Πολιτική Απορρήτου

Τελευταία ενημέρωση: Μάρτιος 2026

Η παρούσα Πολιτική Απορρήτου εξηγεί πώς συλλέγονται, χρησιμοποιούνται και προστατεύονται τα προσωπικά δεδομένα σε όλες τις υπηρεσίες του Thess LMS: την ιστοσελίδα marketing (thesslms.com), το περιβάλλον demo (demo.thesslms.com), τον πίνακα διαχείρισης (panel.thesslms.com) και τη σχολική πλατφόρμα (your-school.thesslms.com).

Ανάλογα με τον τρόπο αλληλεπίδρασής σας μαζί μας, συλλέγονται διαφορετικά δεδομένα και διαφορετικά μέρη είναι υπεύθυνα. Κάθε ενότητα παρακάτω εξηγεί ποιος είναι ο Υπεύθυνος Επεξεργασίας και τι ισχύει για εσάς.

1. Επισκέπτες ιστοσελίδας (thesslms.com)

Υπεύθυνος Επεξεργασίας: Thess LMS

Όταν επισκέπτεστε την ιστοσελίδα marketing του Thess LMS, συλλέγουμε ελάχιστα τεχνικά δεδομένα απαραίτητα για τη λειτουργία της ιστοσελίδας.

Δεδομένα που συλλέγονται:

Τεχνικά δεδομένα: Διεύθυνση IP, τύπος προγράμματος περιήγησης, σελίδες που προβλήθηκαν (αρχεία καταγραφής διακομιστή).
Υποβολές φόρμας επικοινωνίας: Όνομα, email, περιεχόμενο μηνύματος (εάν επικοινωνήσετε μαζί μας).

Σκοπός	Νομική βάση
Λειτουργία ιστοσελίδας	Έννομο συμφέρον (λειτουργία πλατφόρμας)
Απάντηση σε ερωτήματα	Συγκατάθεση (εσείς ξεκινάτε την επικοινωνία)

Διατήρηση: Τα αρχεία καταγραφής διακομιστή διατηρούνται για 30 ημέρες. Οι υποβολές φόρμας επικοινωνίας διατηρούνται για 12 μήνες.

Στην ιστοσελίδα marketing χρησιμοποιούμε, μόνο μετά από ρητή συγκατάθεσή σας:

Google Analytics 4 — στατιστική ανάλυση χρήσης (κατηγορία «Analytics»).
First-touch UTM και referrer σε localStorage — για να καταλάβουμε πώς μας βρήκατε (κατηγορία «Διαφημιστικά εργαλεία»).
Meta Pixel (facebook.com) — για attribution διαφημίσεων και retargeting (κατηγορία «Διαφημιστικά εργαλεία»). Το Meta Pixel τοποθετεί cookies `_fbp` και `_fbc` και ενημερώνει τη Meta Platforms όταν επισκεφθείτε τον ιστότοπό μας. Δεν μοιραζόμαστε άλλα προσωπικά στοιχεία εκτός από τη σελίδα προέλευσης και τεχνικές πληροφορίες προγράμματος περιήγησης.

Αν αρνηθείτε, κανένα από τα παραπάνω δεν τοποθετείται.

2. Επισκέπτες demo (demo.thesslms.com)

Υπεύθυνος Επεξεργασίας: Thess LMS

Το Thess LMS λειτουργεί μια δημόσια ιστοσελίδα demo που επιτρέπει σε υποψήφιους ιδιοκτήτες σχολείων να δοκιμάσουν την πλατφόρμα πριν εγγραφούν. Η πρόσβαση απαιτεί συμπλήρωση φόρμας συγκατάθεσης.

