1Εισαγωγή
Η forkast ("εμείς") σέβεται το απόρρητό σου και δεσμεύεται στην προστασία των προσωπικών σου δεδομένων σύμφωνα με τον GDPR (Κανονισμός ΕΕ 2016/679) και την ελληνική νομοθεσία. Αυτή η πολιτική εξηγεί ποια δεδομένα συλλέγουμε, πώς τα χρησιμοποιούμε και ποια δικαιώματα έχεις.
2Υπεύθυνος Επεξεργασίας
Υπεύθυνος επεξεργασίας: forkast
Email: [email protected]
Εφαρμογή: forkast (iOS)
Ιστότοπος: forkast.gr
3Τι Δεδομένα Συλλέγουμε
3.1 Δεδομένα λογαριασμού
- Email — το αναγνωριστικό σύνδεσης του λογαριασμού σου (μαζί με κωδικό πρόσβασης) και το κανάλι ανάκτησης λογαριασμού.
- ΑΦΜ επιχείρησης — ο ΑΦΜ της επιχείρησής σου, που καταχωρείται κατά τη σύνδεση του myDATA· η βάση για την αναζήτηση δεδομένων myDATA. Δεν αποτελεί αναγνωριστικό σύνδεσης.
- Κινητό τηλέφωνο (προαιρετικό) — αποκλειστικά για ανάκτηση πρόσβασης στον λογαριασμό.
- Επωνυμία επιχείρησης — εμφανίζεται στις αναφορές σου.
3.2 Διαπιστευτήρια myDATA / AADE
- Subscription Key AADE — κρυπτογραφημένο με AES-256-GCM. Δεν επιστρέφεται ποτέ στον client μετά την πρώτη αποθήκευση. Δεν κοινοποιείται σε τρίτους.
3.3 Δεδομένα συναλλαγών myDATA
Μέσω του API myDATA της AADE τραβάμε για λογαριασμό σου: εκδοθέντα και ληφθέντα τιμολόγια, έσοδα και έξοδα, μεταδεδομένα συναλλαγών (ημερομηνία, τύπος, ποσό, ΑΦΜ αντισυμβαλλομένου). Αυτά τα δεδομένα ανήκουν σε σένα.
3.4 Ημερολόγιο Ταμείου
Τα ποσά που καταχωρείς ημερησίως (μετρητά + κάρτα) αποθηκεύονται αποκλειστικά για τον υπολογισμό του P&L σου.
3.5 Δεδομένα χρήσης εφαρμογής
Καταγράφουμε συμβάντα χρήσης συνδεδεμένα με τον λογαριασμό σου — π.χ. πότε ανοίγεις την εφαρμογή (και αν την άνοιξες από ειδοποίηση), πόση ώρα παραμένεις σε αυτήν (διάρκεια συνεδρίας), πότε καταχωρείς το Ημερολόγιο Ταμείου, πότε βλέπεις το P&L σου. Τα δεδομένα αυτά αποθηκεύονται αποκλειστικά στους δικούς μας servers (first-party) και δεν αποστέλλονται σε τρίτους παρόχους analytics (δεν χρησιμοποιούμε Sentry, Mixpanel, Segment, Firebase ή παρόμοιες υπηρεσίες). Καταγράφουμε επίσης βασικά τεχνικά στοιχεία (τύπος συσκευής, έκδοση iOS, έκδοση εφαρμογής) για τη σταθερότητα της υπηρεσίας.
3.6 Διακριτικό ειδοποιήσεων (push token)
Αν ενεργοποιήσεις τις ειδοποιήσεις, το λειτουργικό της συσκευής σου εκχωρεί ένα μοναδικό διακριτικό συσκευής: σε iOS από την Apple (APNs — Apple Push Notification service), σε Android από την Google (FCM — Firebase Cloud Messaging). Το αποθηκεύουμε συνδεδεμένο με τον λογαριασμό σου και το χρησιμοποιούμε αποκλειστικά για να σου στέλνουμε την ημερήσια υπενθύμιση καταχώρισης του Ημερολογίου Ταμείου. Δεν το χρησιμοποιούμε για διαφήμιση και δεν το κοινοποιούμε σε διαφημιστικούς ή αναλυτικούς τρίτους.
