωση ενεργοποιείται μόνο μετά από συγκατάθεση.

Χρησιμοποιούμε επίσης προσωρινό sessionStorage για την εμφάνιση μηνυμάτων σύνδεσης/λήξης συνεδρίας· το περιεχόμενό του διαγράφεται αμέσως μετά την εμφάνιση του μηνύματος ή τη λήξη της συνεδρίας.

Η καταγραφή IP και User-Agent γίνεται στα server logs αποκλειστικά για λόγους ασφάλειας/αποσφαλμάτωσης, δεν χρησιμοποιείται για marketing/προφίλ και διατηρείται για περιορισμένο διάστημα.

Cookie γλωσσικής προτίμησης

Επειδή ο ιστότοπος είναι πλέον δίγλωσσος, ορίζουμε ένα μικρό cookie προτίμησης locale (π.χ. el / en) ώστε να θυμόμαστε τη γλώσσα σας μεταξύ επισκέψεων. Πρόκειται για λειτουργικό cookie (χωρίς tracking), συνήθως με SameSite=Lax και περιορισμένη διάρκεια (π.χ. 6–12 μήνες). Μπορείτε να αλλάξετε γλώσσα οποτεδήποτε· το cookie ενημερώνεται ανάλογα.

14. Πνευματικά δικαιώματα – Αποδόσεις

Ιδιοκτησία μας: κείμενα, λογότυπα, μέρος φωτογραφιών/εικονιδίων.

Υλικό τρίτων (με άδειες/αποδόσεις):

  • Pexels — [συντελεστές προς προσθήκη σε μεταγενέστερο στάδιο]
  • Unsplash — [συντελεστές προς προσθήκη σε μεταγενέστερο στάδιο]
  • Flaticon — [συντελεστές προς προσθήκη σε μεταγενέστερο στάδιο]
  • Freepik — [συντελεστές προς προσθήκη σε μεταγενέστερο στάδιο]

15. Ασφάλεια

Εφαρμόζουμε τεχνικά (κρυπτογράφηση, TLS, hashing κωδικών, least-privilege access, role-based controls, logging) και οργανωτικά μέτρα (πολιτικές, εμπιστευτικότητα διαχειριστών, εκπαίδευση). Για λόγους ασφάλειας, δεν δημοσιεύουμε πλήρη τεχνικά σχήματα βάσης ή API endpoints. Καμία μέθοδος δεν εγγυάται απόλυτη ασφάλεια· καταβάλουμε κάθε εύλογη προσπάθεια ελαχιστοποίησης κινδύνου.

Τα αρχεία καταγραφής (logs) είναι προσβάσιμα μόνο από εξουσιοδοτημένο προσωπικό, περιέχουν ελάχιστα αναγκαία στοιχεία (π.χ. IP, User-Agent) και τηρούνται για περιορισμένο χρόνο σύμφωνα με την αρχή ελαχιστοποίησης.

16. Δικαιώματα υποκειμένων

Έχεις δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, φορητότητας, εναντίωσης και ανάκλησης συγκατάθεσης (όπου εφαρμόζεται) χωρίς αναδρομική ισχύ. Αιτήματα στο t.believeinyourself@gmail.com. Απαντούμε εντός ενός μήνα (με δυνατότητα παράτασης όπου επιτρέπεται).

17. Ανηλίκοι

Η υπηρεσία δεν απευθύνεται σε άτομα κάτω των 16 ετών. Αν διαπιστωθεί συλλογή δεδομένων χωρίς κατάλληλη γονική συναίνεση, τα διαγράφουμε άμεσα.

18. Αλλαγές στην Πολιτική

Ενδέχεται να ενημερώνουμε την Πολιτική. Η ημερομηνία «Τελευταία ενημέρωση» αναθεωρείται και, όπου απαιτείται, ζητούμε εκ νέου συγκατάθεση.

