Πολιτική Απορρήτου

Η παρούσα Πολιτική Απορρήτου («Πολιτική») περιγράφει πώς το MyCashBin συλλέγει, χρησιμοποιεί, αποθηκεύει και προστατεύει τα προσωπικά σας δεδομένα όταν χρησιμοποιείτε την εφαρμογή για κινητά (iOS/Android) και την υπηρεσία web (συλλογικά «η Υπηρεσία»). Η Πολιτική αποτελεί αναπόσπαστο μέρος των Όρων Χρήσης. Είμαστε δεσμευμένοι στην προστασία των δεδομένων σας σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 — GDPR) και την ισχύουσα ελληνική νομοθεσία (ν. 4624/2019).

1. Υπεύθυνος Επεξεργασίας

Υπεύθυνος επεξεργασίας των δεδομένων σας είναι η εταιρεία:

• WEBRISE SINGLE MEMBER P.C. (Μονοπρόσωπη Ι.Κ.Ε.)
• Έδρα: Λεωφόρος Συγγρού 72, 11742 Αθήνα, Ελλάδα
• Γ.Ε.ΜΗ.: 187035001000
• Α.Φ.Μ.: 802996785
• Email επικοινωνίας: [email protected]

Η Webrise λειτουργεί την υπηρεσία MyCashBin και είναι ο υπεύθυνος επεξεργασίας υπό την έννοια του Άρθρου 4(7) GDPR. Δεσμευόμαστε να απαντήσουμε στα αιτήματά σας εντός των προθεσμιών που ορίζει ο GDPR (κατά κανόνα έως 30 ημέρες).

Υπεύθυνος Προστασίας Δεδομένων (DPO): Με βάση την παρούσα φύση και κλίμακα της Υπηρεσίας, η εταιρεία εκτιμά ότι δεν υπέχει υποχρέωση ορισμού DPO σύμφωνα με το Άρθρο 37 GDPR. Για κάθε ζήτημα προστασίας δεδομένων μπορείτε να απευθύνεστε στο [email protected].

2. Δεδομένα που συλλέγουμε

• Στοιχεία λογαριασμού (υποχρεωτικά): email, όνομα, κρυπτογραφημένος κωδικός (hash με bcrypt — ο πραγματικός κωδικός δεν αποθηκεύεται και δεν μπορούμε να τον ανακτήσουμε).
• Στοιχεία προφίλ (προαιρετικά): γλώσσα, νόμισμα, εικόνα προφίλ.
• Οικονομικά δεδομένα που εισάγετε εσείς: πορτοφόλια, συναλλαγές (ποσό, κατηγορία, ημερομηνία, σημείωση), κατηγορίες, προϋπολογισμοί, ετικέτες, αποδείκτες/εικόνες συναλλαγών (αν τις προσθέσετε χειροκίνητα).
• Τεχνικά δεδομένα: διεύθυνση IP, τύπος και μοντέλο συσκευής, λειτουργικό σύστημα, έκδοση εφαρμογής, ημερομηνία/ώρα συνδέσεων, βασικά logs σφαλμάτων — αποκλειστικά για λόγους ασφαλείας, σταθερότητας και διάγνωσης σφαλμάτων.
• Push notifications: token συσκευής (μόνο εφόσον δώσετε άδεια στο λειτουργικό σας — διατηρείται όσο η συσκευή είναι ενεργή στον λογαριασμό σας και διαγράφεται αυτόματα με αποσύνδεση, απεγκατάσταση ή ανάκληση της άδειας στο επίπεδο OS).
• Στοιχεία συνδρομής: πληροφορίες αγοράς από Apple App Store ή Google Play μέσω του παρόχου διαχείρισης συνδρομών RevenueCat (App User ID, status συνδρομής, plan, ημερομηνίες ανανέωσης). Δεν συλλέγουμε και δεν αποθηκεύουμε στοιχεία πιστωτικής κάρτας ή τραπεζικού λογαριασμού.