3.7 Επαλήθευση & προσυμπλήρωση επιχείρησης (KYB) — Γ.Ε.ΜΗ. Ανοιχτά Δεδομένα
Όταν συνδέεις την επιχείρησή σου, αναζητούμε τον ΑΦΜ της στο δημόσιο Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.) μέσω της επίσημης υπηρεσίας Ανοιχτών Δεδομένων Γ.Ε.ΜΗ. και προσυμπληρώνουμε αυτόματα στοιχεία όπωςεπωνυμία, διακριτικός τίτλος, νομική μορφή, ΚΑΔ (δραστηριότητες), διεύθυνση και κατάσταση μητρώου — ώστε να μην τα πληκτρολογείς και να επιβεβαιώνουμε ότι η επιχείρηση είναι ενεργή. Μπορείς πάντα να επιβεβαιώσεις ή να διορθώσειςτα στοιχεία· η δική σου καταχώριση υπερισχύει. Πρόκειται γιαδημόσια ανοιχτά δεδομένα επιχειρήσεων (όχι προσωπικά δεδομένα τρίτων).
Για ατομικές επιχειρήσεις και μη εμπορικές μορφές (π.χ. σωματεία) που δεν τηρούνται στο Γ.Ε.ΜΗ., χρησιμοποιείται εναλλακτικά το VIES (§3.8) ή η δική σου καταχώριση. Πηγή: Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.) — Ανοιχτά Δεδομένα. Παρουσιάζουμε τα δεδομένα χωρίς παραποίηση και με αναφορά πηγής. Για ερωτήματα ερμηνείας ή χρήσης των δεδομένων Γ.Ε.ΜΗ. αρμόδια είναι τα Εμπορικά Επιμελητήρια και η Γενική Γραμματεία Εμπορίου. Νομική βάση: Άρθρο 6(1)(β) & 6(1)(στ).
3.8 Προμηθευτές: στοιχεία (VIES & Γ.Ε.ΜΗ.) & συγκεντρωτικό μητρώο
Αναζήτηση επωνυμίας προμηθευτή (VIES). Για να βλέπεις ποιοςείναι κάθε προμηθευτής στα έξοδά σου αντί για έναν γυμνό ΑΦΜ, αναζητούμε τον ΑΦΜ του προμηθευτή στο VIES της Ευρωπαϊκής Επιτροπής (επίσημη υπηρεσία επαλήθευσης ΦΠΑ/ΑΦΜ) και αποθηκεύουμε την επωνυμία και τη διεύθυνση που επιστρέφει, ώστε να κατηγοριοποιούμε σωστά τα έξοδά σου. Αναζητούμε μόνο ΑΦΜ που ήδη εμφανίζονται στα δικά σου παραστατικά. Νομική βάση: έννομο συμφέρον(Άρθρο 6(1)(στ)). Σε ορισμένες περιπτώσεις (π.χ. ατομικές επιχειρήσεις / ελεύθεροι επαγγελματίες) η επωνυμία είναι όνομα φυσικού προσώπου και συνιστά προσωπικό δεδομένο, το οποίο επεξεργαζόμαστε αποκλειστικά για τον σκοπό αυτό. Η αναζήτηση γίνεται στην υπηρεσία της Ευρωπαϊκής Επιτροπής (όχι στην ΑΑΔΕ) και δεν ειδοποιείται ο προμηθευτής. Όπου τα στοιχεία αυτά συνδέονται με τον λογαριασμό σου, διαγράφονται με τη διαγραφή των δεδομένων/του λογαριασμού σου (βλ. §6).