Δεδομένα που συλλέγονται (με συγκατάθεση):

Στοιχεία επικοινωνίας: Διεύθυνση email, αριθμός τηλεφώνου (προαιρετικός).
Δεδομένα συμπεριφοράς: Σελίδες που επισκέφθηκαν με χρονική σήμανση, χρόνος παραμονής ανά σελίδα, ρόλοι που δοκιμάστηκαν (ιδιοκτήτης, καθηγητής, γραμματέας, μαθητής, γονέας), αλληλεπιδράσεις (κλικ κουμπιών, χρήση λειτουργιών), αριθμός επισκέψεων.
Τεχνικά δεδομένα: Διεύθυνση IP, τύπος και έκδοση προγράμματος περιήγησης, λειτουργικό σύστημα, τύπος συσκευής (κινητό / tablet / desktop).
Πηγή επίσκεψης: Παράμετροι UTM (utm_source, utm_medium, utm_campaign), διεύθυνση αναφοράς (referrer) — όταν υπάρχουν.
Δεδομένα μετατροπής: Εάν κλείστηκε ραντεβού demo μέσω της πλατφόρμας μας (σύνδεση με το email του lead).

Σκοπός	Νομική βάση
Πρόσβαση στο demo + επικοινωνία με υποψήφιο πελάτη	Art 6(1)(b) GDPR — προ-συμβατικά μέτρα κατόπιν αιτήματος του υποκειμένου
Εσωτερική ανάλυση συμπεριφοράς (βελτίωση προϊόντος)	Art 6(1)(f) GDPR — έννομο συμφέρον (παρουσίαση και βελτίωση demo)
Attribution διαφημίσεων (Meta Pixel + CAPI)	Art 6(1)(a) GDPR — συγκατάθεση μέσω cookie banner (χωριστή)

Meta Pixel: Τοποθετείται μόνο αν έχετε αποδεχτεί την κατηγορία "Διαφημιστικά εργαλεία" στο cookie banner (στο thesslms.com ή στο banner που εμφανίζεται στο demo). Η συγκατάθεση μοιράζεται cross-subdomain μέσω του `_thess_consent` cookie — οπότε η επιλογή σας ισχύει σε όλες τις ιστοσελίδες μας. Αν αρνηθείτε, κανένα Meta tracking δεν γίνεται — ούτε browser Pixel, ούτε server-side Conversions API. Η πρόσβαση στο demo λειτουργεί κανονικά και χωρίς συγκατάθεση.

Κοινοποίηση σε τρίτους: Μόνο η Meta Platforms (μέσω Pixel και Conversions API) λαμβάνει περιορισμένα δεδομένα για attribution διαφημίσεων — και μόνο εάν έχετε δώσει τη συγκατάθεσή σας. Όλα τα άλλα δεδομένα demo αποθηκεύονται αποκλειστικά στην κεντρική βάση δεδομένων του Thess LMS.

Διατήρηση: Τα δεδομένα demo διατηρούνται για 12 μήνες από την ημερομηνία συλλογής και στη συνέχεια διαγράφονται μόνιμα.

Αίτημα διαγραφής: Μπορείτε να ζητήσετε πρόωρη διαγραφή των δεδομένων demo σας ανά πάσα στιγμή, επικοινωνώντας με τον Υπεύθυνο Προστασίας Δεδομένων στο dpo@thesslms.com.

3. Ιδιοκτήτες σχολείων — πίνακας διαχείρισης (panel.thesslms.com)

Υπεύθυνος Επεξεργασίας: Thess LMS

Ο πίνακας διαχείρισης χρησιμοποιείται από τους ιδιοκτήτες σχολείων για τη διαχείριση της συνδρομής, της χρέωσης και της εγκατάστασης του σχολείου τους. Το Thess LMS είναι ο Υπεύθυνος Επεξεργασίας για όλα τα δεδομένα στον πίνακα διαχείρισης.

Δεδομένα που συλλέγονται

Στοιχεία λογαριασμού: Όνομα, επώνυμο, διεύθυνση email, κωδικός πρόσβασης (κατακερματισμένος).

Στοιχεία χρέωσης: Επωνυμία επιχείρησης, ΑΦΜ, διεύθυνση χρέωσης, ΔΟΥ.

Δεδομένα συνδρομής: Τύπος πλάνου, κατάσταση συνδρομής, ημερομηνίες ανανέωσης, ιστορικό πληρωμών.

Δεδομένα τιμολογίων: Αριθμοί τιμολογίων, ποσά, μέθοδος πληρωμής, αναγνωριστικά συναλλαγών, φορολογική κατηγοριοποίηση.