3. Τι ΔΕΝ συλλέγουμε / κάνουμε

Για διαφάνεια, δηλώνουμε ρητά ότι:

• Δεν συλλέγουμε δεδομένα τοποθεσίας (GPS).
• Δεν πουλάμε, δεν ενοικιάζουμε και δεν εμπορευόμαστε τα προσωπικά σας δεδομένα σε τρίτους.
• Δεν προβαίνουμε σε αυτοματοποιημένη λήψη αποφάσεων ή profiling με νομικές ή ομοίως σημαντικές συνέπειες για εσάς (Άρθρο 22 GDPR). Οι στατιστικές αναλύσεις εξόδων εντός της εφαρμογής εμφανίζονται αποκλειστικά σε εσάς και δεν χρησιμοποιούνται για βαθμολόγηση, αξιολόγηση πιστοληπτικής ικανότητας ή οποιαδήποτε άλλη αυτόματη απόφαση που σας αφορά.

Συμβατική απαίτηση παροχής δεδομένων (Άρθρο 13(2)(ε) GDPR): η παροχή των υποχρεωτικών στοιχείων λογαριασμού (email, όνομα, κωδικός) είναι απαραίτητη για τη σύναψη και εκτέλεση της σύμβασης παροχής της Υπηρεσίας. Αν δεν τα παρέχετε, δεν μπορούμε να σας παρέχουμε λογαριασμό. Όλα τα υπόλοιπα στοιχεία (π.χ. εικόνα προφίλ, push token) είναι προαιρετικά και η μη παροχή τους δεν επηρεάζει τη βασική λειτουργία της Υπηρεσίας.

4. Σκοπός επεξεργασίας

• Παροχή, λειτουργία και συντήρηση της Υπηρεσίας.
• Δημιουργία και διαχείριση του λογαριασμού και της συνδρομής σας.
• Αποστολή λειτουργικών ειδοποιήσεων (transactional emails, push notifications σχετικά με συναλλαγές, προϋπολογισμούς, υπενθυμίσεις).
• Επικοινωνία υποστήριξης χρηστών.
• Βελτίωση της Υπηρεσίας, διάγνωση και επίλυση σφαλμάτων (κατά κανόνα με ανωνυμοποιημένα δεδομένα).
• Πρόληψη απάτης, κατάχρησης και παράνομης χρήσης (ασφάλεια).
• Συμμόρφωση με νομικές, λογιστικές και φορολογικές υποχρεώσεις, όπου εφαρμόζεται.

5. Νομική βάση επεξεργασίας

Επεξεργαζόμαστε τα δεδομένα σας με βάση τα ακόλουθα νομικά ερείσματα του άρθρου 6 GDPR:

• Άρθρο 6(1)(β): εκτέλεση της σύμβασης μεταξύ μας (παροχή της Υπηρεσίας, διαχείριση συνδρομής).
• Άρθρο 6(1)(α): η συγκατάθεσή σας (π.χ. push notifications, προαιρετικές marketing επικοινωνίες).
• Άρθρο 6(1)(στ): έννομο συμφέρον μας στην ασφάλεια του συστήματος, την πρόληψη κατάχρησης, τη διάγνωση σφαλμάτων και τη βελτίωση της Υπηρεσίας.
• Άρθρο 6(1)(γ): συμμόρφωση με νομικές υποχρεώσεις.

6. Marketing επικοινωνίες

Ενδέχεται να σας στείλουμε ενημερωτικά emails για νέα χαρακτηριστικά, βελτιώσεις ή προσφορές συνδρομής, μόνο εφόσον έχετε δώσει τη συγκατάθεσή σας ή στο πλαίσιο της υφιστάμενης σχέσης ως χρήστη της Υπηρεσίας. Μπορείτε να ζητήσετε να σταματήσετε να λαμβάνετε τέτοια emails ανά πάσα στιγμή πατώντας τον σύνδεσμο «unsubscribe» στο email ή επικοινωνώντας μαζί μας στο [email protected]. Τα λειτουργικά (transactional) emails (π.χ. επαναφορά κωδικού, αποδεικτικά συνδρομής) δεν μπορούν να απενεργοποιηθούν εφόσον διατηρείτε ενεργό λογαριασμό, καθώς είναι απαραίτητα για τη λειτουργία της Υπηρεσίας.