Εμπλουτισμός στοιχείων προμηθευτή (Γ.Ε.ΜΗ.). Πέρα από την επωνυμία (VIES), για προμηθευτές που είναι εγγεγραμμένες εμπορικές επιχειρήσεις αντλούμε από ταΑνοιχτά Δεδομένα Γ.Ε.ΜΗ. δομημένα δημόσια στοιχεία — νομική μορφή και ΚΑΔ (δραστηριότητες) — ώστε να βελτιώνουμε την αυτόματη κατηγοριοποίηση των εξόδων σου. Αναζητούμε μόνο ΑΦΜ που ήδη εμφανίζονται στα παραστατικά σου. Πρόκειται για δημόσια ανοιχτά δεδομένα επιχειρήσεων· πηγή: Γ.Ε.ΜΗ. — Ανοιχτά Δεδομένα. Νομική βάση: έννομο συμφέρον (Άρθρο 6(1)(στ)).
Συγκεντρωτικό μητρώο. Τηρούμε ένα συγκεντρωτικό μητρώο ΑΦΜ, επωνυμιών και δημόσιων στοιχείων μητρώου (νομική μορφή / ΚΑΔ) προμηθευτών που εμφανίζονται στα τιμολόγια διαφόρων επιχειρήσεων. Το χρησιμοποιούμε για να βελτιώνουμε την αυτόματη κατηγοριοποίηση και, μελλοντικά, για ανώνυμη συγκριτική ανάλυση (benchmarking). Η ανάλυση αυτή είναι πάντα συγκεντρωτική και ποτέ δεν αποκαλύπτει τα στοιχεία ή τα νούμερα μεμονωμένης επιχείρησης (εφαρμόζουμε k-anonymity — καμία σύγκριση χωρίς επαρκώς πυκνή ομάδα). Το μητρώο αυτό είναι aggregate δεδομένο αναφοράς, μη συνδεδεμένο με τον λογαριασμό σου, και διατηρείται ανεξάρτητα από τη διαγραφή του λογαριασμού σου (βλ. §6).
4Πώς Χρησιμοποιούμε τα Δεδομένα σου
| Σκοπός | Νομική βάση (GDPR) |
|---|---|
| Παροχή υπηρεσίας P&L | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
| Αυθεντικοποίηση και ασφάλεια | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
| Βελτίωση εφαρμογής (first-party συμβάντα χρήσης, βλ. §3.5) | Άρθρο 6(1)(στ) — έννομο συμφέρον |
| Προσυμπλήρωση / επαλήθευση επιχείρησης μέσω Γ.Ε.ΜΗ. Ανοιχτών Δεδομένων & KYB (βλ. §3.7) | Άρθρο 6(1)(β) — εκτέλεση σύμβασης & Άρθρο 6(1)(στ) — έννομο συμφέρον (πρόληψη απάτης) |
| Στοιχεία προμηθευτή μέσω VIES (επωνυμία) & Γ.Ε.ΜΗ. Ανοιχτών Δεδομένων (νομική μορφή/ΚΑΔ) (βλ. §3.8) | Άρθρο 6(1)(στ) — έννομο συμφέρον (ταυτοποίηση προμηθευτών για κατηγοριοποίηση εξόδων) |
| Μητρώο προμηθευτών & βελτίωση κατηγοριοποίησης (aggregate, βλ. §3.8) | Άρθρο 6(1)(στ) — έννομο συμφέρον |
| Ειδοποιήσεις δέσμευσης (ημερήσια υπενθύμιση Ημερολογίου Ταμείου) | Άρθρο 6(1)(στ) — έννομο συμφέρον· η αποστολή προϋποθέτει τη ρητή άδεια ειδοποιήσεων που χορηγείς στο iOS ή στο Android και την οποία μπορείς να ανακαλέσεις ανά πάσα στιγμή |
| Νομική συμμόρφωση | Άρθρο 6(1)(γ) — νομική υποχρέωση |
| Επικοινωνία υποστήριξης | Άρθρο 6(1)(β) — εκτέλεση σύμβασης |
4.1 Αυτοματοποιημένη επεξεργασία
Η forkast κατηγοριοποιεί αυτόματα τα τιμολόγιά σου σε κατηγορίες P&L και υπολογίζει εκτιμήσεις, όπως τα προβλεπόμενα κέρδη μετά φόρων. Πρόκειται για ενημερωτικά εργαλεία — δεν αποτελούν λογιστική/φορολογική συμβουλή ούτε αυτοματοποιημένες αποφάσεις με νομικές συνέπειες κατά την έννοια του Άρθρου 22 GDPR. Μπορείς να επαναπροσδιορίσεις την κατηγορία οποιουδήποτε τιμολογίου· από τις διορθώσεις σου η εφαρμογή μαθαίνει και τις εφαρμόζει στα επόμενα τιμολόγια του ίδιου προμηθευτή.
