Η παρούσα Πολιτική Απορρήτου εξηγεί ποια προσωπικά δεδομένα συλλέγει η υπηρεσία CatalogAI (catalogai.gr / app.catalogai.gr / api.catalogai.gr), για ποιους σκοπούς, με ποια νομική βάση, με ποιους τρίτους τα μοιραζόμαστε και ποια είναι τα δικαιώματά σας. Συμπληρώνεται από την Πολιτική Cookies και τους Όρους Χρήσης.

1. Ποιοι είμαστε (Υπεύθυνος Επεξεργασίας)

Η υπηρεσία CatalogAI παρέχεται από:

• Παναγιώτα Φραγκούδη του Θωμά
• Έδρα: Γραβιάς 5, 54645 Θεσσαλονίκη
• Α.Φ.Μ.: 144458490 · ΔΟΥ Καλαμαριάς
• Email: info@catalogai.gr

Λόγω του μεγέθους της επιχείρησης δεν υφίσταται υποχρέωση ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO). Για κάθε ζήτημα προστασίας προσωπικών δεδομένων επικοινωνείτε στην παραπάνω διεύθυνση email.

2. Δεδομένα που συλλέγουμε

α) Δεδομένα που μας παρέχετε εσείς

• Λογαριασμός: email, κωδικός πρόσβασης (αποθηκευμένος ως κρυπτογραφημένο hash — δεν τον γνωρίζουμε).
• Στοιχεία επιχείρησης: επωνυμία, ΑΦΜ, διεύθυνση, τηλέφωνο επικοινωνίας — όταν τα δηλώνετε για τιμολόγηση.
• Στοιχεία πληρωμής: τα τελευταία 4 ψηφία της κάρτας, ημερομηνία λήξης, brand (Visa/MC). Πλήρης αριθμός κάρτας ΔΕΝ αποθηκεύεται στα συστήματά μας — διαχειρίζεται από τον επεξεργαστή πληρωμών Viva Wallet.
• Δεδομένα σύνδεσης e-shop: URL, API keys/tokens του δικού σας shop (αποθηκευμένα κρυπτογραφημένα με DataProtection).
• Δεδομένα ERP: Pylon/SoftOne credentials (αποθηκευμένα κρυπτογραφημένα).
• Μηνύματα υποστήριξης: όταν επικοινωνείτε με το support chat ή τη φόρμα επικοινωνίας.

β) Δεδομένα που συλλέγονται αυτόματα κατά τη χρήση

• Δεδομένα συνεδρίας: cookies σύνδεσης (.AspNetCore.Cookies), CSRF token.
• Δεδομένα ασφαλείας: διεύθυνση IP, user agent, ώρα σύνδεσης, attempts κωδικού — για ανίχνευση brute-force.
• Δεδομένα χρήσης: ιστορικό αναζητήσεων προϊόντων, προϊόντα που αποδεχθήκατε στον κατάλογό σας, παραγγελίες, χρήση credits.
• Δεδομένα στατιστικών / μάρκετινγκ (consent-gated): Google Analytics 4, Meta Pixel. Βλ. Πολιτική Cookies για πλήρη λίστα.
• Δεδομένα παρακολούθησης email: όταν σας στέλνουμε emails (newsletters, campaign updates, συναλλακτικές ειδοποιήσεις) μπορεί να καταγράφεται αν ανοίξατε το μήνυμα (μέσω invisible pixel) και ποια links πατήσατε (μέσω wrapping URLs στο subdomain links.catalogai.gr που ανακατευθύνει στον τελικό προορισμό). Στόχος: μέτρηση αποτελεσματικότητας επικοινωνίας. Διαχειρίζεται από τον επεξεργαστή πληρωμών email (Resend Inc.).

γ) Δεδομένα από τρίτες πηγές

• OAuth providers (Google, Microsoft): email + όνομα + avatar URL όταν συνδέεστε με Google/Microsoft Sign-In.
• Δημόσιες βάσεις προϊόντων (Icecat, Skroutz, GS1, Go-UPC, EAN-Search): δημόσια διαθέσιμα στοιχεία προϊόντων (τίτλοι, εικόνες, χαρακτηριστικά) που συλλέγουμε για να εμπλουτίσουμε τον κατάλογό σας.