7. Αποδέκτες — Εκτελούντες την επεξεργασία

Δεν πουλάμε τα δεδομένα σας. Τα μοιραζόμαστε μόνο με αξιόπιστους παρόχους υπηρεσιών («εκτελούντες την επεξεργασία») που λειτουργούν αποκλειστικά κατ' εντολή μας, βάσει γραπτής σύμβασης που τηρεί τις απαιτήσεις του άρθρου 28 GDPR:

• MongoDB Atlas (MongoDB, Inc.) — φιλοξενία βάσης δεδομένων, region εντός ΕΕ.
• RevenueCat, Inc. — διαχείριση και επαλήθευση συνδρομών (in-app purchases).
• Postmark (ActiveCampaign) — αποστολή transactional emails.
• Apple Push Notification Service (Apple Inc.) — διανομή push notifications σε iOS.
• Firebase Cloud Messaging (Google LLC) — διανομή push notifications σε Android.
• Πάροχος cloud hosting για τη φιλοξενία της εφαρμογής (server infrastructure, region εντός ΕΕ όπου είναι εφικτό).

Ενδέχεται επίσης να αποκαλύψουμε δεδομένα όταν αυτό απαιτείται από νόμο, δικαστική απόφαση ή αίτημα αρμόδιας αρχής, ή για την προστασία των νόμιμων δικαιωμάτων μας.

8. Διεθνείς μεταφορές δεδομένων

Όπου είναι εφικτό, τα δεδομένα σας αποθηκεύονται και επεξεργάζονται εντός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Ορισμένοι από τους εκτελούντες την επεξεργασία μας (π.χ. RevenueCat, Apple, Google) εδρεύουν στις Η.Π.Α. Σε αυτές τις περιπτώσεις, η μεταφορά πραγματοποιείται με βάση τις κατάλληλες εγγυήσεις του άρθρου 46 GDPR — ιδίως μέσω των Τυποποιημένων Συμβατικών Ρητρών (Standard Contractual Clauses) που έχει εγκρίνει η Ευρωπαϊκή Επιτροπή, ή — όπου ο εκάστοτε πάροχος συμμετέχει και πιστοποιείται — βάσει του EU-US Data Privacy Framework.

9. Χρόνος διατήρησης

• Δεδομένα λογαριασμού και οικονομικά δεδομένα: όσο διαρκεί ο λογαριασμός σας.
• Διαγραφή λογαριασμού: τα ενεργά προσωπικά δεδομένα διαγράφονται ή ανωνυμοποιούνται εντός 30 ημερών από την υποβολή του αιτήματος, εκτός εάν η νομοθεσία επιβάλλει διατήρηση μεγαλύτερου χρόνου (π.χ. φορολογικά/λογιστικά παραστατικά: έως 5 έτη). Αντίγραφα ασφαλείας ενδέχεται να διατηρούνται για περιορισμένο διάστημα και διαγράφονται σύμφωνα με τον κύκλο διατήρησης backup.
• Λογαριασμοί χωρίς δραστηριότητα για διάστημα μεγαλύτερο των 24 μηνών ενδέχεται να διαγραφούν αυτόματα μετά από προειδοποίηση μέσω email.
• Τεχνικά logs ασφαλείας: έως 90 ημέρες.
• Παραστατικά συνδρομών (φορολογικοί λόγοι): έως 5 έτη.

10. Δικαιώματά σας (GDPR)

Έχετε τα ακόλουθα δικαιώματα ως υποκείμενο των δεδομένων:

