Πολιτική Απορρήτου
Ημερομηνία έναρξης ισχύος: 2026-04-20
Τελευταία ενημέρωση: 2026-04-20
Έκδοση: 3.0
Υπεύθυνος επεξεργασίας: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands (KvK 92122167).
Επικοινωνία για θέματα απορρήτου: [email protected]
1. Σε ποιους εφαρμόζεται
Η Carsu B.V. («Carsu», «εμείς») λειτουργεί μια πλατφόρμα SaaS για την αγορά ανταλλακτικών και υπηρεσιών αυτοκινήτου (automotive aftermarket). Η παρούσα πολιτική εξηγεί πώς επεξεργαζόμαστε προσωπικά δεδομένα, σε συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ/GDPR), τον UK GDPR, την οδηγία ePrivacy και το εφαρμοστέο εθνικό δίκαιο προστασίας δεδομένων. Εφαρμόζεται σε:
- Χρήστες της πλατφόρμας (ιδιοκτήτες συνεργείων και το προσωπικό τους)·
- Τελικούς πελάτες αυτών των συνεργείων των οποίων τα δεδομένα επεξεργαζόμαστε μέσω της πλατφόρμας μας·
- Επισκέπτες του ιστότοπου στα www.carsu.com και app.carsu.com.
Τυχόν θυγατρικές, συνδεδεμένες ή εταιρείες του ομίλου της Carsu B.V. που επεξεργάζονται προσωπικά δεδομένα σε σχέση με τις υπηρεσίες μας τηρούν την παρούσα πολιτική.
2. Ο ρόλος μας
| Δραστηριότητα | Ρόλος της Carsu | Νομική βάση |
|---|---|---|
| Λογαριασμός πλατφόρμας, χρέωση, πληρωμές | Υπεύθυνος επεξεργασίας | Σύμβαση (Άρθρο 6 παρ. 1(β)) |
| Δεδομένα τελικών καταναλωτών που υποβάλλονται σε επεξεργασία μέσω της πλατφόρμας | Εκτελών την επεξεργασία (Υπεύθυνος επεξεργασίας είναι το συνεργείο) | Νομική βάση του συνεργείου |
| Μηνύματα που αποστέλλονται σε τελικούς καταναλωτές (WhatsApp, SMS, Viber) | Εκτελών την επεξεργασία | Νομική βάση του συνεργείου |
| Αναλυτικά στοιχεία και cookies ιστότοπου | Υπεύθυνος επεξεργασίας | Συγκατάθεση / έννομο συμφέρον |
Όταν η Carsu ενεργεί ως Εκτελών την επεξεργασία, το συνεργείο παραμένει υπεύθυνο για τη νομιμότητα της επεξεργασίας, συμπεριλαμβανομένης της λήψης τυχόν απαιτούμενων συγκαταθέσεων.
3. Δεδομένα που επεξεργαζόμαστε
Από εσάς ή από το συνεργείο: όνομα, email, τηλέφωνο, επωνυμία επιχείρησης, ΑΦΜ/VAT, διεύθυνση χρέωσης, αριθμό κυκλοφορίας, στοιχεία οχήματος, ιστορικό επισκευών, ραντεβού, μηνύματα, αναγνωριστικά πληρωμής (τα στοιχεία κάρτας αποστέλλονται απευθείας στη Stripe — δεν τα αποθηκεύουμε).
Αυτόματα συλλεγόμενα: διεύθυνση IP, δεδομένα συσκευής και προγράμματος περιήγησης, σελίδες που επισκεφτήκατε, χρήση λειτουργιών, διάρκεια συνεδρίας, cookies (βλ. §10).
4. Νομικές βάσεις
Στηριζόμαστε στη σύμβαση (Άρθρο 6 παρ. 1(β)) για την παροχή της υπηρεσίας, στο έννομο συμφέρον (Άρθρο 6 παρ. 1(στ)) για ασφάλεια, πρόληψη απάτης, βελτίωση του προϊόντος και επικοινωνίες σχετικές με την υπηρεσία, στη συγκατάθεση (Άρθρο 6 παρ. 1(α)) για μάρκετινγκ και μη ουσιώδη cookies, και στη νομική υποχρέωση (Άρθρο 6 παρ. 1(γ)) για φορολογικές, λογιστικές και αιτήσεις αρχών επιβολής του νόμου.