Τεχνικά δεδομένα: Διεύθυνση IP και πληροφορίες προγράμματος περιήγησης (διαχείριση περιόδου λειτουργίας), χρονικές σημάνσεις σύνδεσης.

Σκοποί επεξεργασίας και νομική βάση

Σκοπός	Νομική βάση
Ταυτοποίηση λογαριασμού	Σύμβαση — αναγκαίο για την παροχή υπηρεσίας
Διαχείριση συνδρομής	Σύμβαση
Δημιουργία τιμολογίων και φορολογική αναφορά	Νομική υποχρέωση (ελληνικό φορολογικό δίκαιο)
Επεξεργασία πληρωμών	Σύμβαση
Email συναλλαγών (ανανεώσεις, επιβεβαιώσεις πληρωμών)	Σύμβαση
Ενημερωτικές επικοινωνίες (ενημερώσεις προϊόντος, συμβουλές)	Συγκατάθεση (checkbox κατά την εγγραφή)
Παρακολούθηση σφαλμάτων	Έννομο συμφέρον (σταθερότητα πλατφόρμας)

4. Χρήστες σχολικής πλατφόρμας (your-school.thesslms.com)

Υπεύθυνος Επεξεργασίας: Το Σχολείο σας

Εκτελών την Επεξεργασία: Thess LMS

Αυτή η ενότητα αφορά όλους τους χρήστες ενός σχολείου που λειτουργεί στο Thess LMS: μαθητές, εκπαιδευτικούς, γονείς, επόπτες και γραμματείς.

Το Σχολείο σας είναι ο Υπεύθυνος Επεξεργασίας — το Σχολείο αποφασίζει ποια δεδομένα συλλέγονται, γιατί υποβάλλονται σε επεξεργασία και πόσο χρόνο διατηρούνται. Το Thess LMS είναι ο Εκτελών την Επεξεργασία — αποθηκεύουμε και επεξεργαζόμαστε δεδομένα για λογαριασμό του Σχολείου σας, ακολουθώντας τις οδηγίες του, βάσει Συμφωνίας Επεξεργασίας Δεδομένων (Άρθ. 28 ΓΚΠΔ).

Εάν έχετε ερωτήσεις σχετικά με τα προσωπικά σας δεδομένα στη σχολική πλατφόρμα, επικοινωνήστε απευθείας με το Σχολείο σας.

Δεδομένα που συλλέγονται

Στοιχεία λογαριασμού: Όνομα, διεύθυνση email, ρόλος (μαθητής, εκπαιδευτικός, γονέας κ.λπ.), κατάσταση λογαριασμού.

Στοιχεία προφίλ (προαιρετικά): Αριθμός τηλεφώνου, φύλο, ημερομηνία γέννησης, διεύθυνση, όνομα γονέα/κηδεμόνα, φωτογραφία προφίλ.

Ακαδημαϊκά δεδομένα: Εγγραφή σε τμήμα, αρχεία παρουσιών, υποβολές εργασιών και βαθμοί, προσπάθειες κουίζ και βαθμολογίες, αποτελέσματα τεστ κατάταξης και επίπεδα CEFR, δελτία βαθμολογίας, πόντοι συμπεριφοράς.

Δεδομένα επικοινωνίας: Εσωτερικά μηνύματα μεταξύ χρηστών, αναρτήσεις ροής δραστηριοτήτων, ειδοποιήσεις.

Τεχνικά δεδομένα: Διεύθυνση IP και πληροφορίες προγράμματος περιήγησης (αποθηκεύονται στα δεδομένα περιόδου λειτουργίας για ασφάλεια), χρονικές σημάνσεις σύνδεσης.

Συγκεντρωτικά στατιστικά προγράμματος περιήγησης: Μία φορά ανά περίοδο λειτουργίας καταγράφουμε ανώνυμα το όνομα και την έκδοση του προγράμματος περιήγησης, το λειτουργικό σύστημα και τον τύπο συσκευής σε επίπεδο σχολείου (όχι ανά χρήστη). Χρησιμοποιείται αποκλειστικά για ασφάλεια της πλατφόρμας, εντοπισμό σφαλμάτων και συμβατότητα με προγράμματα περιήγησης. Δεν κοινοποιείται σε τρίτους.