3. Σκοποί επεξεργασίας & νομική βάση

Σκοπός	Νομική βάση (Άρθρο 6 GDPR)
Παροχή της υπηρεσίας (signup, login, σύνδεση e-shop, AI επεξεργασία, βιωσιμότητα)	στ. β' — Εκτέλεση Σύμβασης
Τιμολόγηση, λογιστική, AADE myDATA	στ. γ' — Νομική υποχρέωση (Ν. 4308/2014, Κ.Φ.Δ.)
Ασφάλεια συστήματος (anti-fraud, brute-force, audit log)	στ. στ' — Έννομο συμφέρον
Βελτίωση υπηρεσίας (analytics, αναφορές χρήσης)	στ. α' — Συγκατάθεση (μέσω cookie banner)
Μάρκετινγκ & στόχευση διαφημίσεων (Meta Pixel, GA4 conversions)	στ. α' — Συγκατάθεση
Επικοινωνία (newsletters, ενημερώσεις προϊόντος)	στ. α' — Συγκατάθεση (opt-in)

4. Αποδέκτες δεδομένων — Εκτελούντες την επεξεργασία

Δεν πωλούμε προσωπικά δεδομένα. Μοιραζόμαστε επιλεκτικά δεδομένα με τους ακόλουθους εκτελούντες την επεξεργασία, βάσει εκτελεστικών συμβάσεων Άρθρου 28 GDPR:

Πάροχος	Σκοπός	Δικαιοδοσία
Hetzner Online GmbH	Hosting διακομιστών, αποθήκευση δεδομένων, backups	Γερμανία / Φινλανδία (ΕΕ)
Viva Wallet Holdings Α.Ε.	Επεξεργασία πληρωμών με κάρτα	Ελλάδα (ΕΕ)
Resend Inc.	Αποστολή transactional & campaign email, μέτρηση open/click rates (μέσω invisible pixel + wrapped URLs στο links.catalogai.gr)	ΗΠΑ (SCCs)
Google Ireland Limited	Generative AI (Gemini API) για περιγραφές προϊόντων · Analytics & GTM · OAuth Sign-In	Ιρλανδία / ΗΠΑ (SCCs + DPF)
Meta Platforms Ireland Limited	Meta Pixel — μέτρηση καμπανιών & retargeting (μόνο με συγκατάθεση)	Ιρλανδία / ΗΠΑ (SCCs + DPF)
Microsoft Ireland Operations Ltd	Microsoft OAuth Sign-In	Ιρλανδία (ΕΕ)
ScrapingBee SAS	Web scraping public catalogue data	Γαλλία (ΕΕ)
Black Forest Labs GmbH	Επεξεργασία εικόνων (Flux models) — όταν χρησιμοποιείται	Γερμανία (ΕΕ)
Sentry / Functional Software Inc.	Παρακολούθηση σφαλμάτων (error monitoring)	ΕΕ (data residency)
ΑΑΔΕ (myDATA)	Διαβίβαση φορολογικών παραστατικών μέσω παρόχου	Ελλάδα

5. Διαβίβαση εκτός ΕΟΧ

Όπου διαβιβάζουμε δεδομένα σε τρίτες χώρες (κυρίως ΗΠΑ μέσω Google, Meta, Resend), εφαρμόζουμε:

• Τυποποιημένες Συμβατικές Ρήτρες (SCCs) εγκεκριμένες από την Ευρωπαϊκή Επιτροπή (Απόφαση 2021/914).
• EU-US Data Privacy Framework (DPF) όπου ο πάροχος είναι πιστοποιημένος.
• Τεχνικά & οργανωτικά μέτρα (κρυπτογράφηση κατά τη μεταφορά & ηρεμία, pseudonymisation).