5Κοινοποίηση Δεδομένων
Δεν πωλούμε, δεν νοικιάζουμε και δεν εμπορευόμαστε τα δεδομένα σου.
Κοινοποίηση γίνεται μόνο σε:
- Παρόχους υποδομής cloud (εντός ΕΕ) — αποθήκευση βάσης δεδομένων.
- Apple — Apple Push Notification service (APNs) (συσκευές iOS) και Google — Firebase Cloud Messaging (FCM) (συσκευές Android) — όταν στέλνουμε ειδοποίηση, το διακριτικό της συσκευής σου και το περιεχόμενο της ειδοποίησης διαβιβάζονται στην αντίστοιχη υπηρεσία (APNs για iOS, FCM για Android) για την παράδοσή της. Αυτές είναι οι μόνες τρίτες υπηρεσίες στη διαδρομή των ειδοποιήσεων· δεν χρησιμοποιούμε την υπηρεσία Expo Push ούτε άλλον ενδιάμεσο πάροχο.
- Νομική υποχρέωση — αν απαιτηθεί από δικαστήριο ή αρμόδια αρχή.
5.1 Εσωτερική πρόσβαση εξουσιοδοτημένου προσωπικού
Εξουσιοδοτημένο προσωπικό της forkast μπορεί να αποκτήσει εσωτερική πρόσβαση στα δεδομένα σου μέσω εσωτερικού εργαλείου διαχείρισης (backoffice), αποκλειστικά για τη λειτουργία, την υποστήριξη και την αποσφαλμάτωση (debugging) της υπηρεσίας. Η πρόσβαση αυτή μπορεί να καλύπτει τα δεδομένα του λογαριασμού, τα δεδομένα συναλλαγών / τιμολογίων myDATA, τις καταχωρίσεις του Ημερολογίου Ταμείου, τα στοιχεία επαλήθευσης επιχείρησης (KYB), το μητρώο προμηθευτών και τα συμβάντα χρήσης της εφαρμογής. Αυτό δεν αποτελεί κοινοποίηση σε τρίτους — πρόκειται για το ίδιο το προσωπικό του υπευθύνου επεξεργασίας — αλλά το γνωστοποιούμε με διαφάνεια. Η πρόσβαση αυτή στηρίζεται στις νομικές βάσεις του Άρθρου 6(1)(β) — εκτέλεση σύμβασης και Άρθρου 6(1)(στ) — έννομο συμφέρον (λειτουργία και υποστήριξη της υπηρεσίας), διέπεται από την αρχή της ελάχιστης απαιτούμενης πρόσβασης (least privilege) και κάθε πρόσβαση καταγράφεται σε αρχείο ελέγχου (audit log), το οποίο περιλαμβάνει τη διεύθυνση IP του προσωπικού που απέκτησε πρόσβαση. Το Subscription Key AADE δεν εκτίθεται ποτέ στο προσωπικό ούτε στο εργαλείο διαχείρισης (παραμένει κρυπτογραφημένο at-rest και δεν επιστρέφεται ποτέ — βλ. §3.2). Τα οικονομικά σου αρχεία (τιμολόγια, γραμμές, κατηγορίες, P&L, ποσά Ημερολογίου Ταμείου) είναι προσβάσιμα μόνο για ανάγνωση από το προσωπικό — δεν τροποποιούνται ποτέ μέσα από το εργαλείο διαχείρισης. Τα δεδομένα παραμένουν εντός ΕΕ· αν το εργαλείο διαχείρισης εκτελείται τοπικά, αυτό συνιστά εσωτερική πρόσβαση του ίδιου του υπευθύνου επεξεργασίας και όχι διαβίβαση σε τρίτη χώρα.
