Privacy Policy
Τελευταία ενημέρωση: 24 Απριλίου 2026
1. Data Controller
Υπεύθυνος επεξεργασίας (Data Controller) των δεδομένων σου είναι η ΞΕΣ AI Ι.Κ.Ε., με έδρα Πραξιτέλους 24, Κηφισιά, 14563, Αττική, Ελλάδα. Για κάθε θέμα που αφορά την προστασία δεδομένων σου, μπορείς να επικοινωνήσεις στο support@kses.gr. Δεν έχουμε υποχρέωση ορισμού Data Protection Officer (DPO) σύμφωνα με το άρθρο 37 GDPR, ωστόσο η ανωτέρω διεύθυνση λειτουργεί ως επίσημο σημείο επικοινωνίας για όλα τα αιτήματα προστασίας δεδομένων.
2. Scope & Εφαρμοστέο Δίκαιο
Η παρούσα πολιτική εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιούμε κατά τη χρήση του ιστοτόπου kses.gr και των υπηρεσιών του. Διέπεται από:
- Τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ 2016/679 — GDPR)
- Τον ελληνικό ν. 4624/2019 για την προστασία δεδομένων
- Την Οδηγία ePrivacy (2002/58/ΕΚ όπως τροποποιήθηκε)
- Τη σχετική καθοδήγηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
3. Αρχές Επεξεργασίας
Η επεξεργασία των δεδομένων σου διέπεται από τις αρχές του άρθρου 5 GDPR: lawfulness, fairness & transparency, purpose limitation, data minimisation (συλλέγουμε μόνο ό,τι είναι απαραίτητο), accuracy, storage limitation (σαφή χρονικά όρια διατήρησης — βλ. ενότητα 8), integrity & confidentiality και accountability.
4. Κατηγορίες Δεδομένων
- Account data: email, hashed password, μικρό όνομα, επιλεγμένη τάξη/μάθημα, ημερομηνία εγγραφής.
- Learning & progress data: απαντήσεις σε ερωτήσεις, response time, ορθότητα, στατιστικά ανά κεφάλαιο, session history, achievements, points, streaks.
- AI interactions: κείμενο ερωτήσεων και μηνύματα προς AI-powered learning features, αθροιστικά στατιστικά που τροφοδοτούν personalized learning summaries.
- Supervisor relationships: συνδέσεις μαθητή-επόπτη (μόνο κατόπιν ρητής αμοιβαίας αποδοχής).
- Technical data: IP address, user agent, request URL, timestamps — για security, troubleshooting και rate limiting.
- Newsletter data: email, locale, timestamp εγγραφής & επιβεβαίωσης (double opt-in).
- Legal acknowledgement data: έκδοση Terms / Privacy που αποδέχθηκες, signup role (self / parent-guardian), timestamp — απαιτείται ως απόδειξη συγκατάθεσης (GDPR άρθρο 7).
- Consent data: οι επιλογές σου για cookies — βλ. ενότητα 12.
Δεν συλλέγουμε ειδικές κατηγορίες δεδομένων (special categories — άρθρο 9 GDPR: υγεία, φυλή, πολιτικές απόψεις κ.λπ.) και δεν σου ζητάμε να παρέχεις τέτοια δεδομένα.