Σκοποί επεξεργασίας και νομική βάση

Σκοπός	Δεδομένα που χρησιμοποιούνται	Νομική βάση
Ταυτοποίηση και ασφάλεια λογαριασμού	Email, κωδικός πρόσβασης (κατακερματισμένος), δεδομένα περιόδου λειτουργίας, κωδικοί 2FA	Σύμβαση — αναγκαίο για την παροχή της υπηρεσίας
Παροχή εκπαιδευτικής υπηρεσίας	Βαθμοί, παρουσίες, αποτελέσματα κουίζ, βαθμολογίες κατάταξης	Σύμβαση — αναγκαίο για την εκπαιδευτική υπηρεσία
Εσωτερική επικοινωνία	Μηνύματα, αναρτήσεις, ειδοποιήσεις	Σύμβαση
Παρακολούθηση προόδου μαθητή	Ακαδημαϊκά αρχεία, δελτία βαθμολογίας, επίπεδα CEFR	Σύμβαση
Διοίκηση σχολείου	Εγγραφές, αρχεία διδάκτρων, αναθέσεις τμημάτων	Σύμβαση
Ασφάλεια πλατφόρμας και έλεγχος	Διεύθυνση IP, user agent, καταγραφή πλαστοπροσωπίας	Έννομο συμφέρον — ασφάλεια της πλατφόρμας
Ασφάλεια πλατφόρμας, εντοπισμός σφαλμάτων και συμβατότητα	Συγκεντρωτικά στατιστικά προγράμματος περιήγησης (όνομα/έκδοση, OS, τύπος συσκευής) ανά σχολείο	Έννομο συμφέρον — ασφάλεια και λειτουργική σταθερότητα

Το Σχολείο μπορεί να βασίζεται σε πρόσθετες νομικές βάσεις (π.χ. νομική υποχρέωση για τήρηση εκπαιδευτικών αρχείων). Επικοινωνήστε με το Σχολείο σας για λεπτομέρειες σχετικά με τη δική σας περίπτωση.

Ποιος μπορεί να δει τα δεδομένα σας;

Ιδιοκτήτης Σχολείου και Επόπτες: Πλήρης πρόσβαση σε όλα τα δεδομένα του σχολείου, συμπεριλαμβανομένων ευαίσθητων πεδίων (τηλέφωνο, διεύθυνση, στοιχεία γονέα).
Γραμματέας Σχολείου: Πρόσβαση σε αρχεία μαθητών, παρουσίες, δίδακτρα, συμπεριλαμβανομένων ευαίσθητων πεδίων.
Εκπαιδευτικοί: Πρόσβαση στα δικά τους τμήματα — ονόματα μαθητών, βαθμοί, παρουσίες. Δεν μπορούν να δουν τηλέφωνα, διευθύνσεις ή στοιχεία γονέων.
Μαθητές: Μπορούν να δουν το δικό τους προφίλ, τους βαθμούς και τις πληροφορίες τμήματος. Δεν μπορούν να δουν προσωπικά δεδομένα άλλων μαθητών.
Γονείς: Μπορούν να δουν τα ακαδημαϊκά στοιχεία του συνδεδεμένου παιδιού τους.

Τα ευαίσθητα πεδία (τηλέφωνο, διεύθυνση, όνομα γονέα/κηδεμόνα, ημερομηνία γέννησης, σημειώσεις) κρυπτογραφούνται σε κατάσταση αδράνειας στη βάση δεδομένων.