• Πρόσβαση (άρθρο 15): ζητήστε αντίγραφο των δεδομένων σας μέσω της επιλογής «Εξαγωγή Δεδομένων» στις Ρυθμίσεις.
• Διόρθωση (άρθρο 16): επεξεργαστείτε τα στοιχεία σας οποτεδήποτε από την εφαρμογή.
• Διαγραφή / «δικαίωμα στη λήθη» (άρθρο 17): διαγράψτε τον λογαριασμό σας από τις Ρυθμίσεις ή ζητήστε διαγραφή στο [email protected].
• Περιορισμός επεξεργασίας (άρθρο 18).
• Φορητότητα δεδομένων (άρθρο 20): κατεβάστε τα δεδομένα σας σε δομημένο, μηχαναγνώσιμο format (JSON).
• Εναντίωση (άρθρο 21): έχετε δικαίωμα να αντιταχθείτε σε επεξεργασία βάσει εννόμου συμφέροντος ή για σκοπούς marketing.
• Ανάκληση συγκατάθεσης: ανά πάσα στιγμή, χωρίς να επηρεάζεται η νομιμότητα της προηγηθείσας επεξεργασίας.
• Καταγγελία σε εποπτική αρχή: έχετε δικαίωμα να υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Λεωφ. Κηφισίας 1-3, 11523 Αθήνα, τηλ. +30 210 6475600, www.dpa.gr) ή στην αντίστοιχη αρχή του κράτους-μέλους κατοικίας σας.

11. Ασφάλεια

Λαμβάνουμε εύλογα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων σας: κρυπτογράφηση κατά τη μεταφορά (TLS 1.2+ / HTTPS), αποθήκευση κωδικών hashed με bcrypt, JWT tokens με σύντομο χρόνο ζωής, rate limiting, τακτικά security updates στις βιβλιοθήκες, firewall και πρόσβαση στη βάση μόνο από εξουσιοδοτημένο προσωπικό. Παρότι εφαρμόζουμε υψηλά πρότυπα ασφαλείας, καμία μέθοδος μετάδοσης ή αποθήκευσης δεδομένων δεν είναι 100% ασφαλής και δεν μπορούμε να εγγυηθούμε απόλυτη ασφάλεια. Σε περίπτωση παραβίασης δεδομένων που ενέχει υψηλό κίνδυνο για τα δικαιώματά σας, θα σας ειδοποιήσουμε χωρίς αδικαιολόγητη καθυστέρηση σύμφωνα με τα άρθρα 33-34 GDPR.

12. Παιδιά

Η Υπηρεσία δεν απευθύνεται σε άτομα κάτω των 16 ετών. Δεν συλλέγουμε εν γνώσει μας προσωπικά δεδομένα από παιδιά κάτω των 16. Εάν διαπιστώσουμε ότι έχουμε συλλέξει δεδομένα ανηλίκου χωρίς έγκυρη γονική συγκατάθεση, θα τα διαγράψουμε άμεσα. Γονείς ή κηδεμόνες μπορούν να επικοινωνήσουν στο [email protected].

13. Cookies & τοπική αποθήκευση

Η web εφαρμογή χρησιμοποιεί μόνο τεχνικά απαραίτητα cookies και local/session storage (π.χ. session token, προτιμήσεις γλώσσας, θέμα). Δεν χρησιμοποιούμε cookies παρακολούθησης, analytics για διαφήμιση ή marketing cookies τρίτων. Η εφαρμογή για κινητά αποθηκεύει τοπικά μόνο τα δεδομένα που είναι απαραίτητα για τη λειτουργία (π.χ. auth token, cache).

14. Αλλαγές στην παρούσα Πολιτική

Ενδέχεται να ενημερώνουμε αυτή την Πολιτική κατά καιρούς για να αντικατοπτρίζει αλλαγές στην Υπηρεσία ή στη νομοθεσία. Σε περίπτωση ουσιωδών αλλαγών, θα σας ειδοποιήσουμε εντός της εφαρμογής ή μέσω email τουλάχιστον 30 ημέρες πριν τεθούν σε ισχύ. Η συνέχιση της χρήσης της Υπηρεσίας μετά την ισχύ των αλλαγών συνεπάγεται αποδοχή της αναθεωρημένης Πολιτικής.

15. Επικοινωνία

Για οποιοδήποτε ερώτημα, αίτημα ή καταγγελία σχετικά με τα προσωπικά σας δεδομένα, επικοινωνήστε μαζί μας στο [email protected]. Θα απαντήσουμε στο αίτημά σας εντός 30 ημερών (με δυνατότητα παράτασης κατά 60 επιπλέον ημέρες για περίπλοκα αιτήματα, σύμφωνα με το άρθρο 12 GDPR).