ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ NOUSGYM

Η προστασία των προσωπικών σας δεδομένων είναι υψίστης σημασίας για την εταιρεία μας, NOUSGYM EE (εφεξής «Εταιρεία»). Η παρούσα Πολιτική Απορρήτου εξηγεί τον τρόπο συλλογής, χρήσης, αποθήκευσης και προστασίας των προσωπικών σας δεδομένων κατά την επίσκεψη και χρήση της ιστοσελίδας μας www.nousgym.gr καθώς και της εφαρμογής μας NousGym (iOS/Android και web app) (εφεξής «πλατφόρμες»).

ΒΑΣΙΚΕΣ ΠΛΗΡΟΦΟΡΙΕΣ

1.1 Ρόλοι Επεξεργασίας

Για τους σκοπούς του ΓΚΠΔ (GDPR), το NousGym ενεργεί ως “Υπεύθυνος Επεξεργασίας” όσον αφορά:

τη δημιουργία και διαχείριση λογαριασμού χρήστη,
τη συλλογή και επεξεργασία απαντήσεων στα ερωτηματολόγια αντιστοίχισης (matching) αποκλειστικά για την παροχή της υπηρεσίας αντιστοίχισης,
τη λειτουργικότητα που αφορά τις πλατφόρμες (ημερολόγιο, ειδοποιήσεις, τεχνικά και λειτουργικά δεδομένα),
τη διενέργεια πληρωμών μέσω ενσωμάτωσης παρόχου, στο μέτρο που απαιτείται για την εκτέλεση της συναλλαγής και την υποστήριξη πελατών,
την ασφάλεια συστημάτων και την εκπλήρωση νόμιμων υποχρεώσεων συμμόρφωσης.

Οι συνεργαζόμενοι ψυχολόγοι (εφεξής καλούμενοι «Συνεργάτες») με τους οποίους σας αντιστοιχίζουμε μέσω της πλατφόρμας, ενεργούν ως ανεξάρτητοι “Υπεύθυνοι Επεξεργασίας” αναφορικά με τα δεδομένα που προκύπτουν στο πλαίσιο της θεραπευτικής σχέσης (π.χ. στοιχεία συνεδριών, κλινικές σημειώσεις, έκδοση αποδείξεων στο όνομά τους). Διαχειρίζονται τα δεδομένα αυτά υπό τη δική τους επαγγελματική και νομική ευθύνη, σύμφωνα με το εφαρμοστέο δίκαιο και τους κανόνες επαγγελματικού απορρήτου που διέπονται από τις αρμόδιες αρχές.

Οι τρίτοι πάροχοι που χρησιμοποιούμε για την υποστήριξη των υπηρεσιών (ενδεικτικά: πάροχος βιντεοκλήσεων, πάροχος πληρωμών, πάροχος τιμολόγησης) ενεργούν ως «Εκτελούντες την Επεξεργασία» και ως ανεξάρτητοι Υπεύθυνοι για συγκεκριμένους σκοπούς, όπως αναλύεται σε επόμενα κεφάλαια.

1.2 Εδαφικό Πεδίο Εφαρμογής

Η επεξεργασία προσωπικών δεδομένων λαμβάνει χώρα στην Ελλάδα και διέπεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και τον Ν. 4624/2019. Εάν χρησιμοποιούνται πάροχοι ή υποδομές εκτός ΕΟΧ, εφαρμόζουμε τους προβλεπόμενους μηχανισμούς διαβίβασης (π.χ. Τυποποιημένες Συμβατικές Ρήτρες – SCCs) και κατάλληλα συμπληρωματικά μέτρα, όπως αναφέρεται στα απαραίτητα σημεία παρακάτω.

ΤΙ ΔΕΔΟΜΕΝΑ ΣΥΛΛΕΓΟΥΜΕ

Συλλέγουμε μόνο τα απολύτως αναγκαία δεδομένα για την παροχή των υπηρεσιών που προσφέρονται από την Εταιρεία. Παρακάτω περιγράφονται οι κατηγορίες δεδομένων, τα ενδεικτικά πεδία, αν είναι υποχρεωτικά ή όχι, και η πηγή συλλογής. Ορισμένα δεδομένα ενδέχεται να συνιστούν «ειδικές κατηγορίες» (π.χ. δεδομένα που αφορούν την ψυχική υγεία) και επισημαίνονται ρητώς.

Σημαντική υποσημείωση: Δεν ηχογραφούμε/βιντεοσκοπούμε συνεδρίες. Δεν συλλέγουμε σημειώσεις για τη θεραπεία μέσω της πλατφόρμας.

