ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ

Παρακαλούμε διαβάστε προσεκτικά την παρακάτω πολιτική απορρήτου που διέπει τον τρόπο με τον οποίο επεξεργαζόμαστε τα προσωπικά σας δεδομένα.

Α. ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΠΟΡΡΗΤΟΥ

Η εταιρεία με την επωνυμία «DRAFA TECHNOLOGIES ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ», με Αριθμό Γενικού Εμπορικού Μητρώου 172734201000, Αριθμό Φορολογικού Μητρώου 802237690 και έδρα επί της οδού Αγίου Παντελεήμονος 8, Χαλάνδρι, Αθήνα, Τ.Κ. 15334, Ελλάδα (εφεξής η «DRAFA Technologies» ή «Μας»), μέσω της παρούσας Πολιτικής Απορρήτου (εφεξής η «Πολιτική»), υπό την ιδιότητά της ως Υπεύθυνος Επεξεργασίας Δεδομένων, αποσκοπεί στην ενημέρωση των χρηστών του ιστοτόπου της (εφεξής ο «Ιστότοπος») και της εφαρμογής της για κινητές συσκευές, tablets, έξυπνες συσκευές και διεπαφές προγραμματισμού εφαρμογών (συλλογικά, η «Εφαρμογή») σχετικά με τον σκοπό και τα μέσα με τα οποία επεξεργάζεται τα Προσωπικά τους Δεδομένα.

Η DRAFA Technologies σέβεται την ιδιωτικότητα και τα Προσωπικά Δεδομένα όλων των φυσικών προσώπων με τα οποία συναλλάσσεται. Στο πλαίσιο αυτό, και με σκοπό την παροχή διαφανούς πληροφόρησης προς όλους τους ενδιαφερόμενους, η DRAFA Technologies δημοσιεύει στον Ιστότοπο και την Εφαρμογή την παρούσα Πολιτική, ώστε να παρέχει επαρκή ενημέρωση για τα Προσωπικά Δεδομένα που επεξεργάζεται στο πλαίσιο των νόμιμων δραστηριοτήτων της.

Η Πολιτική αυτή έχει συνταχθεί λαμβάνοντας υπόψη το ισχύον εθνικό και ευρωπαϊκό νομικό πλαίσιο για την προστασία των Προσωπικών Δεδομένων και ιδίως τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΕΕ) 2016/679 (ο «Κανονισμός») και τον Νόμο 4624/2019, όπως εκάστοτε ισχύει.

Ειδικότερα, η παρούσα Πολιτική αποσκοπεί στην επεξήγηση και αποσαφήνιση των βασικών αρχών και κανόνων Επεξεργασίας Προσωπικών Δεδομένων που τηρεί η DRAFA Technologies, καθώς και στην ενημέρωση των Υποκειμένων των Δεδομένων αναφορικά με τις πράξεις Επεξεργασίας που διενεργούνται, τη νομική βάση των εν λόγω πράξεων και τα νόμιμα δικαιώματά τους.

Β. ΟΡΙΣΜΟΙ

Για τους σκοπούς της παρούσας Πολιτικής, οι ακόλουθοι όροι έχουν την εξής έννοια:

«Εκτελών την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται Προσωπικά Δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας.

«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που εκτελείται επί Προσωπικών Δεδομένων ή συνόλων Προσωπικών Δεδομένων, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως η συλλογή, καταγραφή, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, αναζήτηση, χρήση, γνωστοποίηση με διαβίβαση, διάδοση ή άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.

«Ισχύουσα Νομοθεσία»: η εκάστοτε εθνική και ενωσιακή νομοθεσία περί προστασίας Προσωπικών Δεδομένων και ιδίως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679, ο Ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και ενσωμάτωσης της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και λοιπές διατάξεις», καθώς και οι Αποφάσεις, Οδηγίες και Γνωμοδοτήσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

«Παραβίαση Προσωπικών Δεδομένων»: η παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε Προσωπικά Δεδομένα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.

«Προσωπικά Δεδομένα»: κάθε πληροφορία που αφορά Υποκείμενο των Δεδομένων. Φυσικό πρόσωπο θεωρείται ταυτοποιήσιμο όταν η ταυτότητά του μπορεί να διαπιστωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο όπως όνομα, αριθμός ταυτότητας, δεδομένα τοποθεσίας, διαδικτυακό αναγνωριστικό, ή σε έναν ή περισσότερους παράγοντες που προσδιορίζουν τη φυσική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

«Συγκατάθεση» του Υποκειμένου των Δεδομένων: κάθε ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής ένδειξη της βούλησης του Υποκειμένου των Δεδομένων με την οποία εκφράζει την αποδοχή του για την επεξεργασία των Προσωπικών του Δεδομένων, με δήλωση ή με σαφή θετική ενέργεια.

«Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των Προσωπικών Δεδομένων. Όταν οι σκοποί και τα μέσα επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή κράτους μέλους, ο Υπεύθυνος Επεξεργασίας ή τα ειδικά κριτήρια διορισμού του μπορεί να προβλέπονται από το δίκαιο της Ένωσης ή κράτους μέλους.

«Υποκείμενο των Δεδομένων»: το φυσικό πρόσωπο του οποίου τα Προσωπικά Δεδομένα υφίστανται επεξεργασία. Στην προκειμένη περίπτωση, ως Υποκείμενο των Δεδομένων θεωρείται κάθε χρήστης του Ιστότοπου και της Εφαρμογής Μας.

Γ. ΓΕΝΙΚΕΣ ΑΡΧΕΣ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Κατά την επεξεργασία Προσωπικών Δεδομένων, η DRAFA Technologies διασφαλίζει τα εξής:

1. Ότι η επεξεργασία των δεδομένων γίνεται νόμιμα, σύμφωνα με τις διατάξεις της Ισχύουσας Νομοθεσίας και τους όρους που τίθενται σε αυτήν, με διαφανή τρόπο έναντι του Υποκειμένου των Δεδομένων (Αρχή Νομιμότητας, Αντικειμενικότητας και Διαφάνειας).

2. Ότι τα Προσωπικά Δεδομένα υποβάλλονται σε επεξεργασία μόνο για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και δεν υφίστανται περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με αυτούς τους σκοπούς (Αρχή Περιορισμού του Σκοπού).

