WhatsAppinfo@ri-hub.it

Πολιτική Απορρήτου

Ενημέρωση σύμφωνα με τα άρθρα 13–14 του Κανονισμού (ΕΕ) 2016/679 (ΓΚΠΔ). Τελευταία αναθεώρηση: Μάιος 2026.

1. Υπεύθυνος Επεξεργασίας

Υπεύθυνος Επεξεργασίας είναι η Ri-Hub S.r.l. S.T.P., με έδρα στην Ιταλία. Για την άσκηση των δικαιωμάτων που προβλέπει ο ΓΚΠΔ και για κάθε αίτημα, μπορείτε να επικοινωνήσετε στη διεύθυνση privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Επεξεργασία δεδομένων υγείας (Άρθρο 9 ΓΚΠΔ)

Η Ri-Hub είναι μια πλατφόρμα φυσικοθεραπείας online: κατά τη διάρκεια χρήσης της υπηρεσίας συλλέγουμε και επεξεργαζόμαστε δεδομένα που σχετίζονται με την υγεία (ειδική κατηγορία κατά την έννοια του άρ. 9 ΓΚΠΔ), ιδίως: απαντήσεις στα ερωτηματολόγια αναμνηστικού, επίπεδα πόνου, περιγραφές της συμπτωματολογίας, θεραπευτικούς στόχους, σχέδια θεραπείας. Οι βιντεοεπισκέψεις παρέχονται σε πραγματικό χρόνο και δεν καταγράφονται ούτε διατηρούνται σε καμία μορφή ήχου ή βίντεο.

Νομική βάση. Η επεξεργασία των δεδομένων υγείας στηρίζεται σε δύο σωρευτικές βάσεις: τη ρητή συγκατάθεση του υποκειμένου των δεδομένων (άρ. 9.2.α ΓΚΠΔ), η οποία λαμβάνεται κατά την υπογραφή της ενημερωμένης συγκατάθεσης για την υγειονομική περίθαλψη, και την εκτέλεση σύμβασης παροχής υγειονομικών υπηρεσιών (άρ. 9.2.η ΓΚΠΔ) στην οποία το υποκείμενο είναι συμβαλλόμενο μέρος. Η επεξεργασία είναι επίσης σύμφωνη με τις Κατευθυντήριες Γραμμές της Ιταλικής Αρχής Προστασίας Δεδομένων (Garante) σε θέματα τηλεϊατρικής και τις υποδείξεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB). Χωρίς τη χορήγηση των δεδομένων αυτών δεν είναι δυνατή η παροχή της αιτούμενης υγειονομικής υπηρεσίας.

Απαγόρευση διάδοσης και δευτερεύουσας χρήσης. Τα δεδομένα υγείας υποβάλλονται σε επεξεργασία αποκλειστικά για σκοπούς θεραπείας, διάγνωσης και διαχείρισης της αποκαταστατικής διαδρομής του εκάστοτε ασθενούς. Η Ri-Hub ΔΕΝ διαδίδει, ΔΕΝ παραχωρεί, ΔΕΝ πωλεί και ΔΕΝ κοινοποιεί τα δεδομένα υγείας σε τρίτους διαφορετικούς από τα ρητώς εξουσιοδοτημένα υποκείμενα που αναφέρονται στην § 5 (αναθετόμενος φυσικοθεραπευτής και τεχνολογικοί πάροχοι ορισμένοι ως Εκτελούντες την Επεξεργασία). Τα δεδομένα υγείας δεν χρησιμοποιούνται για διαφημιστικούς σκοπούς, κατάρτιση προφίλ ή marketing σε καμία περίπτωση.

Διατήρηση σε συστήματα συμμορφούμενα με την ευρωπαϊκή νομοθεσία. Τα δεδομένα υγείας διατηρούνται σε υποδομή cloud εντός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) σε παρόχους συμμορφούμενους με τον ΓΚΠΔ, με κρυπτογράφηση τόσο κατά τη μεταφορά (TLS 1.3) όσο και εν ηρεμία (at-rest). Κανένα δεδομένο υγείας δεν μεταφέρεται εκτός ΕΕ/ΕΟΧ. Τυχόν τεχνολογικοί εκτελούντες εκτός ΕΕ (π.χ. Stripe για τις πληρωμές) επεξεργάζονται μόνο διοικητικά και λογιστικά δεδομένα — ποτέ δεδομένα υγείας — με βάση τις Τυποποιημένες Συμβατικές Ρήτρες (Standard Contractual Clauses) εγκεκριμένες από την Ευρωπαϊκή Επιτροπή (άρ. 46 ΓΚΠΔ).