Κατηγορία	Ενδεικτικά πεδία	Γιατί τα συλλέγουμε (σκοπός)	Σημειώσεις
Λογαριασμός	Ονοματεπώνυμο, email, τηλέφωνο, φύλο, ημ/νία γέννησης	Δημιουργία λογαριασμού, ταυτοποίηση, βασική επικοινωνία υποστήριξης	—
Ερωτηματολόγια αντιστοίχισης	Τύπος συνεδρίας, δημογραφικά/προτιμήσεις, λόγοι/ζητήματα, προσδοκίες, ελεύθερο κείμενο*	Ακριβής αντιστοίχιση με κατάλληλο Συνεργάτη για έναρξη συνεδριών	Κάποιες ερωτήσεις αφορούν πιθανές ειδικές κατηγορίες (υγεία/ψυχική υγεία)
Πληρωμές/συναλλαγές	ID συναλλαγής, μέθοδος, status, timestamps (όχι στοιχεία κάρτας και πλήρης πληροφορίες)	Ολοκλήρωση αγοράς, επιβεβαίωση/υποστήριξη, λογιστική/φορολογική συμμόρφωση, anti-fraud (μέσω Stripe)	Πλήρη στοιχεία συναλλαγης τηρεί αποκλειστικά η Stripe. Για περισσότερες πληροφορίες για τη διαχείρισή τους δείτε την πολιτική απορρήτου της Stripe.
Βιντεοκλήσεις	Meeting/room ID, χρόνος/διάρκεια, join/leave, βασικά τεχνικά logs	Παροχή/δρομολόγηση συνεδρίας, ποιότητα & ασφάλεια υπηρεσίας	Δεν αποθηκεύουμε ήχο/βίντεο ούτε καταγράφουμε οποιοδήποτε σημείο της συνεδρίας
Cookies/SDKs	Site: necessary, analytics/marketing (με συναίνεση). App: push opt-in/opt-out, performance/crash, analytics (με συναίνεση)	Γενική λειτουργικότητα∙ με συγκατάθεση: μέτρηση/βελτιστοποίηση & attribution/marketing	Λεπτομέρειες στο κεφ. «Cookies/SDKs & Push»
Δεδομένα ανηλίκων (μέσω γονέα)	Πεδία ερωτηματολογίου ανηλίκων	Αντιστοίχιση & παροχή υπηρεσίας στον ανήλικο, μέσω γονέα/κηδεμόνα	Απαιτείται η ρητή συναίνεση γονέα

* Αναλυτικά οι ερωτήσεις στο ερωτηματολόγιο παρατίθενται παρακάτω:

Τύπος συνεδριών: Ατομικές, Ζεύγους, Ανηλίκων/Εφήβων, Ομαδικές.

Δημογραφικά: ηλικία, φύλο, προτίμηση φύλου ψυχολόγου.

Προηγούμενη εμπειρία θεραπείας: ναι/όχι.

Κύριοι λόγοι/ζητήματα (ενδεικτικά): άγχος/στρες, θλίψη/κατάθλιψη, θυμός, δυσκολίες σχέσεων/γονεϊκότητας, χαμηλή αυτοεκτίμηση, τραύμα, φοβίες/εμμονές, ζητήματα υγείας, εθισμοί, πένθος/απώλεια, επαγγελματικές/ακαδημαϊκές πιέσεις, σεξουαλικές δυσκολίες, αυτοβελτίωση, «απλώς εξερευνώ». (ενδέχεται να αποτελούν ειδικές κατηγορίες).

Προσδοκίες από τον/την θεραπευτή/τρια: π.χ. ασκήσεις μεταξύ συνεδριών, σαφείς στόχοι, εστίαση στο παρόν/παρελθόν/νόημα ζωής, αναγνώριση μοτίβων.

Ατομικός στόχος/ελεύθερο κείμενο: ανοιχτό πεδίο (ενδέχεται να αποκαλύψει ευαίσθητες πληροφορίες που επιλέγει ο κάθε χρήστης να μοιραστεί. Η Εταιρεία δεν είναι υπεύθυνη για το είδος των πληροφοριών που θα μοιραστεί ο κάθε χρήστης).

Συμπληρωματικά για ειδικούς τύπους:

Ζεύγους: κατάσταση σχέσης, διάρκεια, παιδιά, βασικά ζητήματα (επικοινωνία, καυγάδες, οικειότητα, απιστία, γονεϊκότητα, ζήλια, οικονομικά, παρεμβάσεις οικογένειας, μεγάλες αλλαγές), ένταση/συχνότητα διαφωνιών, ύπαρξη βίας (ποτέ/σπάνια/συχνά/προτιμώ να μην απαντήσω), δείκτες ψυχικής υγείας που επηρεάζουν τη σχέση (άγχος, κατάθλιψη, τραύμα, εθισμός), αποφασιστικότητα να δουλευτεί η σχέση (0–10), προτίμηση φύλου ψυχολόγου, ελεύθερο κείμενο. (πολλά από τα ανωτέρω ενδέχεται να αποτελούν ειδικές κατηγορίες).