3. Ότι τα Προσωπικά Δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο απολύτως απαραίτητο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (Αρχή Ελαχιστοποίησης των Δεδομένων).

4. Λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε τα Προσωπικά Δεδομένα να υποβάλλονται σε επεξεργασία με τρόπο που διασφαλίζει επαρκές επίπεδο προστασίας και ασφάλειας, περιλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά. Επιπλέον, επανεξετάζει περιοδικά την επάρκεια και αποτελεσματικότητα των εν λόγω μέτρων (Αρχή Ακεραιότητας και Εμπιστευτικότητας).

5. Καταβάλλει κάθε αναγκαία προσπάθεια ώστε τα Προσωπικά Δεδομένα που διατηρεί και επεξεργάζεται να είναι πάντοτε ακριβή και επικαιροποιημένα και να λαμβάνονται όλα τα εύλογα μέτρα για τη διαγραφή ή διόρθωση ανακριβών δεδομένων το ταχύτερο δυνατόν, σε σχέση με τους σκοπούς της επεξεργασίας (Αρχή Ακρίβειας).

Η DRAFA Technologies δεν διατηρεί τα Προσωπικά Δεδομένα που συλλέγονται για χρονικό διάστημα μεγαλύτερο από αυτό που απαιτείται για την εκπλήρωση των σκοπών για τους οποίους συλλέχθηκαν και υποβάλλονται σε επεξεργασία. Ωστόσο, ενδέχεται να τα διατηρήσει για μεγαλύτερο χρονικό διάστημα, εφόσον η Επεξεργασία τους κρίνεται απαραίτητη για έναν ή περισσότερους από τους εξής λόγους:

  • για τη συμμόρφωση με έννομη υποχρέωση που επιβάλλει η κείμενη νομοθεσία,
  • για την εκτέλεση καθήκοντος που διενεργείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στην DRAFA Technologies,
  • για λόγους δημόσιου συμφέροντος,
  • για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, ή για σκοπούς επιστημονικής ή ιστορικής έρευνας, ή για στατιστικούς σκοπούς, υπό την προϋπόθεση ότι έχουν ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα, περιλαμβανομένης της ψευδωνυμοποίησης, και μόνο εφόσον οι σκοποί αυτοί δεν μπορούν να επιτευχθούν μέσω της ανωνυμοποίησης των δεδομένων,
  • για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων (Αρχή Περιορισμού Χρονικής Διατήρησης).

6. Λαμβάνει τα απαραίτητα και κατάλληλα μέτρα για τη συμμόρφωση με τις απαιτήσεις της Ισχύουσας Νομοθεσίας και είναι σε θέση να αποδείξει οποτεδήποτε τη συμμόρφωση αυτή (Αρχή Διαφάνειας).

Δ. ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΠΟΥ ΣΥΛΛΕΓΟΥΜΕ ΚΑΙ ΕΠΕΞΕΡΓΑΖΟΜΑΣΤΕ, ΣΚΟΠΟΣ ΚΑΙ ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

1. Προσωπικά Δεδομένα που συλλέγονται κατά την εγγραφή

Για να μπορέσει ένας χρήστης να εγγραφεί στον Ιστότοπο και/ή την Εφαρμογή, θα πρέπει να συμπληρώσει τα ακόλουθα πεδία: (α) φύλο, (β) ονοματεπώνυμο, (γ) ημερομηνία γέννησης, (δ) προσωπική διεύθυνση e-mail, (ε) αριθμός τηλεφώνου και (στ) διαπιστευτήρια εισόδου.

2. Προσωπικά Δεδομένα που συλλέγονται μέσω της χρήσης cookies

Όταν περιηγείστε στον Ιστότοπο και/ή την Εφαρμογή, ενδέχεται να συλλέγονται ορισμένες πληροφορίες σχετικές με την επισκεψιμότητα, όπως η διεύθυνση IP του χρήστη, ο τύπος του προγράμματος περιήγησης κ.λπ. Για περισσότερες πληροφορίες σχετικά με τη χρήση cookies στον Ιστότοπο και την Εφαρμογή, παρακαλούμε ανατρέξτε στην Πολιτική Cookies.

3. Σκοπός Επεξεργασίας και Νομική Βάση

Ο σκοπός της συλλογής και Επεξεργασίας αυτών των δεδομένων είναι η βελτίωση της λειτουργικότητας του Ιστότοπου και της Εφαρμογής και των παρεχόμενων υπηρεσιών, καθώς και η ανάλυση της επισκεψιμότητας. Η νομική βάση για την Επεξεργασία των Προσωπικών Δεδομένων είναι η Συγκατάθεση του χρήστη (άρθρο 6, παρ. 1, περ. α του GDPR), η οποία παρέχεται με την αποδοχή των cookies, με εξαίρεση τα απολύτως αναγκαία cookies που εγκαθίστανται μόνιμα και είναι απολύτως απαραίτητα για τη λειτουργία του Ιστότοπου και της Εφαρμογής. Για τα εν λόγω cookies, η νομική βάση της Επεξεργασίας είναι το έννομο συμφέρον της DRAFA Technologies (άρθρο 6, παρ. 1, περ. στ του GDPR). Για αναλυτικές πληροφορίες σχετικά με τα είδη cookies που χρησιμοποιούμε, παρακαλούμε επισκεφθείτε την Πολιτική Cookies Μας.