Όροι & Προϋποθέσεις Χρήσης

1. Αποδοχή Όρων & Δήλωση Συγκατάθεσης

Με την πρόσβαση/χρήση του Ιστότοπου/Εφαρμογής συμφωνείς να δεσμεύεσαι από τους παρόντες Όρους και την Πολιτική Απορρήτου. Κατά τη σύνδεση εμφανίζεται δήλωση αποδοχής που περιλαμβάνει ρητή αναφορά στην επεξεργασία δεδομένων υγείας· με την επιλογή «Αποδέχομαι» δηλώνεις ρητή συγκατάθεση για την επεξεργασία αυτών, αποκλειστικά για σκοπούς παροχής υπηρεσιών. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε χωρίς αναδρομική ισχύ.

2. Περιγραφή Υπηρεσίας

Παρέχουμε διαδικτυακή πλατφόρμα υποστήριξης/οργάνωσης διατροφικών υπηρεσιών. Οι χρήστες CLIENT βλέπουν τον προσωπικό τους φάκελο (Δίαιτες/Μετρήσεις/Φωτογραφίες). Μόνο Admins ανεβάζουν/τροποποιούν περιεχόμενο κατ’ εντολή πελάτη.

3. Λογαριασμοί & Ασφάλεια

  • Ο λογαριασμός δημιουργείται από Διαχειριστή, με email ως μοναδικό αναγνωριστικό.
  • Στην πρώτη είσοδο ορίζεις προσωπικό κωδικό (αποθήκευση κρυπτογραφημένη).
  • Αν ξεχάσεις κωδικό, ενημερώνεις Διαχειριστή για επαναφορά (διαγραφή παλιού hash και ρύθμιση νέου).
  • Είσαι υπεύθυνος για τη μυστικότητα των διαπιστευτηρίων και την άμεση ειδοποίηση για μη εξουσιοδοτημένη χρήση.

4. Τοποθεσίες & Αποθήκευση δεδομένων

Με τη χρήση της υπηρεσίας αποδέχεσαι ότι τα δεδομένα σου αποθηκεύονται/επεξεργάζονται από τους παρόχους που αναφέρονται στην Πολιτική Απορρήτου, συγκεκριμένα: Supabase (βάση δεδομένων σε AWS eu-central-1) και Backblaze B2 (file storage σε ιδιωτικό bucket εντός ΕΕ), καθώς και Netlify για φόρμες/hosting. Όπου απαιτείται, εφαρμόζονται DPAs/SCCs και τεχνικά/οργανωτικά μέτρα ασφάλειας.

5. Αποδεκτή Χρήση

  • Απαγορεύεται μη εξουσιοδοτημένη πρόσβαση/παράκαμψη ελέγχων, σάρωση ευπαθειών, κακόβουλη χρήση.
  • Απαγορεύεται αντιγραφή/αναδιανομή περιεχομένου τρίτων χωρίς άδεια.
  • Απαγορεύεται χρήση για παράνομες/βλαπτικές ενέργειες ή DoS.
  • Απαγορεύεται προσπάθεια εξαγωγής/αποκρυπτογράφησης κώδικα/λογικής ασφαλείας.

6. Περιεχόμενο & Δικαιώματα

Ο φάκελος πελάτη παρέχεται για προσωπική χρήση. Δεν επιτρέπεται δημοσίευση/διαμοιρασμός χωρίς άδεια. Πνευματικά δικαιώματα για κείμενα/λογότυπα/μέρος πολυμέσων ανήκουν σε εμάς. Υλικό τρίτων χρησιμοποιείται με τις σχετικές άδειες/αποδόσεις (βλ. Πολιτική §14).

7. Υπηρεσίες τρίτων

Η χρήση Google Maps, Netlify, Supabase και Backblaze B2 διέπεται επιπλέον από τους όρους/πολιτικές των αντίστοιχων παρόχων.