Ανηλίκων/Εφήβων: σχέση αιτούντος με το παιδί (γονέας/κηδεμόνας), ηλικία γονέα & παιδιού, φύλο παιδιού, προτίμηση φύλου ψυχολόγου, ενδείξεις δυσκολιών (άγχος, θλίψη/κατάθλιψη, θυμός, αυτοεκτίμηση, φοβίες/εμμονές, υγεία, χρήση ουσιών, δυσκολίες με συνομηλίκους, σχολικό άγχος/επίδραση στη διάθεση, παραβατικές συμπεριφορές, συγκέντρωση), προσδοκίες από θεραπεία, προηγούμενη θεραπεία. (ενδέχεται να αποτελούν ειδικές κατηγορίες). Οι παραπάνω πληροφορίες διατίθενται απευθείας από τον γονέα κατά τη συμπλήρωση των ερωτηματολογίων στις πλατφόρμες.

Ρητή επισήμανση: Οι απαντήσεις στα ερωτηματολόγια μπορεί να αποκαλύπτουν δεδομένα υγείας/ψυχικής υγείας. Πριν την υποβολή τους, ζητούμε ρητή συναίνεση αποκλειστικά για σκοπούς αντιστοίχισης και παροχής της υπηρεσίας. Μόνο η Εταιρεία έχει πρόσβαση σε αυτά τα στοιχεία και δεν τα παρέχει σε καμία περίπτωση στους Συνεργάτες.

2.1 Δεδομένα που δεν συλλέγουμε

Παρακάτω επισημαίνονται εκ νέου τα δεδομένα που ΔΕΝ συλλέγει η Εταιρεία:

Περιεχόμενο θεραπευτικών συνεδριών (ήχος/βίντεο/κλινικές σημειώσεις) που διεξάγονται μέσα από τις πλατφόρμες.
Ευαίσθητα προσωπικά δεδομένα πέραν όσων υποβάλλετε ρητά στα ερωτηματολόγια/ροές που έχετε επιλέξει.
Στοιχεία πληρωμής (τηρούνται από τον πάροχο πληρωμών: Stripe).

2.2 Κοινοποίηση Δεδομένων σε Τρίτους

Δεν κοινοποιούμε τα προσωπικά σας δεδομένα σε τρίτους, εκτός αν:

Χρησιμοποιούμε εξωτερικούς παρόχους υπηρεσιών για την υποστήριξη της λειτουργίας για τις πλατφόρμες μας. Αυτοί οι πάροχοι έχουν πρόσβαση στα προσωπικά σας δεδομένα μόνο για να εκτελέσουν συγκεκριμένες εργασίες (πχ. Πληρωμές μέσω του παρόχου Stripe) και είναι μόνοι υπεύθυνοι για την επεξεργασία των δεδομένων σας.
Νομικές Υποχρεώσεις: Όταν απαιτείται από το νόμο ή για την προστασία των δικαιωμάτων μας.

Σημειώστε ότι οι πρακτικές των τρίτων εταιρειών που συνεργαζόμαστε για την λειτουργία των πλατφόρμων μας, διέπονται από τις δικές τους πολιτικές και πρακτικές απορρήτου. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με το πως αυτές οι τρίτες εταιρείες χρησιμοποιούν τα προσωπικά σας δεδομένα, θα πρέπει να εξετάσετε τις πολιτικές τους και να επικοινωνήσετε απευθείας μαζί τους.

ΑΝΤΙΣΤΟΙΧΙΣΗ ΜΕ ΨΥΧΟΛΟΓΟ & ΟΡΙΑ ΠΡΟΣΒΑΣΗΣ

3.1 Σκοπός & αρχές

Η αντιστοίχιση χρήστη με κατάλληλο Συνεργάτη γίνεται αποκλειστικά για την παροχή της υπηρεσίας και στηρίζεται στις απαντήσεις των ερωτηματολογίων μας (π.χ. τύπος συνεδριών, προτιμήσεις, ζητήματα που σας απασχολούν). Τα πεδία αυτά ενδέχεται να αποκαλύπτουν ειδικές κατηγορίες δεδομένων (π.χ. ψυχική υγεία)· για τον λόγο αυτό λαμβάνουμε ρητή συναίνεση πριν την τελική υποβολή τους.