6. Χρόνος διατήρησης

Κατηγορία δεδομένων	Διατήρηση
Στοιχεία λογαριασμού & επιχείρησης	Όσο ισχύει ο λογαριασμός + 12 μήνες μετά την ακύρωση
Φορολογικά παραστατικά / λογιστικά	5 έτη (νομική υποχρέωση Κώδικα Φορολογικής Διαδικασίας)
Audit logs ασφαλείας	12 μήνες
Cookies analytics (GA4)	14 μήνες (default GA4 retention)
Cookies Meta Pixel	90 ημέρες
Δεδομένα backups	30 ημέρες (rolling)

Η διαγραφή λογαριασμού από /profile διαγράφει όλα τα προσωπικά δεδομένα εκτός αυτών που οφείλουμε να διατηρήσουμε για νομικούς λόγους.

7. Ασφάλεια

Εφαρμόζουμε κατάλληλα τεχνικά και οργανωτικά μέτρα:

• HTTPS (TLS 1.3) σε όλη την κίνηση.
• Κρυπτογραφημένα passwords (ASP.NET Core Identity hashing).
• Δίοδοι API με Bearer JWT + antiforgery tokens.
• Κρυπτογραφημένη αποθήκευση API keys/secrets (DataProtection AES-256).
• Two-factor authentication (TOTP, RFC 6238).
• Σύνδεση μόνο από EU IP εφόσον ο χρήστης το επιλέξει.
• Daily backups σε ξεχωριστή υποδομή Hetzner.
• Email alerts για νέες συνδέσεις από άγνωστες συσκευές.

8. Τα δικαιώματά σας (GDPR)

Έχετε τα παρακάτω δικαιώματα σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679:

• Πρόσβαση (Άρθρο 15): να ζητήσετε αντίγραφο των δεδομένων σας.
• Διόρθωση (Άρθρο 16): να ζητήσετε ενημέρωση ανακριβών στοιχείων.
• Διαγραφή (Άρθρο 17 — «δικαίωμα στη λήθη»): απευθείας από το /profile ή κατόπιν αιτήματος.
• Περιορισμός επεξεργασίας (Άρθρο 18).
• Φορητότητα (Άρθρο 20): εξαγωγή δεδομένων σε μηχανικώς αναγνώσιμη μορφή (JSON).
• Εναντίωση (Άρθρο 21) σε επεξεργασία βάσει εννόμου συμφέροντος.
• Ανάκληση συγκατάθεσης ανά πάσα στιγμή — π.χ. διαγραφή του catalogai_consent από τις ρυθμίσεις του browser σας ή με αίτημα σε εμάς.
• Καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Κηφισίας 1-3, 11523 Αθήνα, dpa.gr).

Για άσκηση οποιουδήποτε δικαιώματος, στείλτε email στο info@catalogai.gr. Απαντάμε εντός 30 ημερών.

9. Αυτοματοποιημένη λήψη αποφάσεων

Χρησιμοποιούμε AI μοντέλα (Google Gemini) για να γεννούν περιγραφές, χαρακτηριστικά και FAQ προϊόντων. Αυτή η επεξεργασία δεν παράγει νομικές συνέπειες για εσάς και το αποτέλεσμα μπορείτε πάντα να το επεξεργαστείτε χειροκίνητα. Δεν χρησιμοποιούμε αυτοματοποιημένο profiling για προσφορές ή τιμολόγηση.

10. Παιδιά

Η υπηρεσία απευθύνεται σε επιχειρήσεις και επαγγελματίες (B2B). Δεν συλλέγουμε σκόπιμα δεδομένα από άτομα κάτω των 16 ετών. Εάν διαπιστώσετε τέτοια καταχώρηση, ενημερώστε μας άμεσα στο info@catalogai.gr.

11. Cookies & παρόμοιες τεχνολογίες

Για αναλυτική περιγραφή των cookies, localStorage και technologies tracking, δείτε την Πολιτική Cookies.

12. Αλλαγές στην παρούσα πολιτική

Η παρούσα πολιτική ενδέχεται να ενημερώνεται. Σε ουσιώδεις αλλαγές θα ενημερώνεστε μέσω email ή banner στην εφαρμογή. Η ημερομηνία τελευταίας ενημέρωσης εμφανίζεται στο κάτω μέρος.

13. Επικοινωνία

Για οποιαδήποτε ερώτηση σχετικά με την παρούσα πολιτική ή την προστασία προσωπικών δεδομένων: info@catalogai.gr.