Επαγγελματικό απόρρητο. Οι φυσικοθεραπευτές που έχουν πρόσβαση στα δεδομένα υγείας είναι εγγεγραμμένοι στο Επαγγελματικό Μητρώο (Albo) και δεσμεύονται από το επαγγελματικό απόρρητο σύμφωνα με το άρ. 622 του Ιταλικού Ποινικού Κώδικα, το άρ. 200 του Ιταλικού Κώδικα Ποινικής Δικονομίας και τον Κώδικα Δεοντολογίας του επαγγέλματος. Η πρόσβαση στα δεδομένα υγείας περιορίζεται μόνο στον αναθετόμενο ασθενή (αρχή της ελαχιστοποίησης, άρ. 5.1.γ ΓΚΠΔ) και καταγράφεται σε μη τροποποιήσιμα audit log.

Ψευδωνυμοποίηση και ελαχιστοποίηση. Όπου είναι τεχνικά εφικτό, τα δεδομένα υγείας ψευδωνυμοποιούνται ή κρυπτογραφούνται σε επίπεδο εφαρμογής. Συγκεντρωτικά στατιστικά για εσωτερική χρήση ή για συμβεβλημένες κλινικές/εταιρείες παρέχονται αποκλειστικά σε ανώνυμη και συγκεντρωτική μορφή, χωρίς δυνατότητα επανταυτοποίησης του εκάστοτε ασθενούς.

3. Κατηγορίες προσωπικών δεδομένων που επεξεργάζονται

  • Δεδομένα ταυτοποίησης: όνομα, επώνυμο, φορολογικός κωδικός, ημερομηνία γέννησης, διεύθυνση, στοιχεία επικοινωνίας.
  • Έγγραφα ταυτότητας (εικόνα).
  • Διαπιστευτήρια ταυτοποίησης: email, κωδικοί πρόσβασης σε μορφή hash, token Google αν η σύνδεση γίνει μέσω OAuth.
  • Δεδομένα υγείας: αναμνηστικό, πόνος, συμπτώματα, θεραπευτικά σχέδια, αποτελέσματα ερωτηματολογίων αξιολόγησης. Οι συνεδρίες βίντεο δεν καταγράφονται.
  • Δεδομένα πληρωμής: διαχειρίζονται από τον πάροχο Stripe (δεν αποθηκεύουμε τα δεδομένα της κάρτας).
  • Τεχνικά δεδομένα: διεύθυνση IP, log πρόσβασης, αναγνωριστικά συσκευής (αν είναι εγκατεστημένο το Capacitor).
  • Συγκεντρωτικά και ανώνυμα δεδομένα χρήσης (μόνο εφόσον έχετε αποδεχθεί τα cookies analytics).

4. Σκοποί της επεξεργασίας

  • Παροχή της υπηρεσίας φυσικοθεραπείας online (βάση: σύμβαση / ρητή συγκατάθεση Άρ. 9).
  • Διοικητική και λογιστική διαχείριση (βάση: νομική υποχρέωση).
  • Ασφάλεια της εφαρμογής, πρόληψη απάτης και διαγνωστική (βάση: έννομο συμφέρον).
  • Επικοινωνίες σχετικές με την υπηρεσία και ειδοποιήσεις σχετικά με τα ραντεβού (βάση: σύμβαση).
  • Marketing και newsletter μόνο εφόσον έχετε δώσει ξεχωριστή συγκατάθεση κατά την εγγραφή (βάση: συγκατάθεση ανακλητή ανά πάσα στιγμή).
  • Συγκεντρωτικά analytics μόνο εφόσον έχετε αποδεχθεί τα cookies analytics (βάση: συγκατάθεση ανακλητή από το cookie banner).