5. Πώς χρησιμοποιούμε τα δεδομένα
Για τη λειτουργία και βελτίωση της πλατφόρμας· για την επεξεργασία πληρωμών· για την αποστολή μηνυμάτων για λογαριασμό των συνεργείων· για την παροχή υποστήριξης (συμπεριλαμβανομένης της μετάφρασης με τη βοήθεια τεχνητής νοημοσύνης μέσω Intercom — η Intercom δεν χρησιμοποιεί τα δεδομένα σας για την εκπαίδευση των μοντέλων της)· για τη δημιουργία ανωνυμοποιημένων συγκεντρωτικών στατιστικών (§7.4)· για τη διασφάλιση της ασφάλειας και την πρόληψη απάτης· για την εκπλήρωση νομικών υποχρεώσεων· και — μόνο με τη συγκατάθεσή σας — για σκοπούς μάρκετινγκ.
Χρήση τεχνητής νοημοσύνης (AI). Τα χαρακτηριστικά AI που διαθέτουμε (μετάφραση Intercom· Anthropic για αποπροσωποποιημένη λειτουργική χρήση) δεν παράγουν νομικά ή παρόμοια σημαντικά αποτελέσματα για εσάς και δεν αποτελούν αυτοματοποιημένη λήψη αποφάσεων κατά την έννοια του Άρθρου 22 GDPR. Κατηγοριοποιούμε τη χρήση AI ως ελάχιστου κινδύνου (minimal risk) βάσει του EU AI Act. Μπορείτε να εξαιρεθείτε από τη μετάφραση με υποστήριξη AI στέλνοντας email στο [email protected].
6. Επικοινωνίες
Μηνύματα σχετικά με την υπηρεσία (ειδοποιήσεις ασφαλείας, χρέωση, αλλαγές όρων) αποστέλλονται με βάση τη σύμβαση ή το έννομο συμφέρον και δεν είναι δυνατή η εξαίρεση από αυτά. Οι επικοινωνίες μάρκετινγκ αποστέλλονται μόνο με τη συγκατάθεσή σας και μπορούν να ανακληθούν ανά πάσα στιγμή μέσω του συνδέσμου κατάργησης εγγραφής (unsubscribe) ή με email στο [email protected].
7. Κοινοποίηση δεδομένων
7.1 Υπο-εκτελούντες την επεξεργασία
Χρησιμοποιούμε τους ακόλουθους υπο-εκτελούντες την επεξεργασία βάσει Συμβάσεων Επεξεργασίας Δεδομένων κατά το Άρθρο 28 GDPR:
| Πάροχος | Σκοπός | Τοποθεσία |
|---|---|---|
| Microsoft Azure | Υποδομή cloud | ΕΕ (Δυτική Ευρώπη) |
| Stripe | Πληρωμές | ΕΕ / ΗΠΑ (SCC) |
| WhatsApp Business API (Meta) | Μηνύματα | ΕΕ / ΗΠΑ (SCC) |
| Viber (Rakuten) | Μηνύματα | ΕΕ / Διεθνώς (SCC) |
| Twilio | Πύλη SMS | ΕΕ / ΗΠΑ (SCC) |
| Intercom | Υποστήριξη & μετάφραση AI | ΗΠΑ (SCC) |
| Anthropic | Υπηρεσίες AI (αποπροσωποποιημένα δεδομένα) | ΗΠΑ (SCC) |
| Mailchimp (Intuit) | Email μάρκετινγκ | ΗΠΑ (SCC) |
| Mixpanel | Αναλυτικά στοιχεία προϊόντος εντός εφαρμογής | ΗΠΑ (SCC) |
| Cloudflare | CDN, μετριασμός bot | ΕΕ / Παγκόσμιο edge (SCC) |
| Google Ireland Ltd. | Αναλυτικά στοιχεία ιστότοπου (GA4, GTM) | ΕΕ / ΗΠΑ (SCC) |
| Microsoft Ireland Operations Ltd. | Αναλυτικά στοιχεία UX ιστότοπου (Clarity) | ΕΕ / ΗΠΑ (SCC) |
| Meta Platforms Ireland Ltd. | Μέτρηση διαφημίσεων (Meta Pixel) | ΕΕ / ΗΠΑ (SCC) |
| LinkedIn Ireland Unlimited Company | Μέτρηση διαφημίσεων (LinkedIn Insight Tag) | ΕΕ / ΗΠΑ (SCC) |
7.2 Αλλαγές υπο-εκτελούντων
Ενημερώνουμε τους χρήστες της πλατφόρμας τουλάχιστον 30 ημέρες πριν από την ανάθεση ή αντικατάσταση υπο-εκτελούντος. Τα δικαιώματα εναντίωσης ορίζονται στη Σύμβαση Επεξεργασίας Δεδομένων (DPA) στους Όρους και Προϋποθέσεις μας (Παράρτημα Α, §A5).