3.2 Ρόλοι επεξεργασίας

NousGym (Υπεύθυνος Επεξεργασίας): συλλέγει και επεξεργάζεται απαντήσεις για να λειτουργήσει ο αλγόριθμος αντιστοίχισης, να δρομολογήσει την κράτηση/ημερολόγιο, τις ειδοποιήσεις και τις συνεδρίες και πληρωμές μέσω των εξωτερικών παρόχων.
Συνεργάτες (Ανεξάρτητοι Υπεύθυνοι Επεξεργασίας): έχουν πρόσβαση μόνο στα αναγκαία στοιχεία των πελατών που τους έχουν επιλέξει/τους έχουν ανατεθεί και δεν λαμβάνουν τις απαντήσεις του ερωτηματολογίου που αφορούν τις ειδικές κατηγορίες και αποκαλύπτουν ευαίσθητα περιεχόμενα για τον κάθε χρήστη. Μόνο ο Συνεργάτης με τον οποίο σας αντιστοιχούμε μπορεί να δει τις βασικές πληροφορίες για εσάς που περιορίζονται στα στοιχεία του λογαριασμού σας, όχι στις απαντήσεις του ερωτηματολογίου. Σε περίπτωση που επιλέξετε να αλλάξετε ψυχολόγο, ο προηγούμενος ψυχολόγος χάνει κάθε πρόσβαση σε οποιοδήποτε προσωπικό σας στοιχείο.
Εκτελούντες (π.χ. πάροχος βιντεοκλήσεων, πληρωμών): δεν χρησιμοποιούν τα δεδομένα των ερωτηματολογίων καθώς και δεν λαμβάνουν κανενός είδους πρόσβαση από την Εταιρεία.

3.3 Ποιος βλέπει τι

Συνεργάτης που επελέγη/ανατέθηκε:
Βλέπει: βασικά στοιχεία ταυτοποίησης (όνομα/ηλικία/επικοινωνία) και πρόγραμμα/ραντεβού. Δεν βλέπει δεδομένα άλλων πελατών ούτε τις απαντήσεις από το ερωτηματολόγιο του χρήστη που μπορεί να τον επέλεξε.

Συνεργάτες που δεν επελέγησαν:
Καμία πρόσβαση σε στοιχεία ή απαντήσεις.

Προσωπικό υποστήριξης Εταιρείας (support):
Πρόσβαση κατ’ εξαίρεση και κατ’ ελάχιστο για επίλυση συγκεκριμένου αιτήματος (π.χ. τεχνικό πρόβλημα κράτησης), κατόπιν καταγραφής (audit log) και role-based access (RBAC).

3.4 Τεχνικοί και οργανωτικοί έλεγχοι πρόσβασης (RBAC/ABAC)

RBAC (Role-Based Access Control): ρόλοι (π.χ. therapist, therapist-sales για αναγνωριστικές, support-readonly, admin-security) με σαφή scopes.

ABAC (Attribute-Based): κανόνες βάσει «σχέσης» (μόνο assigned therapist ↔ assigned client).

Κάθε ρόλος έχει μόνο τα απολύτως αναγκαία δικαιώματα.

MFA: ισχυρή αυθεντικοποίηση για επαγγελματικούς λογαριασμούς.

3.5 Υποστήριξη/συντήρηση

Σε σπάνιες περιπτώσεις (π.χ. σοβαρό τεχνικό σφάλμα), επιτρέπεται πρόσβαση τεχνικού προσωπικού σε περιορισμένα δεδομένα με προσωρινά διαπιστευτήρια και πλήρη καταγραφή. Κάθε τέτοιο συμβάν απαιτεί εσωτερική τεκμηρίωση και, όπου χρειάζεται, αναθεώρηση δικαιωμάτων.

3.6 Μετάβαση/αλλαγή Συνεργάτη

Αν ζητήσετε αλλαγή θεραπευτή:

ο νέος Συνεργάτης λαμβάνει μόνο τα απολύτως αναγκαία στοιχεία σας (όπως περιγράφεται σε πάνω κεφάλαια και υποκεφάλαια),
ο προηγούμενος Συνεργάτης παύει να έχει πρόσβαση,
και δεν κρατάμε μέσω της πλατφόρμας μας κλινικές σημειώσεις και δεν φέρουμε καμία ευθύνη για αυτές οι οποίες μπορεί να διατηρούνται από κάποιον Συνεργάτη έξω από τις πλατφόρμες.

3.7 Βιντεοκλήσεις

Οι συνεδρίες διεξάγονται μέσω βιντεοκλήσεων από εξωτερικό πάροχο (Whereby)· δεν γίνεται καταγραφή από την Εταιρεία σε καμία περίπτωση. Ο θεραπευτής και ο πελάτης βλέπουν μόνο ο ένας τον άλλο (εξαίρεση αποτελούν οι συνεδρίες ζεύγους στις οποίες ο Πελάτης είναι δύο πρόσωπα) και τα λειτουργικά στοιχεία ραντεβού (π.χ. ώρα/διάρκεια). Τεχνικά μεταδεδομένα χρησιμοποιούνται αποκλειστικά για ποιότητα/ασφάλεια της κλήσης.