5. Σκοποί & Legal Bases (GDPR Άρθρο 6)
| Σκοπός | Legal Basis |
|---|---|
| Δημιουργία και διαχείριση λογαριασμού. | Εκτέλεση σύμβασης — Άρθρο 6(1)(b) |
| Παροχή της εκπαιδευτικής υπηρεσίας — εμφάνιση ερωτήσεων, αποθήκευση απαντήσεων, υπολογισμός προόδου, AI-powered learning features, personalized recommendations. | Εκτέλεση σύμβασης — Άρθρο 6(1)(b) |
| Supervisor relationships — σύνδεση με επόπτη (γονέας, καθηγητής, trainer ή mentor), προβολή προόδου στον επόπτη. | Εκτέλεση σύμβασης — Άρθρο 6(1)(b) |
| Λειτουργικές ειδοποιήσεις μέσω email (επιβεβαίωση λογαριασμού, password reset, security alerts, ουσιώδεις αλλαγές στους Όρους). | Εκτέλεση σύμβασης — Άρθρο 6(1)(b) |
| Network & information security, πρόληψη απάτης, troubleshooting, rate limiting. | Έννομο συμφέρον — Άρθρο 6(1)(f) |
| Audit logging administrative ενεργειών (moderator actions, content changes). | Έννομο συμφέρον — Άρθρο 6(1)(f) |
| Ποιοτικός έλεγχος και βελτίωση περιεχομένου (διαχείριση reports, αναθεωρήσεις ερωτήσεων). | Έννομο συμφέρον — Άρθρο 6(1)(f) |
| Συμμόρφωση με νομικές υποχρεώσεις (αιτήματα αρχών, διατήρηση audit trail συγκατάθεσης, data subject requests). | Νομική υποχρέωση — Άρθρο 6(1)(c) |
| Analytics cookies — ανώνυμα usage statistics. | Συγκατάθεση — Άρθρο 6(1)(a) |
| Newsletter και marketing επικοινωνία (double opt-in). | Συγκατάθεση — Άρθρο 6(1)(a) |
| Επεξεργασία δεδομένων ανηλίκων κάτω των 15 μέσω γονικής συγκατάθεσης. | Συγκατάθεση γονέα/κηδεμόνα — Άρθρα 6(1)(a), 7, 8 GDPR |
6. Automated Decision-Making & Profiling
Χρησιμοποιούμε αλγορίθμους προσαρμοστικής μάθησης (adaptive learning) και spaced repetition για να προτείνουμε τις κατάλληλες ασκήσεις βάσει της προόδου σου. Αυτό αποτελεί profiling κατά την έννοια του άρθρου 4(4) GDPR, αλλά δεν παράγει νομικά αποτελέσματα ούτε σε επηρεάζει σημαντικά (άρθρο 22 GDPR δεν ενεργοποιείται). Ο αλγόριθμος επιλέγει ποια άσκηση θα εμφανιστεί — δεν λαμβάνει αποφάσεις για εσένα, δεν περιορίζει την πρόσβασή σου σε περιεχόμενο και δεν χρησιμοποιείται για αξιολόγηση πέραν της εκπαιδευτικής καθοδήγησης. Μπορείς ανά πάσα στιγμή να ζητήσεις ανθρώπινη παρέμβαση ή διευκρινίσεις για τον αλγόριθμο στο support@kses.gr.
7. Sub-processors
Για τη λειτουργία της υπηρεσίας συνεργαζόμαστε με τρίτους παρόχους (sub-processors) που ενδέχεται να επεξεργάζονται δεδομένα σου στο πλαίσιο συμβάσεων επεξεργασίας (Data Processing Agreements) που εξασφαλίζουν ισοδύναμο επίπεδο προστασίας. Δίνουμε προτεραιότητα σε παρόχους με data residency εντός EU όπου είναι εφικτό. Ο πίνακας ενημερώνεται όταν αλλάζουν οι πάροχοι και οι ουσιώδεις αλλαγές κοινοποιούνται εκ των προτέρων.