Ε. ΕΝΗΜΕΡΩΤΙΚΟ ΔΕΛΤΙΟ (NEWSLETTER) & ΕΠΙΚΟΙΝΩΝΙΑ ΓΙΑ ΠΡΟΩΘΗΤΙΚΟΥΣ ΣΚΟΠΟΥΣ

Εφόσον επιλέξετε να λαμβάνετε το ενημερωτικό Μας δελτίο, η DRAFA Technologies θα επεξεργάζεται τη διεύθυνση του ηλεκτρονικού σας ταχυδρομείου (email) προκειμένου να σας αποστέλλει ενημερώσεις, προωθητικές προσφορές και πληροφορίες σχετικά με τις υπηρεσίες Μας. Η εγγραφή στο ενημερωτικό δελτίο είναι προαιρετική και βασίζεται στη ρητή συγκατάθεσή σας. Μπορείτε να ανακαλέσετε τη συγκατάθεσή σας ανά πάσα στιγμή είτε κάνοντας κλικ στον σύνδεσμο «διαγραφή» (unsubscribe) σε οποιοδήποτε email, είτε αλλάζοντας τις προτιμήσεις σας στις ρυθμίσεις του λογαριασμού σας, είτε επικοινωνώντας μαζί Μας στη διεύθυνση support@drafa.app. Δεν πουλάμε ούτε κοινοποιούμε τη διεύθυνση email σας σε τρίτους για σκοπούς μάρκετινγκ χωρίς τη ρητή συγκατάθεσή σας.

ΣΤ. ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΑΝΗΛΙΚΩΝ

Η DRAFA Technologies δεν απευθύνεται ούτε προορίζεται για χρήση από ανηλίκους, και ως εκ τούτου δεν συλλέγει ούτε επεξεργάζεται Προσωπικά Δεδομένα ανηλίκων (δηλαδή προσώπων κάτω των 18 ετών). Ωστόσο, καλούμε τους γονείς/κηδεμόνες να Μας ενημερώνουν άμεσα σε περίπτωση που αντιληφθούν οποιαδήποτε μη εξουσιοδοτημένη γνωστοποίηση δεδομένων από ανηλίκους, ώστε να λάβουμε τα αναγκαία προστατευτικά μέτρα (π.χ. άμεση διαγραφή των δεδομένων). Εφόσον διαπιστώσουμε ότι έχουμε συλλέξει Προσωπικά Δεδομένα ανηλίκου, θα τα διαγράψουμε αμέσως και θα λάβουμε όλα τα αναγκαία μέτρα για την προστασία τους.

Ζ. ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DATA PROTECTION IMPACT ASSESSMENT – DPIA)

Όταν κάποια μορφή Επεξεργασίας ενδέχεται να ενέχει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, διενεργούμε, πριν από την έναρξη της Επεξεργασίας, εκτίμηση του αντικτύπου που μπορεί να έχει η εν λόγω Επεξεργασία στην προστασία των Προσωπικών Δεδομένων («Εκτίμηση Αντικτύπου – DPIA»). Η DPIA είναι μια διαδικασία που περιγράφει την Επεξεργασία, αξιολογεί την αναγκαιότητα και αναλογικότητα της, και συνεισφέρει στη διαχείριση των κινδύνων μέσω της αξιολόγησης και του καθορισμού μέτρων για την αντιμετώπισή τους. Δεν απαιτείται η διενέργεια DPIA για κάθε μορφή Επεξεργασίας, αλλά μόνο όταν αυτή θεωρείται ότι ενέχει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των Υποκειμένων των Δεδομένων. Κατά την εκτίμηση λαμβάνονται υπόψη η φύση, το εύρος, το πλαίσιο και οι σκοποί της Επεξεργασίας, προκειμένου να διαπιστωθεί η πιθανότητα και η σοβαρότητα ενός κινδύνου για τα δικαιώματα και τις ελευθερίες των Υποκειμένων.

Η. ΠΩΣ ΔΙΑΣΦΑΛΙΖΟΥΜΕ ΟΤΙ ΟΙ ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΣΕΒΟΝΤΑΙ ΤΑ ΠΡΟΣΩΠΙΚΑ ΣΑΣ ΔΕΔΟΜΕΝΑ

Η DRAFA Technologies, στο πλαίσιο των δραστηριοτήτων της, ενδέχεται να κοινοποιήσει ή/και να επιτρέψει την πρόσβαση ή/και να διαβιβάσει δεδομένα σε τρίτα μέρη (φυσικά ή νομικά πρόσωπα) που ενεργούν ως Εκτελούντες ή Υπεργολάβοι Επεξεργασίας, προκειμένου να υποστηρίξουν τη λειτουργία της και να εξυπηρετήσουν τους σκοπούς της. Παραδείγματα τέτοιων περιπτώσεων περιλαμβάνουν παρόχους υπηρεσιών, προγραμματιστές ιστοσελίδων, παρόχους cloud, εταιρείες υποστήριξης ανάπτυξης εφαρμογών κ.ά. Οι συνεργαζόμενες εταιρείες που ενεργούν ως Εκτελούντες ή Υπεργολάβοι Επεξεργασίας για λογαριασμό Μας, έχουν δεσμευτεί συμβατικά ως προς τα εξής:

  • να διατηρούν το απόρρητο και την εμπιστευτικότητα των δεδομένων,
  • να επεξεργάζονται τα δεδομένα μόνο για συγκεκριμένο σκοπό και όχι για οποιονδήποτε άλλον,
  • να μην διαβιβάζουν τα δεδομένα σε τρίτους,
  • να λαμβάνουν τα κατάλληλα οργανωτικά και τεχνικά μέτρα ασφάλειας για τη διασφάλιση της προστασίας των δεδομένων, και
  • να συμμορφώνονται με το νομικό πλαίσιο προστασίας Προσωπικών Δεδομένων και ιδίως με τον Κανονισμό και τον Νόμο 4624/2019.

Θ. ΔΙΑΒΙΒΑΣΗ ΣΕ ΤΡΙΤΑ ΜΕΡΗ

Τα Προσωπικά Δεδομένα των χρηστών ενδέχεται να διαβιβαστούν σε δημόσιες αρχές, ανεξάρτητες αρχές κ.λπ., κατά την άσκηση των αρμοδιοτήτων τους ή κατόπιν αιτήματος τρίτου προσώπου που επικαλείται έννομο συμφέρον, τηρουμένων όλων των νόμιμων διαδικασιών και με τα κατάλληλα εχέγγυα για τη διασφάλιση της προστασίας των Προσωπικών Δεδομένων. Η DRAFA Technologies διατηρεί το δικαίωμα να γνωστοποιήσει ή/και να μεταβιβάσει Προσωπικά Δεδομένα σε τρίτο μέρος στο οποίο ενδέχεται να μεταβιβάσει ή να συγχωνεύσει μέρος των επιχειρηματικών της δραστηριοτήτων ή περιουσιακών στοιχείων. Σε περίπτωση αλλαγής στην εταιρική Μας δομή, οι νέοι κύριοι θα έχουν το δικαίωμα να χρησιμοποιούν τα Προσωπικά σας Δεδομένα με τον ίδιο τρόπο που ορίζεται στην παρούσα Πολιτική.

Ι. ΔΙΑΒΙΒΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΕΚΤΟΣ Ε.Ε.

Σε περίπτωση διαβίβασης των Προσωπικών Δεδομένων των χρηστών, τα οποία συλλέγονται μέσω του Ιστότοπου και/ή της Εφαρμογής, σε χώρα εκτός της Ευρωπαϊκής Ένωσης (ΕΕ) ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), η DRAFA Technologies θα αξιολογήσει προηγουμένως:

  1. Αν η Ευρωπαϊκή Επιτροπή έχει εκδώσει απόφαση επάρκειας για τη χώρα στην οποία πρόκειται να γίνει η διαβίβαση, και
  2. Αν έχουν ληφθεί τα κατάλληλα εχέγγυα σύμφωνα με τον Κανονισμό για τη διαβίβαση των δεδομένων αυτών.

Σε αντίθετη περίπτωση, η διαβίβαση σε τρίτη χώρα απαγορεύεται και η DRAFA Technologies δεν θα μεταβιβάσει τα Προσωπικά Δεδομένα των χρηστών, εκτός εάν εφαρμόζεται μία από τις ειδικές εξαιρέσεις που προβλέπονται στον Κανονισμό (π.χ. ρητή συγκατάθεση του χρήστη μετά από ενημέρωση για τους κινδύνους που ενέχει η διαβίβαση, ανάγκη εκτέλεσης σύμβασης κατόπιν αιτήματος του χρήστη, λόγοι δημόσιου συμφέροντος, υποστήριξη νομικών αξιώσεων ή προστασία ζωτικών συμφερόντων του χρήστη κ.λπ.). Όταν, στο πλαίσιο των νόμιμων δραστηριοτήτων της, προκύπτει ανάγκη διαβίβασης Προσωπικών Δεδομένων εκτός Ε.Ε., η DRAFA Technologies θα επιλέγει τους κατάλληλους νομικούς μηχανισμούς διαβίβασης με πλήρη συμμόρφωση προς τον Κανονισμό και την Ισχύουσα Νομοθεσία, και θα ενημερώνει σχετικά τα Υποκείμενα των Δεδομένων.

Κ. ΔΙΑΡΚΕΙΑ ΔΙΑΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ

Τα Προσωπικά Δεδομένα των χρηστών συλλέγονται και διατηρούνται για προκαθορισμένο και περιορισμένο χρονικό διάστημα, ανάλογα με τον σκοπό της Επεξεργασίας, μετά την παρέλευση του οποίου τα δεδομένα διαγράφονται από τα αρχεία της DRAFA Technologies. Όταν η Επεξεργασία επιβάλλεται από διατάξεις του εφαρμοστέου νομικού πλαισίου ή προβλέπεται συγκεκριμένη διάρκεια διατήρησης, τα Προσωπικά σας Δεδομένα θα διατηρούνται για όσο διάστημα απαιτούν οι σχετικές διατάξεις. Τα Προσωπικά Δεδομένα των χρηστών που υποβάλλονται σε επεξεργασία βάσει συγκατάθεσης διατηρούνται έως την ανάκληση αυτής, χωρίς η ανάκληση να επηρεάζει τη νομιμότητα της Επεξεργασίας που προηγήθηκε.

Λ. ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Όλα τα στελέχη και οι υπάλληλοι της DRAFA Technologies φέρουν ευθύνη να διασφαλίζουν ότι τα Προσωπικά Δεδομένα που τηρούνται και υποβάλλονται σε επεξεργασία φυλάσσονται με ασφάλεια και δεν γνωστοποιούνται ή διαβιβάζονται σε τρίτους, εκτός εάν:

  1. ο τρίτος είναι εξουσιοδοτημένος από εμάς να λαμβάνει και να επεξεργάζεται τέτοιες πληροφορίες στο πλαίσιο των νόμιμων δραστηριοτήτων Μας και έχει συναφθεί αντίστοιχη συμφωνία εμπιστευτικότητας· ή
  2. υφίσταται νομική υποχρέωση για αυτό βάσει νόμου ή δικαστικής απόφασης.

Η DRAFA Technologies λαμβάνει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των Προσωπικών Δεδομένων που συλλέγει και επεξεργάζεται. Παρόλο που καμία μέθοδος μετάδοσης μέσω διαδικτύου ή ηλεκτρονικής αποθήκευσης δεν είναι απόλυτα ασφαλής, λαμβάνουμε όλα τα αναγκαία ψηφιακά μέτρα ασφαλείας (firewall, κρυπτογράφηση κ.λπ.).

Η DRAFA Technologies εφαρμόζει, τόσο κατά τον καθορισμό των μέσων Επεξεργασίας όσο και κατά τη διάρκεια αυτής, κατάλληλα τεχνικά και οργανωτικά μέτρα που αποσκοπούν στην ενσωμάτωση των αρχών προστασίας δεδομένων και των απαραίτητων διασφαλίσεων, ώστε να πληρούνται οι απαιτήσεις του Κανονισμού και να προστατεύονται τα δικαιώματα των Υποκειμένων (προστασία δεδομένων εκ κατασκευής).

Επίσης, εφαρμόζει μέτρα ώστε από προεπιλογή να επεξεργάζεται μόνο τα Προσωπικά Δεδομένα που είναι απαραίτητα για κάθε συγκεκριμένο σκοπό, και φροντίζει ώστε το προσωπικό της που ασχολείται με τη συλλογή και Επεξεργασία Προσωπικών Δεδομένων να είναι επαρκώς ενημερωμένο και εκπαιδευμένο.