3.8 Πληρωμές & τιμολόγηση

Ο θεραπευτής εκδίδει ο ίδιος την απόδειξη στο όνομά του. Η Εταιρεία λαμβάνει μόνο τα αναγκαία στοιχεία συναλλαγής (όχι πλήρη στοιχεία κάρτας) μέσω του παρόχου (Stripe).

3.9 Αιτήματα δικαιωμάτων (DSAR)

Όταν ασκείτε δικαιώματα (π.χ. πρόσβαση, διόρθωση, διαγραφή), η Εταιρεία θα σας καθοδηγήσει:

Η ίδια για τα δεδομένα αντιστοίχισης/πλατφόρμας
για δεδομένα που τηρεί ο Συνεργάτης ως ανεξάρτητος υπεύθυνος (π.χ. τυχόν κλινικός φάκελος εκτός πλατφόρμας), θα σας παραπέμψουμε στον ίδιο ώστε να ασκήσετε τα δικαιώματά σας απευθείας.

3.10 Επικοινωνίες & κανάλια

Λειτουργικές ειδοποιήσεις (π.χ. επιβεβαιώσεις ραντεβού) μπορούν να αποστέλλονται από την πλατφόρμα και την Εταιρεία μέσω τρίτων παρόχων (Firebase). Προωθητικές επικοινωνίες από την Εταιρεία αποστέλλονται μόνο με συναίνεση.

ΒΙΝΤΕΟΚΛΗΣΕΙΣ: ΠΑΡΟΧΟΣ, ΣΥΜΒΑΤΙΚΟ ΠΛΑΙΣΙΟ, ΑΣΦΑΛΕΙΑ & ΜΗ ΚΑΤΑΓΡΑΦΗ

Για τις συνεδρίες βιντεοκλήσης χρησιμοποιούμε τον πάροχο Whereby. Η ενσωμάτωση γίνεται μέσα από την πλατφόρμα/εφαρμογή NousGym με αποτέλεσμα οι βιντεοκλήσεις να πραγματοποιούνται εντός της εφαρμογής μέσω της διασύνδεσης με τον εξωτερικό πάροχο.

4.1 Ρόλοι, DPA & διεθνείς διαβιβάσεις

Η Εταιρεία είναι Υπεύθυνη Επεξεργασίας για την οργάνωση των συνεδριών.

Ο πάροχος Whereby παρέχει τις υπηρεσίες μετάδοσης ήχου/βίντεο και δεσμεύεται συμβατικά βάσει Data Processing Addendum (DPA) ενσωματωμένου στους όρους της (συμπεριλ. τεχνικών/οργανωτικών μέτρων και υποστήριξης δικαιωμάτων υποκειμένων).

4.2 Συνθήκες Βιντεοκλήσης

Δεν καταγράφουμε το περιεχόμενο των συνεδριών (ήχου/βίντεο) — ούτε cloud ούτε τοπικά από την πλατφόρμα. Επιβάλλουμε από προεπιλογή τουλάχιστον ένα security μέτρο ανά συνεδρία όπως το Waiting Room.

4.3 Υποστήριξη & περιστατικά ασφάλειας

Σε σπάνιες περιπτώσεις τεχνικού προβλήματος εφαρμόζουμε διαδικασία έκτακτης πρόσβασης (break-glass) με ελάχιστα δικαιώματα, προσωρινά διαπιστευτήρια και πλήρη καταγραφή, αποκλειστικά για διάγνωση/αποκατάσταση (βλ. §4.7). Κατόπιν γίνεται τεκμηρίωση και, όπου χρειάζεται, αναθεώρηση δικαιωμάτων.

ΠΛΗΡΩΜΕΣ

5.1 Πάροχος υπηρεσιών

Για την επεξεργασία των πληρωμών χρησιμοποιούμε την πλατφόρμα Stripe, η οποία λειτουργεί ως πάροχος υπηρεσιών πληρωμών και εκτελών επεξεργασίας (processor).

Ο πάροχος Stripe είναι υπεύθυνος για την ασφαλή διαχείριση των στοιχείων πληρωμής (π.χ. αριθμών καρτών, tokenization, anti-fraud), σύμφωνα με τα διεθνή πρότυπα ασφάλειας PCI DSS και το Data Processing Agreement (DPA), το οποίο ενσωματώνεται στους όρους χρήσης της και είναι διαθέσιμο στον παρακάτω σύνδεσμο: https://stripe.com/legal/dpa.