| Πάροχος | Σκοπός | Δικαιοδοσία | Μηχανισμός | Περιγραφή |
|---|---|---|---|---|
| Supabase, Inc. | Hosting & Infrastructure | ΕΕ | — | Database hosting (PostgreSQL), authentication και file storage. Data residency: EU region. |
| Vercel, Inc. | Hosting & Infrastructure | ΕΕ / ΗΠΑ (global edge) | DPF + SCCs (fallback) | Application hosting — serving frontend και εκτέλεση edge functions σε global edge network. Η μητρική εταιρεία εδρεύει στις ΗΠΑ, πιστοποιημένη στο EU-US Data Privacy Framework (DPF) ως πρωταρχικός μηχανισμός διαβίβασης, με Standard Contractual Clauses (SCCs 2021/914) ως fallback. |
| Vercel Analytics | Analytics | ΗΠΑ | DPF + SCCs (fallback) | Ανώνυμο usage analytics (pageviews, performance metrics). Φορτώνεται μόνο μετά από ρητή συγκατάθεσή σου. Καλύπτεται από την πιστοποίηση Vercel στο EU-US Data Privacy Framework (SCCs ως fallback). |
| Resend, Inc. | ΗΠΑ | DPF + SCCs (fallback) | Transactional email (newsletter double opt-in confirmations, account notifications). Πιστοποιημένη στο EU-US Data Privacy Framework· SCCs 2021/914 ως fallback. | |
| OpenAI, Inc. | AI / LLM | ΗΠΑ (OpenAI Ireland Limited για ΕΟΧ) | DPF + SCCs (fallback) | Large Language Model για AI-powered learning features (AI assistant, personalized learning summaries). Τα δεδομένα δεν χρησιμοποιούνται για training των μοντέλων (Business API zero-retention policy). Για χρήστες στον ΕΟΧ, ο συμβατικός αντισυμβαλλόμενος είναι η OpenAI Ireland Limited· η μητρική OpenAI, Inc. είναι επιπλέον πιστοποιημένη στο EU-US DPF, με SCCs 2021/914 ως fallback για τις διαβιβάσεις προς ΗΠΑ. |
8. International Transfers
Τα βασικά σου δεδομένα (database, authentication, files) αποθηκεύονται σε servers εντός της Ευρωπαϊκής Ένωσης. Ορισμένοι sub-processors εδρεύουν ή έχουν support operations εκτός ΕΟΧ (κυρίως ΗΠΑ). Για διαβιβάσεις προς ΗΠΑ στηριζόμαστε κατά κύριο λόγο στην απόφαση επάρκειας EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), όπου ο παραλήπτης είναι DPF-certified. Συμπληρωματικά, και ως μηχανισμός fallback για μη πιστοποιημένους παραλήπτες ή σε περίπτωση αλλαγής στο DPF, εφαρμόζουμε Standard Contractual Clauses (SCCs) της Ευρωπαϊκής Επιτροπής (Decision (EU) 2021/914) μαζί με εκτίμηση επίπτωσης διαβίβασης (transfer impact assessment). Ο πίνακας της ενότητας 7 αναφέρει τη δικαιοδοσία και τον μηχανισμό για κάθε πάροχο.
9. Retention Periods
- Στοιχεία λογαριασμού & προόδου: όσο υπάρχει ο λογαριασμός σου. Όταν τον διαγράψεις, όλα τα σχετικά δεδομένα (απαντήσεις, στατιστικά, achievements κ.λπ.) διαγράφονται οριστικά.
- Ενεργά practice sessions: κλείνουν αυτόματα μετά από 2 ώρες αδράνειας.
- AI progress summaries: αποθηκεύονται προσωρινά για έως 2 ώρες και μετά διαγράφονται αυτόματα.
- Technical logs: έως 30 ημέρες.
- Newsletter: μέχρι να απεγγραφείς. Μετά κρατάμε μόνο το email σου σε suppression list, ώστε να μη σε ξαναγραψόμαστε κατά λάθος.
- Απόδειξη συγκατάθεσης (cookies, Όροι, Privacy): όσο υπάρχει ο λογαριασμός — χρειάζεται ως απόδειξη ότι μας έδωσες τη συγκατάθεσή σου (άρθρο 7 GDPR). Διαγράφεται μαζί με τον λογαριασμό.
10. Τα Δικαιώματά σου
Ως υποκείμενο δεδομένων έχεις τα παρακάτω δικαιώματα:
- Πρόσβαση (άρθρο 15): αντίγραφο των δεδομένων σου και πληροφορίες για την επεξεργασία.
- Διόρθωση (άρθρο 16): διόρθωση ανακριβών ή ελλιπών δεδομένων.