6Διατήρηση Δεδομένων
| Κατηγορία | Περίοδος |
|---|---|
| Δεδομένα λογαριασμού | Έως διαγραφή λογαριασμού |
| Δεδομένα συναλλαγών myDATA | Έως διαγραφή + 5 χρόνια (φορολογική νομοθεσία) |
| Ημερολόγιο Ταμείου | Έως διαγραφή λογαριασμού |
| First-party συμβάντα χρήσης (βλ. §3.5) | Έως διαγραφή λογαριασμού |
| Στοιχεία επαλήθευσης επιχείρησης / KYB (βλ. §3.7) | Έως διαγραφή δεδομένων (αποσύνδεση myDATA) ή διαγραφή λογαριασμού |
| Μητρώο προμηθευτών — aggregate, μη συνδεδεμένο με τον λογαριασμό (βλ. §3.8) | Διατηρείται επ' αόριστον ως συγκεντρωτικό δεδομένο αναφοράς· δεν διαγράφεται με τη διαγραφή του λογαριασμού καθώς δεν είναι συνδεδεμένο με αυτόν |
| Αρχείο ελέγχου εσωτερικής πρόσβασης (operator audit log) — ποιο εξουσιοδοτημένο πρόσωπο προσπέλασε δεδομένα ποιας επιχείρησης και πότε, με τη διεύθυνση IP του, καθώς και κάθε λειτουργική ενέργεια εγγραφής με την αιτιολογία της (βλ. §5.1) | ~1 έτος (διακριτό από τα Logs χρήσης· το ίχνος προνομιακής πρόσβασης διατηρείται σκόπιμα περισσότερο ώστε να επιβιώνει τυχόν διαφοράς) |
| Μεταδεδομένα σύνδεσης λογαριασμού — η διεύθυνση IP και ο χρόνος της τελευταίας σύνδεσής σου (για ασφάλεια λογαριασμού) | Διατηρείται μόνο η τελευταία τιμή (αντικαθίσταται σε κάθε σύνδεση)· διαγράφεται με τη διαγραφή του λογαριασμού |
| Διακριτικό ειδοποιήσεων (push token) | Έως τη διαγραφή του λογαριασμού· διαγράφεται αυτόματα όταν η υπηρεσία το αναφέρει ως ανενεργό (Apple/APNs: 410 / BadDeviceToken· Google/FCM: UNREGISTERED) ή όταν απενεργοποιήσεις τις ειδοποιήσεις |
| Subscription Key AADE | Διαγράφεται αμέσως μετά διαγραφή δεδομένων (αποσύνδεση myDATA), ανάκληση ή διαγραφή λογαριασμού |
7Ασφάλεια Δεδομένων
- Κρυπτογράφηση at-rest: AES-256-GCM για ευαίσθητα πεδία.
- Κωδικοί πρόσβασης: αποθηκεύονται μόνο ως μη αναστρέψιμα hashes (scrypt) — ποτέ σε καθαρό κείμενο.
- Κρυπτογράφηση in-transit: TLS 1.3 για όλες τις επικοινωνίες API.
- Έλεγχος πρόσβασης: Κάθε χρήστης (owner) έχει πρόσβαση μόνο στα δικά του δεδομένα (JWT). Εξουσιοδοτημένο προσωπικό της forkast μπορεί να αποκτήσει πρόσβαση σε δεδομένα λογαριασμού και συναλλαγών αποκλειστικά για τη λειτουργία, την υποστήριξη και την αποσφαλμάτωση της υπηρεσίας, υπό την αρχή της ελάχιστης απαιτούμενης πρόσβασης (least privilege) και με καταγραφή κάθε πρόσβασης σε αρχείο ελέγχου (audit log) — βλ. §5.1.