5. Υπο-εκτελούντες και διεθνείς μεταφορές

Το Thess LMS χρησιμοποιεί τις ακόλουθες υπηρεσίες τρίτων σε όλα τα πλαίσια:

Υπηρεσία	Χώρα	Σκοπός	Εμπλεκόμενα δεδομένα	Μηχανισμός μεταφοράς
OpenAI	ΗΠΑ	Δημιουργία κουίζ με τεχνητή νοημοσύνη	Κανένα προσωπικό δεδομένο — μόνο παράμετροι κουίζ (λίστες λέξεων, γραμματικά θέματα, επίπεδα CEFR)	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
Viva Wallet	Ελλάδα (ΕΕ)	Επεξεργασία πληρωμών	Δεδομένα τιμολόγησης σχολείου (email, ποσό, αναφορά παραγγελίας)	Δικαιοδοσία ΕΕ
ΑΑΔΕ / MyData	Ελλάδα (ΕΕ)	Υποβολή φορολογικών τιμολογίων	ΑΦΜ, ποσά, επιχειρηματικά στοιχεία	Νομική υποχρέωση
Sentry	ΗΠΑ	Παρακολούθηση σφαλμάτων	Μόνο stack traces — PII απενεργοποιημένο	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
MXroute	ΗΠΑ	Αποστολή email	Όνομα, email, περιεχόμενο μηνύματος	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
Cloudflare R2	ΕΕ (Δυτική Ευρώπη)	Αποθήκευση αρχείων	Αρχεία χρηστών (εργασίες, έγγραφα, εικόνες)	Δικαιοδοσία ΕΕ
Meta Platforms	ΗΠΑ	Attribution διαφημίσεων (Pixel + Conversions API) — μόνο με συγκατάθεση	Hashed email/phone, IP, user agent, browser cookies `_fbp`/`_fbc`, σελίδα προέλευσης	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ

Κανένα προσωπικό δεδομένο μαθητή δεν αποστέλλεται ποτέ στο OpenAI. Για υπηρεσίες με έδρα τις ΗΠΑ, εφαρμόζονται Τυποποιημένες Συμβατικές Ρήτρες (SCCs) της ΕΕ για τη διασφάλιση επαρκούς προστασίας δεδομένων.

6. Διατήρηση δεδομένων

Ιστοσελίδα marketing

Αρχεία καταγραφής διακομιστή: 30 ημέρες.
Υποβολές φόρμας επικοινωνίας: 12 μήνες.

Περιβάλλον demo

Δεδομένα demo: 12 μήνες από τη συλλογή, στη συνέχεια μόνιμη διαγραφή.
Κρατήσεις demo: 3 μήνες μετά την προγραμματισμένη ημερομηνία του demo, στη συνέχεια μόνιμη διαγραφή.

Πίνακας διαχείρισης (ιδιοκτήτες σχολείων)

Δεδομένα λογαριασμού: Διατηρούνται για τη διάρκεια της συνδρομής.
Λογαριασμοί με τιμολόγια: Τα προσωπικά δεδομένα ανωνυμοποιούνται κατά τη λήξη. Τα αρχεία τιμολογίων διατηρούνται σύμφωνα με τον ελληνικό φορολογικό νόμο (ελάχιστο 5 έτη).
Λογαριασμοί χωρίς τιμολόγια: Διαγράφονται εξ ολοκλήρου κατά τη λήξη.
Ορφανοί λογαριασμοί (εγγεγραμμένοι αλλά χωρίς ολοκλήρωση εγκατάστασης): Διαγράφονται αυτόματα μετά από 24 ώρες.

Σχολική πλατφόρμα (μαθητές, εκπαιδευτικοί, γονείς)

Δεδομένα λογαριασμού: Διατηρούνται για τη διάρκεια της εγγραφής. Διαγράφονται μόνιμα όταν το Σχολείο αφαιρέσει τον λογαριασμό σας.
Ακαδημαϊκά αρχεία (βαθμοί, παρουσίες, αποτελέσματα κουίζ): Διατηρούνται για τη διάρκεια της εγγραφής. Διαγράφονται μαζί με τον λογαριασμό σας.
Μηνύματα: Διατηρούνται μέχρι τη διαγραφή του λογαριασμού.
Αρχεία ελέγχου: Διατηρούνται για 12 μήνες, στη συνέχεια διαγράφονται αυτόματα.

Κοινά

Περίοδοι λειτουργίας: Εκκαθαρίζονται μετά τη λήξη (8 ώρες αδράνειας, ή 90 ημέρες με «Να με θυμάσαι»).
Tokens επαναφοράς κωδικού πρόσβασης: Εκκαθαρίζονται καθημερινά.

