Πολιτική Απορρήτου

α) Δεδομένα Πελάτη (οργανισμός)

• Δεδομένα λογαριασμού — η διεύθυνση email του ορισμένου υπευθύνου, το όνομα του οργανισμού.
• Δημόσιο κλειδί κρυπτογράφησης — δημιουργείται και αποθηκεύεται για την κρυπτογράφηση E2E των αναφορών.
• Επικοινωνίες — το περιεχόμενο email που αποστέλλονται σε εμάς, αιτήματα υποστήριξης.

β) Δεδομένα Πληροφοριοδότη

γ) Δεδομένα που συλλέγονται αυτόματα (μόνο στο dashboard)

• Τεχνικά δεδομένα — διεύθυνση IP, τύπος περιηγητή (μόνο για αυθεντικοποιημένους χρήστες στο dashboard).
• Cookies συνεδρίας — σύμφωνα με την Πολιτική Cookies.

• Παροχή Υπηρεσιών — δημιουργία και διαχείριση λογαριασμού, λειτουργία καναλιού αναφοράς, κρυπτογράφηση και αποθήκευση αναφορών.
• Επικοινωνίες υπηρεσίας — ειδοποιήσεις σχετικά με νέες αναφορές, λήξη νομικών προθεσμιών, ενημερώσεις Πλατφόρμας.
• Ασφάλεια — προστασία υποδομής, ανίχνευση κατάχρησης, πρόληψη μη εξουσιοδοτημένης πρόσβασης.
• Νομική συμμόρφωση — εκπλήρωση νομικών υποχρεώσεων (Οδηγία (ΕΕ) 2019/1937, GDPR, φορολογική νομοθεσία).

Δεν πωλούμε, ενοικιάζουμε ούτε μοιραζόμαστε τα προσωπικά δεδομένα των χρηστών με τρίτους για σκοπούς μάρκετινγκ.

Επεξεργαζόμαστε προσωπικά δεδομένα βάσει των ακόλουθων νομικών θεμελίων (αρ. 6 GDPR):

• Δεδομένα λογαριασμού — καθ' όλη τη διάρκεια ύπαρξης του λογαριασμού και έως 30 ημέρες μετά την αίτηση διαγραφής.
• Κρυπτογραφημένες αναφορές — σύμφωνα με την πολιτική διατήρησης του Πελάτη και τις υποχρεώσεις της Οδηγίας (ΕΕ) 2019/1937 (ελάχιστο 5 έτη από την ημερομηνία της αναφοράς).
• Τεχνικά δεδομένα (dashboard) — έως 12 μήνες από τη συλλογή.
• Επικοινωνίες και αιτήματα υποστήριξης — έως 3 έτη από την τελευταία επικοινωνία.
• Δεδομένα τιμολόγησης — 10 έτη σύμφωνα με τη φορολογική νομοθεσία της Ρουμανίας (Νόμος αρ. 82/1991).

Τα προσωπικά δεδομένα ενδέχεται να προσπελάζονται ή να υποβάλλονται σε επεξεργασία από τους ακόλουθους υπο-εκτελούντες:

Για τις μεταφορές δεδομένων εκτός ΕΟΧ, βασιζόμαστε σε Τυποποιημένες Συμβατικές Ρήτρες (SCCs) εγκεκριμένες από την Ευρωπαϊκή Επιτροπή.

Σημαντικό: Το περιεχόμενο των αναφορών είναι κρυπτογραφημένο E2E και δεν είναι προσβάσιμο σε κανέναν υπο-εκτελούντα.

Σύμφωνα με τον GDPR, δικαιούστε τα ακόλουθα δικαιώματα:

• Δικαίωμα πρόσβασης (αρ. 15) — λήψη αντιγράφου των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία.
• Δικαίωμα διόρθωσης (αρ. 16) — διόρθωση ανακριβών ή ελλιπών δεδομένων.
• Δικαίωμα διαγραφής (αρ. 17) — διαγραφή δεδομένων υπό τις προϋποθέσεις του νόμου.
• Δικαίωμα περιορισμού (αρ. 18) — περιορισμός της επεξεργασίας σε ορισμένες περιπτώσεις.
• Δικαίωμα φορητότητας (αρ. 20) — λήψη δεδομένων σε δομημένη μορφή (JSON/CSV).
• Δικαίωμα εναντίωσης (αρ. 21) — εναντίωση στην επεξεργασία βάσει εννόμου συμφέροντος.
• Δικαίωμα ανάκλησης συγκατάθεσης (αρ. 7) — ανάκληση ανά πάσα στιγμή.
• Δικαίωμα μη υπαγωγής σε αυτοματοποιημένη απόφαση (αρ. 22) — συμπεριλαμβανομένης της κατάρτισης προφίλ.

Για την άσκηση των δικαιωμάτων σας, στείλτε email στο contact@whistle-box.eu με θέμα «Αίτημα GDPR WhistleBox».

Εφαρμόζουμε κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων:

• Κρυπτογράφηση end-to-end (E2E) του περιεχομένου αναφορών.
• Κρυπτογράφηση κατά τη μετάδοση (TLS 1.2+) για όλες τις επικοινωνίες με τον διακομιστή.
• Οι κωδικοί πρόσβασης αποθηκεύονται με ασφαλείς αλγόριθμους hashing (bcrypt με salt).
• Περιορισμένη πρόσβαση σε βάσεις δεδομένων και υποδομή, βάσει της αρχής του ελάχιστου προνομίου.
• Διακομιστές στην Ευρωπαϊκή Ένωση (Hetzner Online GmbH, Γερμανία).
• Τακτικά κρυπτογραφημένα αντίγραφα ασφαλείας.
• Συνεχής παρακολούθηση πρόσβασης και ανωμαλιών.
• Αυθεντικοποίηση μέσω token JWT περιορισμένης διάρκειας.
• Οι σελίδες αναφοράς (/r/) δεν ορίζουν cookies και δεν συλλέγουν δεδομένα ταυτοποίησης.

Ο Διαχειριστής μπορεί να ενημερώνει αυτήν την πολιτική περιοδικά. Οι Χρήστες θα ειδοποιούνται μέσω email ή/και ανακοίνωσης στην Πλατφόρμα τουλάχιστον 15 ημέρες πριν από την έναρξη ισχύος σημαντικών αλλαγών.