7.3 Άλλοι αποδέκτες
Ενδέχεται να κοινοποιήσουμε προσωπικά δεδομένα σε επαγγελματίες συμβούλους υπό υποχρεώσεις εμπιστευτικότητας, σε αρχές επιβολής του νόμου όπου απαιτείται από τον νόμο, και σε σχέση με συγχώνευση ή εξαγορά (με προηγούμενη ενημέρωση).
7.4 Ανωνυμοποιημένα στατιστικά
Ενδέχεται να κοινοποιήσουμε μη αναστρέψιμα ανωνυμοποιημένα, συγκεντρωτικά στατιστικά σε συνεργάτες του κλάδου. Οι αποδέκτες δεσμεύονται συμβατικά να μην επιχειρήσουν επαναπροσδιορισμό ταυτότητας. Επειδή τα δεδομένα αυτά βρίσκονται εκτός του πεδίου εφαρμογής του GDPR (Αιτιολογική σκέψη 26), δεν συνιστούν διαβίβαση προσωπικών δεδομένων.
Δεν πωλούμε προσωπικά δεδομένα.
8. Τα δικαιώματά σας
Έχετε τα δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, φορητότητας, εναντίωσης και ανάκλησης της συγκατάθεσης ανά πάσα στιγμή — χωρίς να επηρεάζεται η νομιμότητα της προηγούμενης επεξεργασίας. Στείλτε email στο [email protected] για την άσκησή τους. Θα επαληθεύσουμε την ταυτότητά σας και θα απαντήσουμε εντός 30 ημερών (με δυνατότητα παράτασης κατά δύο μήνες για σύνθετα αιτήματα).
Εάν ένα συνεργείο επεξεργάζεται τα δεδομένα σας μέσω της πλατφόρμας μας, το κύριο σημείο επαφής σας είναι το συνεργείο (ως Υπεύθυνος επεξεργασίας). Θα τους συνδράμουμε στον χειρισμό του αιτήματός σας.
9. Διεθνείς διαβιβάσεις
Η κύρια υποδομή μας βρίσκεται στον ΕΟΧ. Όπου δεδομένα διαβιβάζονται εκτός ΕΟΧ ή Ηνωμένου Βασιλείου, βασιζόμαστε στις Standard Contractual Clauses (Απόφαση 2021/914) ή στο UK IDTA/Addendum, συμπληρωμένα με κρυπτογράφηση (TLS 1.2+ κατά τη μεταφορά, AES-256 κατά την αποθήκευση) και αξιολογήσεις επιπτώσεων διαβίβασης. Οι διαβιβάσεις ΕΕ–Ηνωμένου Βασιλείου βασίζονται στην απόφαση επάρκειας του Ηνωμένου Βασιλείου (ανανεώθηκε τον Ιούλιο 2025). Μπορείτε να ζητήσετε αντίγραφο των εφαρμοστέων SCCs στο [email protected].
10. Cookies
Ιστότοπος. Τα cookies στον ιστότοπο www.carsu.com περιγράφονται στην Πολιτική Cookies μας.
Εντός εφαρμογής. Κατά τη σύνδεσή σας στην πλατφόρμα Carsu χρησιμοποιούμε ένα cookie συνεδρίας, ένα cookie προστασίας CSRF και μία προτίμηση γλώσσας (όλα απολύτως απαραίτητα). Χρησιμοποιούμε Mixpanel για αναλυτικά στοιχεία προϊόντος με βάση το έννομο συμφέρον (Άρθρο 6 παρ. 1(στ))· μπορείτε να εναντιωθείτε στέλνοντας email στο [email protected], και θα σταματήσουμε τη συλλογή συμβάντων και θα διαγράψουμε τα σχετικά αρχεία εντός 30 ημερών. Ένας διακόπτης εξαίρεσης (opt-out) εντός της εφαρμογής βρίσκεται στον οδικό χάρτη (roadmap).
11. Διατήρηση
| Δεδομένα | Διατήρηση | Λόγος |
|---|---|---|
| Δεδομένα λογαριασμού και προφίλ | Συνδρομή + 12 μήνες | Παροχή υπηρεσίας και χρονικό παράθυρο εξαγωγής |
| Χρέωση και τιμολόγια | 7 έτη | Ολλανδικό / Ιταλικό φορολογικό δίκαιο |
| Δεδομένα οχήματος και επισκευών | Συνδρομή + 12 μήνες | Παροχή υπηρεσίας |
| Αρχεία καταγραφής επικοινωνιών | 24 μήνες | Παροχή υπηρεσίας, διαφορές |
| Αιτήματα υποστήριξης | 36 μήνες | Διασφάλιση ποιότητας |
| Cookies αναλυτικών στοιχείων | Έως 13 μήνες | Βελτίωση ιστότοπου |
| Cookies μάρκετινγκ | Έως 12 μήνες | Μέτρηση διαφημίσεων |
| Αρχεία συγκατάθεσης μάρκετινγκ | Συγκατάθεση + 3 έτη | Απόδειξη συγκατάθεσης |
Μετά τη λήξη της περιόδου διατήρησης διαγράφουμε ή ανωνυμοποιούμε μη αναστρέψιμα τα δεδομένα.