5. Αποδέκτες και εξωτερικοί εκτελούντες

Όλα τα υποκείμενα που απαριθμούνται παρακάτω έχουν οριστεί ως Εκτελούντες την Επεξεργασία βάσει του άρ. 28 ΓΚΠΔ με ειδική συμβατική πράξη. Κανένα υποκείμενο εκτός αυτής της λίστας δεν έχει πρόσβαση στα δεδομένα σας. Τα δεδομένα υγείας είναι προσβάσιμα αποκλειστικά από τον αναθετόμενο φυσικοθεραπευτή· όλοι οι άλλοι πάροχοι επεξεργάζονται αυστηρά τεχνικά/διοικητικά δεδομένα.

  • Συμβεβλημένοι φυσικοθεραπευτές: έχουν πρόσβαση στα δεδομένα υγείας μόνο του αναθετόμενου ασθενούς για την παροχή της υπηρεσίας. Εγγεγραμμένοι στο Επαγγελματικό Μητρώο, δεσμευόμενοι από το επαγγελματικό απόρρητο βάσει του άρ. 622 του Ιταλικού Ποινικού Κώδικα. Κανένας φυσικοθεραπευτής δεν μπορεί να δει δεδομένα ασθενών που δεν του έχουν ανατεθεί.
  • Cloud hosting ΕΕ (data center εντός του Ευρωπαϊκού Οικονομικού Χώρου): υποδομή εφαρμογής και βάση δεδομένων. Καμία μεταφορά εκτός ΕΕ για τα δεδομένα υγείας. Κρυπτογράφηση TLS κατά τη μεταφορά + κρυπτογράφηση at-rest στους τόμους.
  • Stripe (Ιρλανδία + ΗΠΑ): διαχείριση πληρωμών. Επεξεργάζεται αποκλειστικά διοικητικά δεδομένα (ποσό, email, στοιχεία τιμολόγησης). Ποτέ δεδομένα υγείας. Τυχόν μεταφορά εκτός ΕΕ βάσει Standard Contractual Clauses άρ. 46 ΓΚΠΔ.
  • Google LLC: μόνο εάν συνδέεστε με τον λογαριασμό Google σας (OAuth περιορισμένο σε email + προφίλ) ή εάν ο φυσικοθεραπευτής έχει ενεργοποιήσει τον συγχρονισμό του δικού του Google Calendar (scope calendar.events, ανάγνωση/εγγραφή περιορισμένη στα συμβάντα που δημιουργούνται από την Ri-Hub). Ποτέ δεδομένα υγείας του ασθενούς. Μεταφορά εκτός ΕΕ βάσει Standard Contractual Clauses.
  • PostHog (cloud EU, eu.i.posthog.com): συγκεντρωτικά ανώνυμα analytics μόνο μετά από ρητή συγκατάθεση μέσω του cookie banner. Δεν καταγράφεται IP· session replay απενεργοποιημένο. Ποτέ δεδομένα υγείας.
  • Brevo (Sendinblue): αποστολή συναλλακτικών email και newsletter. Server ΕΕ. Επεξεργάζεται μόνο email + όνομα.
  • Twilio Video (Ιρλανδία + ΗΠΑ): παροχή βιντεοεπισκέψεων σε πραγματικό χρόνο μέσω καναλιών κρυπτογραφημένων κατά τη μεταφορά (SRTP/DTLS). Οι SFU servers της Twilio αναμεταδίδουν τις ροές ήχου/εικόνας μεταξύ φυσικοθεραπευτή και ασθενούς· οι βιντεοεπισκέψεις ΔΕΝ καταγράφονται ούτε διατηρούνται. Μεταφορά εκτός ΕΕ βάσει Standard Contractual Clauses άρ. 46 ΓΚΠΔ.
  • Apple Inc. (ΗΠΑ): μόνο εάν συνδεθείτε με το Apple ID σας μέσω "Sign in with Apple". Επεξεργάζεται αποκλειστικά το αναγνωριστικό Apple + email (προαιρετικό ανώνυμο relay). Ποτέ δεδομένα υγείας. Μεταφορά εκτός ΕΕ βάσει SCC.
  • Firebase Cloud Messaging (Google LLC, ΗΠΑ): για τις push ειδοποιήσεις στις εφαρμογές Android και iOS. Επεξεργάζεται μόνο αδιαφανές token συσκευής. Ποτέ δεδομένα υγείας στο payload. Μεταφορά εκτός ΕΕ βάσει SCC.
  • MinIO (αυτο-φιλοξενούμενο object storage, περιοχή ΕΕ): διατήρηση των υπογεγραμμένων εγγράφων ενημερωμένης συγκατάθεσης (PDF + ταυτότητα μπρος/πίσω). Εσωτερικοί server της Ri-Hub, πρόσβαση περιορισμένη μόνο στο εξουσιοδοτημένο τεχνικό προσωπικό και στον αναθετόμενο φυσικοθεραπευτή. Κρυπτογράφηση at-rest σε επίπεδο τόμου.
  • Εσωτερικό CRM Ri-Hub (αυτο-φιλοξενούμενος server ΕΕ, domain crm.ri-hub.it): σύστημα διαχείρισης φακέλων ασθενών προσβάσιμο μόνο στο κλινικό/διοικητικό προσωπικό της Ri-Hub που δεσμεύεται από επαγγελματικό απόρρητο και συμφωνίες εμπιστευτικότητας. Λαμβάνει αυτόματο συγχρονισμό συμβάντων: εγγραφή, προγραμματισμένη αναμνηστική συνέντευξη, υπογεγραμμένη συγκατάθεση, αγορά συνεδριών, ολοκληρωμένες συνεδρίες.
  • Calendly (ΗΠΑ): εάν ο φυσικοθεραπευτής έχει συνδέσει τον λογαριασμό του Calendly για συγχρονισμό διαθεσιμότητας εκτός Ri-Hub. Επεξεργάζεται μόνο μεταδεδομένα slot (ημερομηνίες/ώρες), κανένα κλινικό δεδομένο. Μεταφορά εκτός ΕΕ βάσει SCC.
  • Google Analytics 4 (Google LLC, ΗΠΑ): συγκεντρωτικές μετρήσεις χρήσης μόνο μετά από ρητή συγκατάθεση μέσω του cookie banner. IP ανωνυμοποιημένη, εξατομίκευση διαφημίσεων απενεργοποιημένη ως προεπιλογή. Ποτέ δεδομένα υγείας. SCC.