Όταν ένας λογαριασμός μαθητή διαγράφεται, όλα τα συσχετισμένα δεδομένα αφαιρούνται μόνιμα: μηνύματα, βαθμοί, προσπάθειες κουίζ, αρχεία παρουσιών, αρχεία και μεταφορτώσεις. Αυτή η ενέργεια δεν μπορεί να αναιρεθεί.

7. Τα δικαιώματά σας

Σύμφωνα με τον ΓΚΠΔ, έχετε το δικαίωμα:

Πρόσβασης στα προσωπικά σας δεδομένα.
Διόρθωσης — διορθώστε ανακριβή δεδομένα.
Διαγραφής — ζητήστε τη διαγραφή των δεδομένων σας. Σημείωση: τα τιμολόγια πρέπει να διατηρηθούν σύμφωνα με τη φορολογική νομοθεσία.
Περιορισμού — ζητήστε τον περιορισμό της επεξεργασίας.
Φορητότητας δεδομένων — ζητήστε αντίγραφο των δεδομένων σας σε φορητή μορφή. Παρέχεται εντός 30 ημερών.
Εναντίωσης — αντιταχθείτε στην επεξεργασία βάσει έννομου συμφέροντος.
Ανάκλησης συγκατάθεσης — όπου η επεξεργασία βασίζεται σε συγκατάθεση, μπορείτε να την ανακαλέσετε ανά πάσα στιγμή (π.χ. κατάργηση εγγραφής marketing, διαγραφή δεδομένων demo).

Χρήστες σχολικής πλατφόρμας: Για την άσκηση των δικαιωμάτων σας σχετικά με τα δεδομένα σχολείου, επικοινωνήστε με το Σχολείο σας. Το Σχολείο είναι ο Υπεύθυνος Επεξεργασίας και είναι υπεύθυνο για τον χειρισμό του αιτήματός σας.

Χρήστες πίνακα και επισκέπτες demo: Επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων στο dpo@thesslms.com.

Δικαίωμα υποβολής καταγγελίας: Έχετε το δικαίωμα να υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), Κηφισίας 1-3, 115 23 Αθήνα — www.dpa.gr.

8. Cookies

Σε όλες τις υπηρεσίες του Thess LMS, χρησιμοποιούμε μόνο cookies που είναι αυστηρά απαραίτητα για τη λειτουργία της πλατφόρμας:

Cookie περιόδου λειτουργίας: Αναγνωρίζει τη σύνδεσή σας (λήγει μετά από 8 ώρες αδράνειας).
Cookie «Να με θυμάσαι»: Διατηρεί τη σύνδεσή σας για έως 90 ημέρες όταν επιλεγεί κατά τη σύνδεση.
Token CSRF: Αποτρέπει επιθέσεις cross-site request forgery.
Cookie αξιόπιστης συσκευής: Θυμάται τη συσκευή σας μετά την ταυτοποίηση δύο παραγόντων (90 ημέρες).

Στην ιστοσελίδα marketing (thesslms.com) και στο demo (demo.thesslms.com) — μόνο μετά από ρητή συγκατάθεσή σας μέσω του banner — μπορούν επίσης να τοποθετηθούν τα παρακάτω non-essential cookies:

`_thess_consent` (domain: `.thesslms.com`) — κοινό cookie προτιμήσεων που θυμάται τις επιλογές σας (analytics / attribution) σε όλα τα subdomains. Διάρκεια 12 μήνες.
Google Analytics 4 cookies (`_ga`, `_ga_*`) — στατιστική ανάλυση, μόνο αν επιλέξετε "Analytics".
Meta Pixel cookies (`_fbp`, `_fbc`) — attribution διαφημίσεων, μόνο αν επιλέξετε "Διαφημιστικά εργαλεία".

Αν αρνηθείτε τη συγκατάθεση, κανένα από τα non-essential cookies δεν τοποθετείται και κανένα advertising tracking δεν γίνεται. Στον πίνακα διαχείρισης (panel.thesslms.com) και στις σχολικές πλατφόρμες (*.thesslms.com) δεν τοποθετούνται ποτέ cookies ανάλυσης ή διαφήμισης ανεξάρτητα από τη συγκατάθεσή σας.