12. Ασφάλεια
Εφαρμόζουμε τεχνικά και οργανωτικά μέτρα σύμφωνα με το Άρθρο 32 GDPR, συμπεριλαμβανομένης της κρυπτογράφησης κατά τη μεταφορά και την αποθήκευση, του ελέγχου πρόσβασης βάσει ρόλων με την αρχή των ελάχιστων προνομίων, του MFA για όλες τις προσβάσεις διαχειριστή και πλατφόρμας, τακτικών αξιολογήσεων ευπαθειών, καταγραφής προσβάσεων και τεκμηριωμένης απόκρισης σε περιστατικά. Εργαζόμαστε για την επίτευξη των SOC 2 Type II και ISO 27001. Υπεύθυνη αναφορά ευπαθειών: security.txt ή [email protected].
13. Παραβιάσεις δεδομένων
Όταν μια παραβίαση είναι πιθανό να προκαλέσει κίνδυνο για τα δικαιώματά σας, ενημερώνουμε την εποπτική αρχή εντός 72 ωρών (Άρθρο 33) και, όπου ο κίνδυνος είναι υψηλός, ενημερώνουμε εσάς απευθείας χωρίς αδικαιολόγητη καθυστέρηση (Άρθρο 34). Όταν η Carsu ενεργεί ως Εκτελών την επεξεργασία, ενημερώνουμε τον Υπεύθυνο επεξεργασίας (συνεργείο) χωρίς αδικαιολόγητη καθυστέρηση.
14. Κάτοικοι Ηνωμένου Βασιλείου
Οι κάτοικοι Ηνωμένου Βασιλείου έχουν τα ίδια δικαιώματα που περιγράφονται στο §8. Οι διαβιβάσεις μεταξύ ΕΕ και Ηνωμένου Βασιλείου βασίζονται στην απόφαση επάρκειας της ΕΕ για το Ηνωμένο Βασίλειο (ανανεώθηκε τον Ιούλιο 2025, ισχύει έως το 2031). Όπου το δίκαιο προστασίας δεδομένων του Ηνωμένου Βασιλείου έρχεται σε σύγκρουση με την παρούσα πολιτική για κατοίκους Ηνωμένου Βασιλείου, υπερισχύει το δίκαιο του Ηνωμένου Βασιλείου.
15. Ανήλικοι
Οι υπηρεσίες μας είναι B2B και δεν απευθύνονται σε παιδιά. Δεν συλλέγουμε εν γνώσει μας δεδομένα από άτομα κάτω των 16 ετών (ή κάτω των 14 στην Ιταλία, σύμφωνα με το D.Lgs. 101/2018). Εάν ανακαλύψουμε τέτοια δεδομένα, τα διαγράφουμε άμεσα.
16. Αλλαγές
Ενημερώνουμε την παρούσα πολιτική όταν αλλάζουν οι πρακτικές, η τεχνολογία ή οι νομικές υποχρεώσεις μας. Οι ουσιώδεις αλλαγές κοινοποιούνται μέσω email ή εντός της πλατφόρμας τουλάχιστον 30 ημέρες νωρίτερα.
17. Καταγγελίες
Μπορείτε να υποβάλετε καταγγελία στην Ολλανδική Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) — τη βασική εποπτική μας αρχή υπό τον μηχανισμό μίας στάσης (one-stop-shop) του GDPR — ή στην αρχή προστασίας δεδομένων της χώρας διαμονής σας στην ΕΕ (για κατοίκους Ελλάδας: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα — ΑΠΔΠΧ, www.dpa.gr). Προτιμούμε να επικοινωνήσετε πρώτα μαζί μας στο [email protected] ώστε να επιχειρήσουμε να επιλύσουμε το ζήτημά σας απευθείας.
18. Σχετικά έγγραφα
Η παρούσα πολιτική πρέπει να διαβάζεται σε συνδυασμό με τους Όρους και Προϋποθέσεις μας (συμπεριλαμβανομένης της Σύμβασης Επεξεργασίας Δεδομένων στο Παράρτημα Α) και την Πολιτική Cookies.
19. Επικοινωνία
Απόρρητο: [email protected]
Νομικά: [email protected]
Ασφάλεια: [email protected]
Γενικά: [email protected]
Ταχυδρομείο: Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, The Netherlands