6. Τα δικαιώματά σας (Άρ. 15–22 ΓΚΠΔ)

Έχετε δικαίωμα: πρόσβασης στα δεδομένα σας, διόρθωσής τους, διαγραφής τους ("δικαίωμα στη λήθη"), περιορισμού της επεξεργασίας, λήψης τους σε φορητή μορφή, εναντίωσης στην επεξεργασία, ανάκλησης ανά πάσα στιγμή των συγκαταθέσεων που έχετε δώσει (συμπεριλαμβανομένων των cookies analytics και marketing) χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν την ανάκληση.

Μπορείτε επίσης να υποβάλετε καταγγελία στην Ιταλική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Garante) (www.garanteprivacy.it).

Για την άσκηση των δικαιωμάτων επικοινωνήστε στη διεύθυνση privacy@ri-hub.it. Η διαγραφή του λογαριασμού από την εφαρμογή συνεπάγεται την αφαίρεση των προσωπικών δεδομένων εντός 30 ημερών· για φορολογικές και συμβατικές υποχρεώσεις ορισμένα αρχεία (π.χ. τιμολόγηση, ραντεβού) διατηρούνται σε ψευδωνυμοποιημένη μορφή για το χρονικό διάστημα που προβλέπει ο νόμος.

7. Περίοδος διατήρησης

  • Δεδομένα λογαριασμού και υγείας: για όλη τη διάρκεια της συμβατικής σχέσης και έως 10 χρόνια από τη λήξη της, αποκλειστικά για σκοπούς υποχρέωσης διατήρησης του υγειονομικού και φορολογικού φακέλου.
  • Token ταυτοποίησης: το refresh token ανανεώνεται σε κάθε σύνδεση, μέγιστη διάρκεια 365 ημερών αδράνειας.
  • Ανώνυμα δεδομένα analytics (PostHog): 12 μήνες.
  • Τεχνικά log ασφαλείας: 6 μήνες.