9. Μέτρα ασφαλείας

Οι κωδικοί πρόσβασης κατακερματίζονται με bcrypt (δεν αποθηκεύονται ποτέ σε απλό κείμενο).
Τα ευαίσθητα πεδία (τηλέφωνο, διεύθυνση, ημερομηνία γέννησης, στοιχεία γονέα, σημειώσεις) κρυπτογραφούνται σε κατάσταση αδράνειας με AES-256.
Η ταυτοποίηση δύο παραγόντων είναι υποχρεωτική για ιδιοκτήτες σχολείων, επόπτες, εκπαιδευτικούς και γραμματείς. Οι υπερ-διαχειριστές απαιτούν πάντα OTP (χωρίς παράκαμψη αξιόπιστης συσκευής).
Τα δεδομένα κάθε σχολείου είναι απομονωμένα στη δική του βάση δεδομένων (αρχιτεκτονική πολλαπλών ενοικιαστών).
Όλες οι διοικητικές ενέργειες καταγράφονται σε αρχείο ασφαλείας που διατηρείται για 12 μήνες.
Η πλαστοπροσωπία (προβολή ως χρήστης από τον διαχειριστή) λειτουργεί σε κατάσταση μόνο ανάγνωσης και καταγράφεται με πλήρες αρχείο ελέγχου, χρονικές σημάνσεις, διάρκεια και διευθύνσεις IP.
Όλες οι περίοδοι λειτουργίας αποθηκεύονται στη βάση δεδομένων και εκκαθαρίζονται αυτόματα μετά τη λήξη.
Όλα τα frontend assets φιλοξενούνται τοπικά — κανένα δεδομένο χρήστη δεν αποστέλλεται σε CDN τρίτων.
Υποδομή: κρυπτογραφημένα αντίγραφα ασφαλείας που διαχειρίζονται σε επίπεδο υποδομής με όρους φιλοξενίας συμβατούς με την ΕΕ.

10. Δεδομένα ανηλίκων

Σύμφωνα με τον Ελληνικό Νόμο 4624/2019 (Άρθ. 21), η ηλικία ψηφιακής συγκατάθεσης είναι 15 ετών. Για χρήστες κάτω των 15, το Σχολείο είναι υπεύθυνο για τη λήψη συγκατάθεσης από γονέα ή νόμιμο κηδεμόνα πριν από τη δημιουργία λογαριασμού.

Το Σχολείο, ως Υπεύθυνος Επεξεργασίας, φέρει αποκλειστικά την ευθύνη για την επαλήθευση ηλικιών και τη λήψη γονικών συγκαταθέσεων όπως απαιτείται.

Το Thess LMS δεν συλλέγει εν γνώσει του προσωπικά δεδομένα από παιδιά χωρίς να έχει ληφθεί η κατάλληλη γονική συγκατάθεση από το Σχολείο.

11. Επικοινωνία

Χρήστες σχολικής πλατφόρμας: Για ερωτήσεις σχετικά με τα προσωπικά σας δεδομένα, επικοινωνήστε με τη διοίκηση του Σχολείου σας. Το Σχολείο σας είναι ο Υπεύθυνος Επεξεργασίας και είναι υπεύθυνο για τις απαντήσεις στα αιτήματά σας.

Όλα τα υπόλοιπα ερωτήματα: Επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων στο dpo@thesslms.com.

Privacy Policy

Last updated: March 2026

This Privacy Policy explains how personal data is collected, used, and protected across all Thess LMS services: the marketing website (thesslms.com), the demo environment (demo.thesslms.com), the management panel (panel.thesslms.com), and the school platform (your-school.thesslms.com).

Depending on how you interact with us, different data is collected and different parties are responsible. Each section below explains who the Data Controller is and what applies to you.

1. Website visitors (thesslms.com)

Data Controller: Thess LMS

When you visit the Thess LMS marketing website, we collect minimal technical data necessary to serve the website.

Data collected:

Technical data: IP address, browser type, pages viewed (server access logs).
Contact form submissions: Name, email, message content (if you contact us).