- Διαγραφή (right to be forgotten) (άρθρο 17): διαγραφή δεδομένων όπου δεν υπάρχει άλλη νομική βάση διατήρησης.
- Περιορισμός επεξεργασίας (άρθρο 18).
- Data portability (άρθρο 20): δεδομένα σε δομημένη, συνηθισμένη και machine-readable μορφή.
- Εναντίωση (άρθρο 21), συμπεριλαμβανομένης της εναντίωσης σε profiling.
- Withdraw consent: ανάκληση συγκατάθεσης ανά πάσα στιγμή — εξίσου εύκολη με την παροχή της (άρθρο 7(3)).
- Μη υπαγωγή σε automated decision-making (άρθρο 22) — όπως αναφέρεται στην ενότητα 6, δεν λαμβάνουμε τέτοιες αποφάσεις.
Ανταποκρινόμαστε σε αιτήματα εντός 1 μηνός (δυνατότητα παράτασης έως 2 επιπλέον μήνες για σύνθετα αιτήματα, με σχετική ενημέρωση). Η άσκηση των δικαιωμάτων σου είναι δωρεάν, εκτός εάν το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό (άρθρο 12(5) GDPR).
11. Πώς Ασκείς τα Δικαιώματά σου
- Από τις Ρυθμίσεις: αλλαγή στοιχείων, διαγραφή λογαριασμού, unsubscribe από newsletter, διαχείριση cookies.
- Newsletter unsubscribe: /unsubscribe ή ο σύνδεσμος στο footer κάθε email — δεν απαιτείται login.
- Cookies: ή στη σελίδα /cookies.
- Με email: support@kses.gr για οποιοδήποτε αίτημα που δεν καλύπτεται από τα παραπάνω.
Καταγγελία στην εποπτική αρχή: αν θεωρείς ότι η επεξεργασία παραβιάζει την ισχύουσα νομοθεσία, διατηρείς το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ): Λεωφ. Κηφισίας 1-3, 115 23 Αθήνα, τηλ. +30 210 6475600, www.dpa.gr. Μπορείς επίσης να απευθυνθείς στην εποπτική αρχή του κράτους μέλους της συνήθους διαμονής σου.
12. Cookies & Τοπική Αποθήκευση
Χρησιμοποιούμε strictly necessary cookies για τη λειτουργία της πλατφόρμας (authentication, session, διατήρηση προτιμήσεων) και, μόνο με τη ρητή συγκατάθεσή σου, προαιρετικά cookies για analytics και marketing. Μπορείς να αλλάξεις την επιλογή σου ανά πάσα στιγμή από τις ή στη Cookies Policy.
| Πάροχος | Κατηγορία | Τι αποθηκεύεται | Διάρκεια |
|---|---|---|---|
| Supabase Auth | Strictly Necessary | Authentication & session cookies. Σε κρατούν συνδεδεμένο/η στον λογαριασμό σου μετά το login. | 1 ώρα (access token) · 30 ημέρες (refresh token) |
| kses.gr | Strictly Necessary | UI preferences (theme, sidebar state, background style) που όρισες εσύ, και session flag για server-side rendering. | 7 ημέρες έως μόνιμη |
| kses.gr | Strictly Necessary | Consent record — θυμάται την επιλογή σου για τα cookies ώστε να μη σε ρωτάμε ξανά. Απαραίτητο για να τηρήσουμε την προτίμησή σου. | Μόνιμη (μέχρι να αλλάξεις επιλογή) |
| Vercel Analytics | Analytics | Ανώνυμα pageview statistics και performance metrics. Φορτώνεται μόνο μετά από ρητή συγκατάθεσή σου. | Δεν χρησιμοποιεί cookies / αποθήκευση |
13. AI & Large Language Models
Για AI-powered learning features (AI assistant, personalized learning summaries) αποστέλλουμε στους LLM providers (βλ. πίνακα ενότητας 7): το κείμενο της ερώτησης, το conversation history της συνομιλίας, αθροιστικά στατιστικά επίδοσης, και το όνομα του μαθήματος/τομέα μάθησης. Δεν αποστέλλουμε: email, password, πραγματικό όνομα ή άλλα αναγνωριστικά στοιχεία. Οι πάροχοί μας λειτουργούν βάσει Business API συμβάσεων με zero-retention / no-training-on-customer-data πολιτικές — τα δεδομένα σου δεν χρησιμοποιούνται για training ή fine-tuning των μοντέλων.