Σε περίπτωση παραβίασης Προσωπικών Δεδομένων, η DRAFA Technologies θα ενημερώσει άμεσα την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εκτός αν η παραβίαση δεν είναι πιθανό να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, παρέχοντας όλες τις απαραίτητες πληροφορίες και τεκμηρίωση. Αν η παραβίαση είναι πιθανό να επιφέρει υψηλό κίνδυνο, η DRAFA Technologies θα ενημερώσει άμεσα και τα Υποκείμενα των Δεδομένων, εκτός αν η σχετική ενημέρωση απαιτεί δυσανάλογη προσπάθεια ή εν τω μεταξύ έχουν ληφθεί μέτρα που καθιστούν τα δεδομένα ακατανόητα για μη εξουσιοδοτημένα πρόσωπα ή δεν είναι πλέον πιθανό να ανακύψει υψηλός κίνδυνος.

Μ. ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Η DRAFA Technologies διασφαλίζει ότι μπορεί να ανταποκριθεί άμεσα στα αιτήματα των χρηστών για άσκηση των δικαιωμάτων τους σύμφωνα με την Ισχύουσα Νομοθεσία.

Ειδικότερα, κάθε Υποκείμενο των Δεδομένων διαθέτει τα εξής δικαιώματα:

  1. Δικαίωμα Πρόσβασης: Να αιτηθεί πληροφορίες σχετικά με την Επεξεργασία των Προσωπικών του Δεδομένων και να ζητήσει πρόσβαση σε αυτά. Μπορεί επίσης να λάβει αντίγραφο των δεδομένων του και να ελέγξει τη νομιμότητα της Επεξεργασίας.
  2. Δικαίωμα Διόρθωσης: Να αιτηθεί τη διόρθωση των Προσωπικών του Δεδομένων εφόσον είναι ανακριβή ή ελλιπή.
  3. Δικαίωμα Διαγραφής: Να ζητήσει τη διαγραφή των Προσωπικών του Δεδομένων, εφόσον δεν υπάρχει νόμιμη βάση για τη διατήρησή τους.
  4. Δικαίωμα Περιορισμού της Επεξεργασίας: Να ζητήσει τον περιορισμό της Επεξεργασίας υπό συγκεκριμένες προϋποθέσεις.
  5. Δικαίωμα Φορητότητας: Να ζητήσει τη διαβίβαση των δεδομένων του είτε στον ίδιο είτε σε τρίτους.
  6. Δικαίωμα Ανάκλησης/Εναντίωσης: Να ανακαλέσει οποτεδήποτε τη συγκατάθεσή του χωρίς να θίγεται η νομιμότητα της Επεξεργασίας μέχρι εκείνη τη στιγμή, να εναντιωθεί στην Επεξεργασία ή να αντιταχθεί σε απόφαση που λαμβάνεται αποκλειστικά μέσω αυτοματοποιημένης Επεξεργασίας, περιλαμβανομένης της κατάρτισης προφίλ.

Για την άσκηση των ανωτέρω δικαιωμάτων, μπορείτε να επικοινωνήσετε με την DRAFA Technologies στη διεύθυνση support@drafa.app και να υποβάλετε αίτημα:

  • για τη διόρθωση ή διαγραφή των Προσωπικών Δεδομένων που έχετε καταχωρίσει ή Μας έχετε με οποιονδήποτε τρόπο παράσχει ή έχουμε συλλέξει μέσω του Ιστότοπού Μας και/ή της Εφαρμογής·
  • για τον περιορισμό της Επεξεργασίας των Προσωπικών Δεδομένων που έχετε καταχωρίσει ή Μας έχετε με οποιονδήποτε τρόπο παράσχει ή έχουμε συλλέξει μέσω του Ιστότοπού Μας και/ή της Εφαρμογής·
  • για την εναντίωση στην Επεξεργασία των Προσωπικών Δεδομένων που έχετε καταχωρίσει ή Μας έχετε με οποιονδήποτε τρόπο παράσχει ή έχουμε συλλέξει μέσω του Ιστότοπού Μας και/ή της Εφαρμογής·
  • για την πρόσβαση και φορητότητα των Προσωπικών Δεδομένων που έχετε καταχωρίσει ή Μας έχετε με οποιονδήποτε τρόπο παράσχει ή έχουμε συλλέξει μέσω του Ιστότοπού Μας και/ή της Εφαρμογής· και
  • για την ανάκληση της Συγκατάθεσής σας για την Επεξεργασία των Προσωπικών σας Δεδομένων.

Σε περίπτωση άσκησης οποιουδήποτε από τα ανωτέρω δικαιώματα, η DRAFA Technologies θα παρέχει στο Υποκείμενο των Δεδομένων πληροφορίες σχετικά με τις πράξεις Επεξεργασίας κατόπιν αιτήματος, εντός ενός (1) μήνα από την παραλαβή του αιτήματος και την ταυτοποίηση του Υποκειμένου.

Η DRAFA Technologies δύναται να αρνηθεί να συμμορφωθεί εν όλω ή εν μέρει με αίτημα που υποβάλλεται από το Υποκείμενο των Δεδομένων, μόνο εφόσον η άρνηση αυτή δεν απαγορεύεται από τον Κανονισμό ή την εθνική νομοθεσία. Εάν κάποιο αίτημα από το Υποκείμενο των Δεδομένων είναι προδήλως αβάσιμο ή υπερβολικό, ιδίως λόγω επαναληψιμότητας, η DRAFA Technologies διατηρεί το δικαίωμα είτε να επιβάλει εύλογο τέλος, λαμβάνοντας υπόψη το διοικητικό κόστος ικανοποίησης του αιτήματος, είτε να αρνηθεί την ικανοποίησή του.

Ν. ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΗΣ ΓΙΑ ΙΣΤΟΤΟΠΟΥΣ ΤΡΙΤΩΝ

Σε περίπτωση που ο Ιστότοπός Μας και/ή η Εφαρμογή περιέχουν συνδέσμους που ανακατευθύνουν τους χρήστες σε ιστότοπους τρίτων, σας ενημερώνουμε ότι η DRAFA Technologies δεν ασκεί έλεγχο ούτε φέρει ευθύνη για οποιονδήποτε κίνδυνο ή ζημία (θετική/αρνητική) υποστεί ο χρήστης από τη χρήση του περιεχομένου των εν λόγω ιστοσελίδων ή ιστότοπων τρίτων, ούτε για τον τρόπο με τον οποίο επεξεργάζονται τα Προσωπικά Δεδομένα των χρηστών. Η DRAFA Technologies λαμβάνει όλα τα απαραίτητα μέτρα για να διασφαλίσει ότι ο Ιστότοπος και/ή η Εφαρμογή αποτελεί ένα ασφαλές περιβάλλον για τους χρήστες, παρέχοντάς τους έγκυρη, αξιόπιστη και επικαιροποιημένη πληροφόρηση.