5.2 Ρόλος Εταιρείας

Η Εταιρεία:

Δεν έχει πρόσβαση σε αριθμούς καρτών, τραπεζικά στοιχεία ή άλλα ευαίσθητα δεδομένα πληρωμής.
Λαμβάνει μόνο τα απαραίτητα λειτουργικά στοιχεία από τη Stripe (π.χ. επιβεβαίωση επιτυχούς πληρωμής, ημερομηνία, ποσό, τύπο υπηρεσίας, αναγνωριστικό πελάτη).
Επεξεργάζεται αυτά τα δεδομένα αποκλειστικά για:
- τη διαχείριση της συναλλαγής,
- τη βεβαίωση πληρωμής στον ψυχολόγο, και
- την ενημέρωση του ιστορικού συναλλαγών του χρήστη στο προφίλ του.
Δεν πραγματοποιεί αυτόνομα καμία επεξεργασία πληρωμών· όλη η διαδικασία διεκπεραιώνεται απευθείας από τη Stripe.

5.3 Συμβατικό & νομικό πλαίσιο

Η σχέση μεταξύ της Εταιρείας και Stripe διέπεται από το Data Processing Agreement (DPA) της Stripe, το οποίο συμμορφώνεται με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και περιλαμβάνει:

ρυθμίσεις για υπο-επεξεργαστές (sub-processors),
διασφαλίσεις για διεθνείς διαβιβάσεις μέσω Standard Contractual Clauses (SCCs),
μέτρα ασφάλειας (encryption, access controls, monitoring),
δικαιώματα υποκειμένων (πρόσβαση, διόρθωση, διαγραφή).

5.4 Ασφάλεια συναλλαγών

Η Stripe:

Χρησιμοποιεί tokenization για τα στοιχεία κάρτας ώστε να μην αποθηκεύονται σε αναγνώσιμη μορφή.
Διαθέτει πιστοποίηση PCI DSS.
Εφαρμόζει end-to-end κρυπτογράφηση στις συναλλαγές και μηχανισμούς ανίχνευσης απάτης (Radar).

Η Εταιρεία δεν αποθηκεύει, δεν επεξεργάζεται και δεν μεταφέρει τα ευαίσθητα δεδομένα πληρωμών.

5.5 Διεθνείς διαβιβάσεις & διαφάνεια

Η Stripe εδρεύει στις Ηνωμένες Πολιτείες και διατηρεί υποκαταστήματα/υπο-επεξεργαστές εντός και εκτός ΕΟΧ. Οι διαβιβάσεις πραγματοποιούνται με βάση:

το EU-US Data Privacy Framework, και
τις Standard Contractual Clauses (SCCs) για χώρες εκτός της ΕΕ.

5.6 Δικαιώματα & διαφάνεια

Οι χρήστες μπορούν να ασκήσουν τα δικαιώματά τους (π.χ. πρόσβαση, διόρθωση, διαγραφή) μέσω της Εταιρείας ή απευθείας στη Stripe σύμφωνα με την πολιτική απορρήτου της εταιρείας όπως μπορείτε να δείτε στον σύνδεσμο παρακάτω: https://stripe.com/privacy.

COOKIES / SDKS

6.1 Γενικά

Στον ιστότοπο χρησιμοποιούμε cookies καθώς και παρόμοιες τεχνολογίες SDKs για την πλατφόρμα του κινητού. Οι τεχνολογίες αυτές εξυπηρετούν (α) την απολύτως απαραίτητη λειτουργία της υπηρεσίας και (β) την ανάλυση χρήσης για βελτίωση του προϊόντος. Οι push ειδοποιήσεις χρησιμοποιούνται για λειτουργικές υπενθυμίσεις και, εφόσον συναινέσετε, για ενημερωτικό/προωθητικό περιεχόμενο.

6.2 Κατηγορίες και νομική βάση

Διακρίνουμε τις ακόλουθες κατηγορίες:

Απολύτως απαραίτητα: απαιτούνται για σύνδεση/ασφάλεια συνεδρίας, λειτουργία φορμών πληρωμής και βασική σταθερότητα.
Στατιστικά/Analytics: μετρήσεις χρήσης, διαγνωστικά απόδοσης, βελτίωση εμπειρίας. Ενεργοποιούνται μόνο με συναίνεση.
Marketing/Attribution: επιμέτρηση καμπανιών και προσωποποίηση επικοινωνίας. Ενεργοποιούνται μόνο με συναίνεση.

6.3 Push ειδοποιήσεις

Η λήψη push ειδοποιήσεων προϋποθέτει άδεια του λειτουργικού (iOS/Android).

Λειτουργικές ειδοποιήσεις (π.χ. υπενθυμίσεις ραντεβού, μεταβολές κράτησης) αποστέλλονται βάσει σύμβασης/έννομου συμφέροντος και της άδειας του λειτουργικού.
Προωθητικές/τμηματοποίηση (segmentation) αποστέλλονται από εξωτερικό πάροχο (Firebase) μόνο εφόσον έχετε συναινέσει μέσα από την εφαρμογή.

Απενεργοποίηση γίνεται ανά πάσα στιγμή από τις Ρυθμίσεις της συσκευής.