8. Μέτρα ασφαλείας

Λαμβάνουμε τεχνικά και οργανωτικά μέτρα κατάλληλα για τον κίνδυνο σύμφωνα με το άρ. 32 ΓΚΠΔ:

  • Κρυπτογράφηση κατά τη μεταφορά: TLS 1.3 υποχρεωτικό σε όλες τις συνδέσεις μεταξύ εφαρμογής/ιστοτόπου και backend, καμία επικοινωνία σε καθαρή μορφή.
  • Κρυπτογράφηση at-rest: οι τόμοι όπου βρίσκονται τα δεδομένα υγείας είναι κρυπτογραφημένοι σε επίπεδο δίσκου· τα token OAuth και τα πιο ευαίσθητα δεδομένα είναι επιπλέον κρυπτογραφημένα σε επίπεδο εφαρμογής.
  • Ταυτοποίηση: refresh token με hashing SHA-256 και αυτόματη εναλλαγή· οι κωδικοί πρόσβασης δεν αποθηκεύονται ποτέ σε καθαρή μορφή (hash με τυπικούς αλγορίθμους PBKDF2/argon2).
  • Έλεγχος πρόσβασης (RBAC): διακριτοί ρόλοι ασθενής / φυσικοθεραπευτής / διαχειριστής με ελάχιστα προνόμια· ο φυσικοθεραπευτής βλέπει μόνο τα δεδομένα των ασθενών που του έχουν ανατεθεί.
  • Audit log: αμετάβλητη καταγραφή των προσβάσεων στα δεδομένα υγείας, διατηρούμενη 6 μήνες για σκοπούς ασφαλείας.
  • Backup: κρυπτογραφημένα και εκδοχοποιημένα backup, αποθηκευμένα σε περιοχή ΕΕ, ελεγχόμενα περιοδικά.
  • Εντοπισμός σε ΕΕ: τα δεδομένα υγείας βρίσκονται αποκλειστικά σε υποδομή cloud εντός του Ευρωπαϊκού Οικονομικού Χώρου· καμία μεταφορά εκτός ΕΕ για δεδομένα υγείας.
  • Πρότυπα ασφαλείας των παρόχων: οι πάροχοι hosting και cloud που χρησιμοποιούνται λειτουργούν με πιστοποιήσεις ISO 27001 / SOC 2 και είναι GDPR-compliant.
  • Εκπαίδευση και διαδικασίες: το προσωπικό εκπαιδεύεται σε θέματα απορρήτου + ασφαλείας· σχέδιο διαχείρισης παραβίασης δεδομένων με κοινοποίηση στην Garante εντός 72 ωρών (άρ. 33 ΓΚΠΔ) και στο υποκείμενο σε περίπτωση υψηλού κινδύνου (άρ. 34).

9. Ανήλικοι

Η υπηρεσία δεν προορίζεται για ανήλικους κάτω των 14 ετών. Για χρήστες μεταξύ 14 και 18 ετών η επεξεργασία απαιτεί τη συγκατάθεση του ασκούντος τη γονική μέριμνα (Ιταλικό Ν.Δ. 101/2018 άρ. 2-quinquies). Εάν είστε γονέας και υποψιάζεστε ότι ανήλικος κάτω των 14 ετών έχει δημιουργήσει λογαριασμό, επικοινωνήστε στη διεύθυνση privacy@ri-hub.it για να ζητήσετε άμεση διαγραφή.

Για λεπτομερείς πληροφορίες σχετικά με τη χρήση των cookies (απαραίτητα, analytics κ.λπ.) συμβουλευτείτε την Πολιτική Cookies. Μπορείτε να τροποποιήσετε τις προτιμήσεις σας ανά πάσα στιγμή από το cookie banner στην αρχική σελίδα.

11. Τροποποιήσεις

Η παρούσα ενημέρωση μπορεί να ενημερωθεί. Η τρέχουσα έκδοση δημοσιεύεται στην ri-hub.it/el/privacy και αντιγράφεται στην εφαρμογή app.ri-hub.it/privacy για να εξασφαλίζεται η πρόσβαση και σε λειτουργία Capacitor offline. Τελευταία αναθεώρηση: Μάιος 2026.

Πολιτική Απορρήτου | Ri-Hub