Ξ. ΔΙΚΑΙΩΜΑ ΥΠΟΒΟΛΗΣ ΚΑΤΑΓΓΕΛΙΑΣ ΣΤΗΝ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Για οποιοδήποτε παράπονό σας αναφορικά με την παρούσα Πολιτική ή ζητήματα προστασίας Προσωπικών Δεδομένων, εφόσον δεν ικανοποιήσουμε το αίτημά σας και θεωρείτε ότι με οποιονδήποτε τρόπο θίγεται η προστασία των Προσωπικών σας Δεδομένων, έχετε το δικαίωμα να υποβάλετε καταγγελία μέσω ειδικής διαδικτυακής πλατφόρμας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αθήνα, Λεωφόρος Κηφισίας 1-3, Τ.Κ. 115 23, τηλ. +30 210 6475600). Αναλυτικές οδηγίες για την υποβολή καταγγελίας παρέχονται στον ιστότοπο της Αρχής.

Ο. ΕΝΗΜΕΡΩΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ΑΠΟΡΡΗΤΟΥ

Η παρούσα Πολιτική Απορρήτου ενδέχεται να τροποποιείται/επανεξετάζεται στο μέλλον, στο πλαίσιο της κανονιστικής συμμόρφωσης της DRAFA Technologies, καθώς και της βελτιστοποίησης και αναβάθμισης των υπηρεσιών του Ιστότοπου και/ή της Εφαρμογής Μας. Συνιστούμε, επομένως, να ανατρέχετε κάθε φορά στην επικαιροποιημένη έκδοση της Πολιτικής για την πλήρη και έγκαιρη ενημέρωσή σας.

Επικοινωνήστε Μαζί μας

Εάν έχετε ερωτήσεις σχετικά με αυτή την Πολιτική Απορρήτου, παρακαλούμε επικοινωνήστε μαζί μας στο support@drafa.app.

Τελευταία Αναθεώρηση: Απρίλιος 2025.

PRIVACY POLICY

Please read carefully the following privacy policy governing how we process your personal data.

A. SCOPE OF THE PRIVACY POLICY

The company under the name "DRAFT TECHNOLOGIES SOCIETE ANONYME" under the General Business Registry Number 172734201000, Tax Identification Number 802237690, with our registered office at Agiou Panteleimonos 8, Chalandri, Athens, P.C. 15334, Greece (hereinafter referred to as "DRAFA Technologies", "We", "Our" or "Us") with this Privacy Policy (hereinafter referred to as the "Policy") in its capacity as Data Controller aims to inform the users of its website (hereinafter referred to as the "Website") and its application for mobile, tablet and other smart devices and Application program interfaces (collectively, the "Application") about the purpose and the means by which their Personal Data is processed.

DRAFA Technologies respects the privacy and Personal Data of all natural persons dealing with it. In this context, and for the purpose of providing transparent information to all interested parties, DRAFA Technologies posts on its Website and the Application this Policy in order to provide adequate information regarding the Personal Data it processes in the context of its legitimate activities.

This Policy has been drafted taking into account the current National and European legal framework for the protection of Personal Data and in particular the General Data Protection Regulation (EU) 2016/679 ("Regulation") and Law 4624/2019, as amended and in force.

In particular, this Policy aims to explain and clarify the basic principles and rules of Personal Data Processing that DRAFA Technologies complies with, as well as to inform Data Subjects in regards to the Processing operations carried out, the legal basis of such operations and their legal rights.

B. DEFINITIONS

For the purposes of this Policy, the following terms shall have the following meanings:

"Consent" of the Data Subject means any freely given, specific, informed, and unambiguous indication of the Data Subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of Personal Data relating to him or her.

"Controller" means the natural or legal person, public authority, agency, or other body which, alone or jointly with others, determines the purposes and means of the processing of Personal Data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law.

"Data Subject" means the natural person whose Personal Data are processed. In this particular case, the data subject is considered to be any user of Our Website and the Application.

"Existing Legislation" means the respective national and EU legislation on personal data protection and in particular the General Data Protection Regulation (EU) 2016/679, Law 4624/2019 "Personal Data Protection Authority, measures implementing Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and transposing into national law Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 and other provisions" as well as the Decisions, Directives, and Opinions of the Hellenic Data Protection Authority.

"Personal Data" means any information relating to Data Subject; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier, or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural, or social identity of that natural person.

"Personal Data Breach" means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.

"Processing" means any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure, or destruction.

"Processor" means a natural or legal person, public authority, agency, or other body which processes Personal Data on behalf of the Controller.

C. GENERAL PRINCIPLES FOR THE PROCESSING OF PERSONAL DATA

When DRAFA Technologies processes Personal Data, it shall ensure the following:

1. To process such data lawfully, in accordance with the provisions of the Existing Legislation and the conditions laid down therein, in a transparent manner in relation to the Data Subject (Principle of Legitimacy, Objectivity and Transparency).

2. Personal Data is processed only for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes (Principle of Purpose Limitation).

3. Personal Data is adequate, relevant and limited to what is necessary for the purposes for which it is processed (Principle of Data Minimisation).

4. It takes appropriate technical and organisational measures so that Personal Data is processed in a way that ensures an adequate level for its protection and security, including protection against unauthorised or unlawful Processing and accidental loss, destruction or damage. In addition, it shall periodically review the adequacy and effectiveness of these measures (Integrity and Confidentiality Principle).

5. It makes the necessary efforts to ensure that the Personal Data it holds and processes is always accurate and up-to-date and that all reasonable steps are taken to promptly delete or correct Personal Data that are inaccurate in relation to the purposes of the Processing (Principle of Accuracy).