6.4 Σεβασμός επιλογών

Μπορείτε να αρνηθείτε ή να ανακαλέσετε τη συναίνεση χωρίς να επηρεαστεί η βασική λειτουργία της υπηρεσίας (ενδέχεται μόνο να περιοριστεί η μέτρηση/προσωποποίηση) ανά πάσα στιγμή.

ΔΙΑΤΗΡΗΣΗ & ΔΙΑΓΡΑΦΗ

Τηρούμε δεδομένα μόνο για όσο είναι αναγκαίο για τον σκοπό συλλογής τους και για την εκπλήρωση νομικών/κανονιστικών υποχρεώσεων. Εφαρμόζουμε χρονοδιαγράμματα διατήρησης, αυτοματοποιημένη διαγραφή και ελεγχόμενη πολιτική αντιγράφων ασφαλείας.

7.1 Βασικές αρχές

Ελαχιστοποίηση & σκοποδεσμία: κρατάμε μόνο ό,τι απαιτείται για την παροχή υπηρεσίας, τη συμμόρφωση και την ασφάλεια.

Διαχωρισμός ρόλων: τα τυχόν κλινικά αρχεία και σημειώσεις που τηρούν ανεξάρτητα οι Συνεργάτες (ως αυτοτελείς Υπεύθυνοι) δεν αποθηκεύονται στα αρχεία της Εταιρείας και δεν καλύπτονται από την παρούσα πολιτική.

7.2 Δικαιώματα χρηστών

Ως χρήστες διατηρείτε, με βάση τον ΓΚΠΔ και το εφαρμοστέο δίκαιο, τα ακόλουθα δικαιώματα:

Δικαίωμα ενημέρωσης & πρόσβασης: να λαμβάνετε επιβεβαίωση αν επεξεργαζόμαστε τα δεδομένα σας και, εφόσον ναι, να αποκτάτε αντίγραφο και πληροφορίες για την επεξεργασία.
Διόρθωση: να ζητάτε τη διόρθωση ή συμπλήρωση ανακριβών/ελλιπών δεδομένων, εκτός από περιπτώσεις πιθανών περιορισμών που προβλέπονται στην εκάστοτε ισχύουσα νομοθεσία και κατάσταση.
Διαγραφή: να ζητάτε τη διαγραφή των δεδομένων σας, εκτός από περιπτώσεις πιθανών περιορισμών που προβλέπονται στην εκάστοτε ισχύουσα νομοθεσία και κατάσταση.
Νομικές εξαιρέσεις: σε κάθε περίπτωση, εάν υφίσταται νομική υποχρέωση διατήρησης (π.χ. Φορολογική υποχρέωση) ή έννομο συμφέρον για καθιέρωση/άσκηση/υπεράσπιση αξιώσεων, η διαγραφή αναβάλλεται μόνο για τα ελάχιστα απαιτούμενα δεδομένα και για όσο διάστημα επιβάλλεται από την υποχρέωση ή την αξίωση.
Περιορισμός επεξεργασίας: να ζητάτε τον περιορισμό, όταν αμφισβητείτε την ακρίβεια ή όταν αντιτίθεστε και εκκρεμεί έλεγχος συμφέροντος, εκτός από περιπτώσεις πιθανών περιορισμών που προβλέπονται στην εκάστοτε ισχύουσα νομοθεσία και κατάσταση.
Φορητότητα: να λάβετε τα δεδομένα σας σε δομημένη, κοινώς χρησιμοποιούμενη και αναγνώσιμη μορφή (και/ή διαβίβαση σε άλλον υπεύθυνο).
Εναντίωση: να αντιτίθεστε ανά πάσα στιγμή σε επεξεργασία των δεδομένων σας· θα παύσουμε την επεξεργασία, εκτός αν αποδείξουμε επιτακτικούς νόμιμους λόγους που υπερισχύουν, εκτός από περιπτώσεις πιθανών περιορισμών που προβλέπονται στην εκάστοτε ισχύουσα νομοθεσία και κατάσταση.
Ανάκληση συγκατάθεσης: όπου η επεξεργασία στηρίζεται σε συγκατάθεση, μπορείτε να την ανακαλέσετε ανά πάσα στιγμή, εκτός από περιπτώσεις πιθανών περιορισμών που προβλέπονται στην εκάστοτε ισχύουσα νομοθεσία και κατάσταση.
Καταγγελία στην Αρχή: δικαιούστε να υποβάλετε παράπονο στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (www.dpa.gr).
Άσκηση δικαιωμάτων. Μπορείτε να ασκήσετε τα δικαιώματά σας μέσω των στοιχείων επικοινωνίας που παρατίθενται στην Πολιτική. Ενδέχεται να σας ζητήσουμε εύλογα στοιχεία ταυτοποίησης. Απαντάμε κατ’ αρχήν εντός ενός (1) μήνα, με δυνατότητα παράτασης όπου ο ΓΚΠΔ το επιτρέπει (θα ενημερωθείτε σχετικά).