8. Ιατρική αποποίηση ευθύνης

Οι παρεχόμενες πληροφορίες/υλικό δεν αποτελούν ιατρική διάγνωση ή θεραπεία και δεν υποκαθιστούν ιατρική γνωμάτευση. Συμβουλεύσου τον θεράποντα ιατρό πριν από ουσιώδεις αλλαγές, ειδικά αν υφίσταται ιατρικό ιστορικό.

9. Διαθεσιμότητα υπηρεσίας

Καταβάλλουμε εύλογες προσπάθειες για απρόσκοπτη λειτουργία, χωρίς εγγύηση αδιάλειπτης διαθεσιμότητας. Διατηρούμε δικαίωμα τροποποίησης/αναστολής λειτουργιών για συντήρηση/ασφάλεια.

10. Περιορισμός ευθύνης

Στο μέγιστο επιτρεπτό από τον νόμο βαθμό, δεν ευθυνόμαστε για έμμεσες, παρεπόμενες ή αποθετικές ζημίες από χρήση/αδυναμία χρήσης. Τίποτε δεν περιορίζει ευθύνη που δεν μπορεί να περιοριστεί από τον νόμο.

11. Αποζημίωση

Συμφωνείς να αποζημιώσεις την Εταιρεία για αξιώσεις/ζημίες/δαπάνες (συμπερ. εύλογων νομικών αμοιβών) από παραβίαση των Όρων ή κατάχρηση της υπηρεσίας.

12. Τερματισμός

Διατηρούμε δικαίωμα άμεσης αναστολής/διακοπής πρόσβασης για παραβίαση Όρων, κινδύνους ασφάλειας ή κατά νόμο απαίτηση. Μπορείς να ζητήσεις διαγραφή λογαριασμού ανά πάσα στιγμή.

13. Τροποποιήσεις Όρων

Μπορούμε να ενημερώνουμε τους Όρους. Η συνέχιση χρήσης μετά την ανάρτηση νέας έκδοσης συνιστά αποδοχή αυτής.

14. Εφαρμοστέο δίκαιο & δικαιοδοσία

Οι Όροι διέπονται από το ελληνικό δίκαιο. Αρμόδια τα Δικαστήρια Αθηνών, εκτός αν ορίζεται διαφορετικά από αναγκαστικό δίκαιο.

15. Επικοινωνία

Για ερωτήσεις επί των Όρων ή θεμάτων απορρήτου: t.believeinyourself@gmail.com.

Παράρτημα: Πίνακας Αντιστοίχισης Δεδομένων (Data Map)

ΚατηγορίαΠαράδειγμα περιεχομένουΣκοπόςΔιατήρησηΠαραλήπτες
ΛογαριασμόςΟνοματεπώνυμο, email, τηλέφωνο, κρυπτογραφημένος κωδικόςΤαυτοποίηση & πρόσβασηΔιάρκεια σχέσης + έως 5 έτηSupabase (DB hosting), Εσωτερικά (Admins), IT support
Φάκελος πελάτηΔίαιτες, Μετρήσεις, Φωτογραφίες προόδουΠαροχή υπηρεσίαςΔιάρκεια σχέσης + έως 5 έτηBackblaze B2 (file storage – ΕΕ), Εσωτερικά
ΦόρμαΟνοματεπώνυμο, τηλέφωνο, μήνυμα, IP/μεταδεδομέναΑπάντηση αιτήματος/ραντεβούΈως 12 μήνεςNetlify (processor), Εσωτερικά
ΤεχνικάIP/User-Agent, JWT/cookies, logs, signed URLsΑσφάλεια/λειτουργίαΈως 12 μήνεςΕσωτερικά, πάροχοι hosting/ασφάλειας

Σημείωση ασφαλείας

Για την προστασία του συστήματος και των υποκειμένων, δεν δημοσιεύονται ακριβή τεχνικά σχήματα βάσης(ονόματα πινάκων/πεδίων) ή ρητά API endpoints. Οι παρούσες πληροφορίες επαρκούν για διαφάνεια, συμμόρφωση και άσκηση δικαιωμάτων χωρίς να θίγεται η ασφάλεια.