DRAFA Technologies does not retain the Personal Data collected for a longer time period than the one required for the fulfillment of the purposes for which it is collected and processed. However, it may retain Personal Data for a longer time period if the Processing of this data is considered necessary for one or more of the following reasons:

  • to comply with a legal obligation that requires Processing under a provision of law;
  • for the performance of a task carried out in the public interest or in the exercise of official authority vested in DRAFA Technologies;
  • for reasons of public interest;
  • for archiving purposes in the public interest, or for scientific or historical research purposes, or for statistical purposes, after appropriate technical and organisational measures have been taken, including pseudonymisation, and only if these purposes cannot be served by anonymisation of the data;
  • for the establishment, exercise or defence of legal claims (Storage Period Limitation Principle).

6. It takes the necessary and appropriate measures to comply with the requirements of the Existing Legislation and is able to demonstrate at any time the aforementioned compliance (Principle of Accountability).

D. PERSONAL DATA WE COLLECT AND PROCESS, PURPOSE AND LAWFULNESS OF PROCESSING

1. Personal Data collected upon signing up

In order for a user to sign up on the Website and/or the Application, he/she must fill in the relevant fields: (a) gender, (b) full name, (c) date of birth, (d) personal e-mail address, (e) phone number, and (f) credentials.

2. Personal Data collected through the use of cookies

When you browse the Website and/or the Application, certain information related to the traffic of the Website and or/the Application may be collected, such as the user's Internet Protocol (IP) address, the user's type of browser etc. For more information about the use of cookies on the Website and the Application, please refer to the Cookies Policy.

3. Purpose of Processing and Legal Basis

The purpose of the collection and Processing of this data is to improve the functionality of the Website and the Application and the services provided, as well as to analyze its traffic. The legal basis for Processing Personal Data is the user's Consent (GDPR art. 6, par. 1, subpar. a), which is provided by accepting these cookies, with the exception of the absolutely necessary cookies which are permanently installed and are absolutely necessary for the operation of the Website and the Application, for which the legal basis for Processing is the legitimate interest of DRAFA Technologies (GDPR article 6, par. 1, subpar. f). For detailed information on the types of cookies We use, please visit our Cookies Policy.

E. NEWSLETTER & MARKETING COMMUNICATIONS

If you opt to receive our newsletter, DRAFA Technologies will process your email address to send updates, promotional offers, and information about our services. Subscription to the newsletter is optional and based on your explicit Consent. You may withdraw your Consent at any time by clicking the "unsubscribe" link in any email, adjusting your preferences in your account settings, or contacting us at support@drafa.app. We do not sell or share your email address with third parties for marketing purposes without your explicit Consent.

F. PERSONAL DATA OF MINORS

DRAFA Technologies is not aimed or intended to be used by minors and as such it does not collect and process Personal Data of minors (i.e. persons under the age of 18). However, We ask the parents/guardians of minors, in case they become aware of any unauthorized data disclosure on behalf of minors, to immediately notify Us, so that We can take the necessary protective measures (e.g. immediate deletion of their data). If We become aware that we have collected the Personal Data of a minor, We will immediately delete it and take all necessary measures to protect such data.

G. DATA PROTECTION IMPACT ASSESSMENT (DPIA)

Where a type of Processing is likely to present a high risk to the rights and freedoms of natural persons, We shall carry out, prior to the Processing, an assessment of the impact of the envisaged Processing operations on the protection of Personal Data ("Data Protection Impact Assessment -DPIA"). A DPIA constitutes a process designed to describe the Processing, assess its necessity and proportionality and assist in risk management by evaluating and defining measures to address the risks. A DPIA is not required for every form of Processing, but only in cases where a form of Processing is considered to pose a high risk for the rights and freedoms of the Data Subjects. In the context of the impact assessment, the nature, scope, overall context and purposes of the Processing are taken into account in order to assess whether a risk is likely to occur, as well as its seriousness for the rights and freedoms of the Data Subjects.

H. HOW WE ENSURE THAT PROCESSORS RESPECT YOUR PERSONAL DATA

DRAFA Technologies, in the context of its activities, may disclose and/or allow access and/or transfer data to third parties (legal or natural persons) acting as Processors and/or sub-processors, in order to support its operations and serve its purposes, such as, for example, transferring data to service providers, website developers, cloud service providers, application development support companies, etc. Our partner companies that act as Processors and/or sub-processors on Our behalf have agreed and are contractually bound to:

  • maintain privacy and ensure data confidentiality;
  • process the data only for a specific purpose and for no other purpose;
  • not to transmit data to third parties;
  • take appropriate organisational and technical security measures to ensure data protection; and
  • comply with the legal framework for the protection of Personal Data and in particular the Regulation and Law 4624/2019.

I. TRANSMISSION TO THIRD PARTIES

Users' Personal Data may be transmitted to public authorities, independent authorities etc. during the exercise of their powers or at the request of a third party claiming a legitimate interest, following all legal procedures and in compliance with the appropriate safeguards to ensure the protection of Personal Data. DRAFA Technologies reserves the right to disclose and/or transfer Personal Data to a third party to whom it may transfer or merge parts of its business or assets. In the event of a change in Our business, the new owners will have the right to use your Personal Data in the same way as set out in this Policy.

J. TRANSFER OF PERSONAL DATA OUTSIDE THE EU

In the event of a transfer of users' Personal Data collected through the Website and/or the Application to a country outside the European Union (EU) or the European Economic Area (EEA), DRAFA Technologies will first assess whether:

  1. The European Commission has issued an adequacy decision for the third country to which the transfer will take place; and
  2. The appropriate safeguards in accordance with the Regulation are complied with for the transfer of such data.

Otherwise, the transfer to a third country is prohibited and DRAFA Technologies will not transfer the users' Personal Data to that country, unless one of the specific exceptions provided for in the Regulation applies (e.g. the express Consent of the user upon his/her prior informing on the risks involved in the transfer, the transfer is necessary for the performance of a contract at the request of the user, there are reasons of public interest, it is necessary to support legal claims and vital interests of the user, etc.). Where in the course of its lawful activities there is a need to transfer Personal Data outside the EU, DRAFA Technologies will select the appropriate legal transfer mechanisms in full compliance with the Regulation and Existing Legislation and inform the Data Subjects accordingly.