ΔΙΑΒΙΒΑΣΕΙΣ ΕΚΤΟΣ ΕΟΧ

Εφόσον χρειαστεί διαβίβαση προσωπικών δεδομένων σε χώρα εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) ή/και σε διεθνή οργανισμό, διασφαλίζουμε ισοδύναμο επίπεδο προστασίας στη χώρα διαβίβασης ως εξής:

8.1 Νομικοί μηχανισμοί διαβίβασης

Τυποποιημένες Συμβατικές Ρήτρες (SCCs) της Ευρωπαϊκής Επιτροπής.
UK Addendum/IDTA για διαβιβάσεις προς/από Ηνωμένο Βασίλειο, όπου απαιτείται.
EU–US Data Privacy Framework (DPF), εφόσον ο παραλήπτης είναι πιστοποιημένος, σε συνδυασμό με SCCs όπου χρειάζεται.
Κατ’ εξαίρεση, άρθρο 49 ΓΚΠΔ (ρητή συγκατάθεση, εκτέλεση σύμβασης, σπουδαίο δημόσιο συμφέρον), μόνο εφόσον δεν ισχύει άλλος μηχανισμός και αποκλειστικά για μεμονωμένες περιπτώσεις, ήτοι όπου είναι αναγκαίο.

8.2 Υπο-εκτελούντες & εξωτερικοί πάροχοι

Οι πάροχοι/υπο-εκτελούντες (όπως Stripe και Whereby) δεσμεύονται με DPA και SCCs (ή ισοδύναμο μηχανισμό).

8.3 Αιτήματα αρχών & προσβάσεις

Τα αιτήματα δημόσιων αρχών για πρόσβαση σε δεδομένα αξιολογούνται νομικά και κοινοποιούμε μόνο τα ελάχιστα απαιτούμενα, εφόσον είμαστε νομικά υποχρεωμένοι, και, όπου επιτρέπεται, ενημερώνουμε το υποκείμενο. Τηρούμε σχετική τεκμηρίωση.

ΑΝΗΛΙΚΟΙ (ΓΟΝΙΚΗ ΣΥΓΚΑΤΑΘΕΣΗ)

Οι Υπηρεσίες μας δεν απευθύνονται σε άτομα κάτω των 18 ετών χωρίς τη συναίνεση του κατόχου γονικής μέριμνας.

Ποιος συναινεί: για ανήλικο χρήστη, τη συγκατάθεση και την παροχή στοιχείων δίνει αποκλειστικά ο γονέας/κηδεμόνας. Τα ερωτηματολόγια και οι κρατήσεις συμπληρώνονται από εκείνον.

Έλεγχος: ζητούμε επαλήθευση (π.χ. υπεύθυνη δήλωση/σήμανση στην εγγραφή). Αν διαπιστωθεί έλλειψη γονικής συναίνεσης, ο λογαριασμός αναστέλλεται μέχρι να ληφθεί η συναίνεση.

Αφαίρεση δεδομένων: εάν ενημερωθούμε ότι συλλέξαμε δεδομένα ανηλίκου χωρίς συναίνεση, προβαίνουμε χωρίς καθυστέρηση σε διαγραφή/περιορισμό επεξεργασίας.

ΥΠΟΒΟΛΗ ΠΑΡΑΠΟΝΩΝ

Εάν θεωρείτε ότι παραβιάζονται τα δικαιώματά σας όσον αφορά την προστασία των προσωπικών σας δεδομένων, έχετε το δικαίωμα να υποβάλετε παράπονο στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Ελλάδα.

ΤΡΟΠΟΠΟΙΗΣΕΙΣ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ

Η παρούσα Πολιτική Απορρήτου μπορεί να τροποποιηθεί από καιρό σε καιρό, με σκοπό να αντανακλά τις αλλαγές στην πολιτική μας ή στις νομικές απαιτήσεις. Κάθε τροποποίηση θα αναρτάται στις πλατφόρμες μας και θα είναι σε ισχύ από την ημερομηνία δημοσίευσης.

ΕΠΙΚΟΙΝΩΝΙΑ

Για οποιεσδήποτε ερωτήσεις ή διευκρινίσεις σχετικά με την Πολιτική Απορρήτου μας, μπορείτε να επικοινωνήσετε μαζί μας μέσω:

Email: info@nousgym.gr

Διεύθυνση: Μουργκάνας 6, Αιγάλεω, 12241

Η Πολιτική Απορρήτου αυτή συντάχθηκε σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και τον Ν.4624/2019 για την προστασία των προσωπικών δεδομένων.