- Καταγραφή σύνδεσης: αποθηκεύουμε τη διεύθυνση IP και τον χρόνο της τελευταίας σύνδεσής σου, αποκλειστικά για λόγους ασφάλειας του λογαριασμού (εντοπισμός ύποπτης πρόσβασης). Νομική βάση: Άρθρο 6(1)(στ) — έννομο συμφέρον.
- Servers εντός ΕΕ.
8Τα Δικαιώματά σου (GDPR Άρθρα 15–22)
- Πρόσβαση (Άρθρο 15): Αντίγραφο των δεδομένων σου.
- Διόρθωση (Άρθρο 16): Διόρθωση ανακριβών δεδομένων.
- Διαγραφή (Άρθρο 17): «Δικαίωμα στη λήθη».
- Φορητότητα (Άρθρο 20): Δεδομένα σου σε JSON/CSV.
- Εναντίωση (Άρθρο 21): Εναντίωση σε επεξεργασία βάσει εννόμου συμφέροντος.
- Περιορισμός επεξεργασίας (Άρθρο 18).
Επικοινώνησε στο [email protected]. Απαντάμε εντός 30 ημερών. Μπορείς επίσης να απευθυνθείς στην ΑΠΔΠΧ (www.dpa.gr).
8.1 Διαγραφή λογαριασμού & δεδομένων
Σου προσφέρουμε δύο τρόπους διαγραφής:
- Αποσύνδεση & εκκαθάριση επιχείρησης — διαγράφει τα συγχρονισμένα δεδομένα μιας επιχείρησης (τιμολόγια, καταχωρίσεις, εκπαιδευμένες διορθώσεις) και σβήνει αμέσως τα διαπιστευτήρια myDATA, ώστε να μην υπάρχει σιωπηλός επανασυγχρονισμός. Το κέλυφος της επιχείρησης παραμένει ώστε να μπορείς να επανασυνδεθείς με τον ίδιο ΑΦΜ.
- Διαγραφή λογαριασμού — ξεκινά μια περίοδος χάριτος 30 ημερών. Μέσα σε αυτό το διάστημα, αν συνδεθείς ξανά, η διαγραφή ακυρώνεται αυτόματα. Μετά την πάροδο των 30 ημερών, ο λογαριασμός και όλα τα συνδεδεμένα δεδομένα (επιχειρήσεις, τιμολόγια, Ημερολόγιο Ταμείου, διακριτικά ειδοποιήσεων, συμβάντα χρήσης) διαγράφονται οριστικά.
Το συγκεντρωτικό μητρώο προμηθευτών (§3.8) δεν είναι συνδεδεμένο με τον λογαριασμό σου και δεν επηρεάζεται από τη διαγραφή.
9Μεταφορές Δεδομένων Εκτός ΕΕ
Τα δεδομένα αποθηκεύονται αποκλειστικά σε servers εντός ΕΕ. Δεν γίνεται μεταφορά σε τρίτες χώρες χωρίς κατάλληλες εγγυήσεις.
Η μόνη διαβίβαση σε τρίτο στη διαδρομή των ειδοποιήσεων είναι προς την υπηρεσία Apple Push Notification service (APNs) για συσκευές iOS και προς την Google Firebase Cloud Messaging (FCM) για συσκευές Android, αποκλειστικά για την παράδοση των ειδοποιήσεων. Οι υπηρεσίες αυτές ενδέχεται να επεξεργαστούν το διακριτικό εκτός ΕΕ (π.χ. στις ΗΠΑ) υπό τις κατάλληλες συμβατικές εγγυήσεις (Τυποποιημένες Συμβατικές Ρήτρες).
10Cookies
Η εφαρμογή iOS δεν χρησιμοποιεί cookies. Ο ιστότοπος forkast.gr χρησιμοποιεί ελάχιστα cookies — δες την Πολιτική Cookies.
11Αλλαγές στην Πολιτική
Σημαντικές αλλαγές θα σου γνωστοποιούνται με email ή ειδοποίηση στην εφαρμογή τουλάχιστον 30 ημέρες πριν την εφαρμογή τους.
12Επικοινωνία
Email: [email protected] — Θέμα: «GDPR Request — [τύπος αιτήματος]»