K. DATA RETENTION PERIOD

Users' Personal Data are collected and kept for a predetermined and limited period of time, depending on the purpose of Processing, after which the data is deleted from DRAFA Technologies' files. Where the Processing is imposed as an obligation by provisions of the applicable legal framework or a specific retention period is foreseen, your Personal Data will be stored for as long as the relevant provisions require. The Personal Data of users processed with Consent will be kept until the Consent is withdrawn, without this withdrawal affecting the lawfulness of the processing up to that point.

L. SECURITY OF PERSONAL DATA

All officers and employees of DRAFA Technologies are responsible for ensuring that Personal Data held and processed is kept securely and shall not be disclosed or transferred to any third party unless the third party is authorised by Us to receive and process such information in the context of:

  1. Our lawful activities and where We have entered into a corresponding confidentiality agreement; or
  2. there is a legal obligation to do so by law or court order.

DRAFA Technologies undertakes all appropriate technical and organisational measures to ensure the security of the Personal Data it collects and processes. Although no method of transmission via the Internet or method of electronic storage is completely secure, We take all necessary digital data security measures (firewall, encryption etc.).

DRAFA Technologies implements, both at the time of determining the means of Processing and at the time of Processing, appropriate technical and organisational measures designed to apply data protection principles and incorporate the necessary safeguards in the Processing in such a way that the requirements of the GDPR are met and the rights of Data Subjects are protected (data protection by design).

DRAFA Technologies applies appropriate technical and organisational measures to ensure that, by default, only Personal Data that are necessary for the purpose of the Processing are processed (data protection by default) and shall ensure that the staff involved in the collection and Processing of Personal Data are adequately informed and trained.

In the event of a Personal Data breach, DRAFA Technologies shall inform the Hellenic Data Protection Authority without delay, unless the breach is unlikely to cause a risk to the rights and freedoms of natural persons, providing all the necessary information and documentation. If the breach is likely to pose a high risk to the rights and freedoms of natural persons, DRAFA Technologies shall promptly communicate that breach to the Data Subjects, unless such communication would involve a disproportionate effort, or in the meantime DRAFA Technologies has implemented appropriate technical and organisational protection measures on the data affected by the breach that render it incomprehensible to unauthorised users, or in the meantime We have taken measures to ensure that a high risk to the rights and freedoms of natural persons is no longer likely to arise.

M. RIGHTS OF DATA SUBJECTS

DRAFA Technologies will ensure that it is able to respond promptly to users' requests to exercise their rights under the Existing Legislation.

In particular, each Data Subject has the following rights:

  1. Right of Access to his/her Data: To request information on the Processing of his/her Personal Data and to request access to his/her Personal Data held by DRAFA Technologies. In particular, he/she may request to receive a copy of his/her Personal Data held and to check the lawfulness of the Processing;
  2. Right to Rectification of Inaccurate Data: to request the rectification of his/her Personal Data in case that these data is incorrect or incomplete;
  3. Right to Erasure: To request the erasure of his/her Personal Data if their retention is not based on any legitimate basis or legitimate interest;
  4. Right to Restriction of Processing: To request the restriction of the Processing of his/her Personal Data, subject to specific conditions;
  5. Right to Data Portability: to request the portability/transmission of his/her Personal Data either to himself/herself or to third parties;
  6. Right of Withdrawal/Objection: to withdraw at any time the Consent given to the Processing of his/her Personal Data, without this withdrawal affecting the lawfulness of the processing carried out until then, to object to the Processing of his/her Personal Data by DRAFA Technologies, to object to a decision concerning him/her taken solely on the basis of automated Processing, including profiling.

To exercise your rights, you may contact DRAFA Technologies at support@drafa.app by submitting a request:

  • for the rectification or deletion of the Personal Data you have entered or in any other manner provided Us with or We have collected through Our Website and/or the Application;
  • for the restriction of the Processing of the Personal Data you have entered or in any other manner provided Us with or We have collected through Our Website and/or the Application;
  • for objecting the Processing of the Personal Data you have entered or in any other manner provided Us with or We have collected through Our Website and/or the Application;
  • for access and portability of the Personal Data you have entered or in any other manner provided Us with or We have collected through Our Website and/or the Application; and
  • for the revocation of your Consent to the Processing of your Personal Data.

In case of exercise of any of the above rights, DRAFA Technologies will provide the Data Subject with information on the processing operations upon request submitted within one (1) month from the receipt of the request and the identification of the Data Subject.

DRAFA Technologies may refuse to comply in whole or in part with a request received from the Data Subject, only where such refusal is not prohibited by the Regulation or the national legislation. If a request from the Data Subject is manifestly unfounded or excessive, in particular because of its repetitive nature, We may opt to charge a reasonable fee taking into account the administrative costs required to fulfill such request or refuse to respond to the request.

N. DISCLAIMER FOR THIRD PARTY WEBSITES

In the event that Our Website and/or the Application contains links that redirect users to third-party websites, We inform you that DRAFA Technologies does not control and is not responsible for any risk or damage (positive/ negative) suffered by the user from the use of the content of the website, but also of these websites, nor for the way in which the Personal Data of users is processed. DRAFA Technologies takes all necessary measures to ensure that this Website and/or the Application is a safe environment for users, providing them with valid, reliable and up-to-date information.

O. RIGHT OF APPEAL TO THE HELLENIC DATA PROTECTION AUTHORITY

For any of your complaints regarding this Policy or Personal Data protection issues, if We do not satisfy your request, and you believe that your Personal Data protection is in any way affected, you may submit a complaint through a dedicated portal to the Hellenic Data Protection Authority (HDPA) (Athens, 1-3 Kifissia Avenue, P.C. 115 23, tel. +30 2106475600). Detailed instructions for filing a complaint are provided on the Authority's website.

P. UPDATES TO THE PRIVACY POLICY

This Privacy Policy may be amended/revised in the future, in the context of DRAFA Technologies' regulatory compliance as well as the optimization and upgrading of Our Website and/or the Application services. We therefore recommend that you refer to the updated version of this Policy each time for your adequate information.

Contact Us

If you have questions about this Privacy Policy, please contact us at support@drafa.app.

Revised: April 2025