14. Minors — Ανήλικοι
Η υπηρεσία απευθύνεται σε άτομα ηλικίας 15 ετών και άνω. Για ανηλίκους κάτω των 15 ο λογαριασμός πρέπει να δημιουργείται από γονέα ή κηδεμόνα που δηλώνει ρητά την ιδιότητά του κατά την εγγραφή (άρθρο 8 GDPR, άρθρο 21 ν. 4624/2019). Η δήλωση καταγράφεται στο immutable legal-acknowledgement log με timestamp. Εάν διαπιστώσουμε λογαριασμό ανηλίκου χωρίς γονική συγκατάθεση, τα δεδομένα διαγράφονται. Γονείς/κηδεμόνες που αντιλαμβάνονται ότι ανήλικος έχει δημιουργήσει λογαριασμό χωρίς τη συγκατάθεσή τους μπορούν να ζητήσουν άμεση διαγραφή στο support@kses.gr.
15. Supervisor Access
Αν συνδεθείς με επόπτη (γονέας, καθηγητής, trainer, mentor ή manager), ο επόπτης μπορεί να βλέπει: το μικρό σου όνομα (ή email ως fallback), στατιστικά προόδου, activity calendar, accuracy και coverage metrics. Η σύνδεση γίνεται μόνο με αμοιβαία αποδοχή και τερματίζεται ανά πάσα στιγμή από οποιαδήποτε πλευρά.
16. Security
Εφαρμόζουμε τα παρακάτω τεχνικά και οργανωτικά μέτρα (άρθρο 32 GDPR):
- HTTPS/TLS για κάθε επικοινωνία, HSTS και strict security headers
- Password hashing με βιομηχανικά standards και storage encryption at rest
- Αυστηροί access controls σε επίπεδο βάσης δεδομένων, ώστε κάθε χρήστης να έχει πρόσβαση μόνο στα δικά του δεδομένα
- CSRF protection, rate limiting, audit logging για όλες τις administrative ενέργειες
- Principle of least privilege στην πρόσβαση προσωπικού της εταιρείας
- Ad-hoc vulnerability reviews και dependency updates
17. Data Breach Notification
Σε περίπτωση breach προσωπικών δεδομένων που ενδέχεται να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες σου, θα ενημερώσουμε την ΑΠΔΠΧ εντός 72 ωρών από την αντίληψη του περιστατικού (άρθρο 33 GDPR). Εάν ο κίνδυνος είναι υψηλός, θα ενημερώσουμε και εσένα χωρίς αδικαιολόγητη καθυστέρηση (άρθρο 34).
18. Αλλαγές στην Πολιτική
Ενδέχεται να ενημερώνουμε την παρούσα πολιτική. Για ουσιώδεις αλλαγές (νέοι sub-processors, νέες κατηγορίες δεδομένων, αλλαγή legal basis) θα σε ειδοποιήσουμε εκ των προτέρων μέσω email και in-app ενημέρωσης. Η συνεχιζόμενη χρήση της Υπηρεσίας μετά την ενημέρωση θεωρείται αποδοχή των ενημερωμένων όρων και καταγράφεται στο append-only legal acknowledgement log. Όπου η αλλαγή απαιτεί από τον νόμο νέα ρητή συγκατάθεση (π.χ. νέος σκοπός επεξεργασίας με νέα νομική βάση, ή νέα ειδική κατηγορία δεδομένων), θα σου ζητηθεί ρητή αποδοχή μέσα στην εφαρμογή πριν συνεχίσεις τη χρήση. Η έκδοση και η ημερομηνία τελευταίας ενημέρωσης αναγράφονται στην αρχή της σελίδας.