Purpose	Legal basis
Serving the website	Legitimate interest (platform operation)
Responding to inquiries	Consent (you initiate contact)

Retention: Server logs are retained for 30 days. Contact form submissions are retained for 12 months.

On the marketing website, only after your explicit consent, we may use:

Google Analytics 4 — usage analytics (category "Analytics").
First-touch UTM and referrer stored in localStorage — to understand how you found us (category "Advertising tools").
Meta Pixel (facebook.com) — for ad attribution and retargeting (category "Advertising tools"). Meta Pixel sets `_fbp` and `_fbc` cookies and notifies Meta Platforms when you visit our site. We do not share any personal data beyond the page URL and basic browser technical information.

If you decline, none of the above are placed.

2. Demo visitors (demo.thesslms.com)

Data Controller: Thess LMS

Thess LMS operates a public demo site that allows prospective school owners to preview the platform before subscribing. Access requires completing a consent form.

Data collected (with consent):

Contact information: Email address, phone number (optional).
Behavioral data: Pages visited with timestamp, time spent on each page, roles previewed (owner, teacher, secretary, student, parent), interactions (button clicks, feature use), visit count.
Technical data: IP address, browser name and version, operating system, device type (mobile / tablet / desktop).
Referral source: UTM parameters (utm_source, utm_medium, utm_campaign) and referrer URL, when present.
Conversion data: Whether a demo session was booked via our platform (linked by the lead's email).

Purpose	Legal basis
Demo access + follow-up with interested prospect	Art 6(1)(b) GDPR — pre-contractual measures at the data subject's request
Internal behavioral analytics (product improvement)	Art 6(1)(f) GDPR — legitimate interest (demo effectiveness and refinement)
Ad attribution (Meta Pixel + CAPI)	Art 6(1)(a) GDPR — consent via separate cookie banner

Meta Pixel: Loaded only if you have accepted the "Advertising tools" category in the cookie banner (either on thesslms.com or the banner shown on demo). Your consent is shared cross-subdomain via the `_thess_consent` cookie, so your choice applies everywhere. If you decline, no Meta tracking occurs — neither browser Pixel nor server-side Conversions API. Demo access works fully without consent.

Third-party sharing: Only Meta Platforms (via Pixel and Conversions API) receives limited data for ad attribution — and only if you have granted consent. All other demo data is stored exclusively in the Thess LMS central database.

Retention: Demo lead data is retained for 12 months from the date of collection and then permanently deleted.

Deletion request: You may request early deletion of your demo data at any time by contacting the Data Protection Officer at dpo@thesslms.com.

3. School owners — management panel (panel.thesslms.com)

Data Controller: Thess LMS

The management panel is used by school owners to manage their subscription, billing, and school setup. Thess LMS is the Data Controller for all data on the management panel.

Data collected

Account information: First name, last name, email address, password (hashed).

Billing information: Business name, VAT number, billing address, tax office.

Subscription data: Plan type, subscription status, renewal dates, payment history.

Invoice data: Invoice numbers, amounts, payment method, transaction IDs, tax classification.

Technical data: IP address and browser information (session management), login timestamps.

Processing purposes and legal basis

Purpose	Legal basis
Account authentication	Contract — necessary for service delivery
Subscription management	Contract
Invoice generation and tax reporting	Legal obligation (Greek tax law)
Payment processing	Contract
Transactional email (renewals, payment confirmations)	Contract
Marketing communications (product updates, tips)	Consent (opt-in checkbox at registration)
Error monitoring	Legitimate interest (platform stability)

4. School platform users (your-school.thesslms.com)

Data Controller: Your School

Data Processor: Thess LMS

This section applies to all users of a school that operates on Thess LMS: students, teachers, parents, supervisors, and secretaries.

Your School is the Data Controller — the School decides what data is collected, why it is processed, and how long it is kept. Thess LMS is the Data Processor — we store and process data on behalf of your School, following their instructions, under a Data Processing Agreement (Art. 28 GDPR).

If you have questions about your personal data on the school platform, contact your School directly.

Data collected

Account information: Name, email address, role (student, teacher, parent, etc.), account status.

Profile information (optional): Phone number, gender, date of birth, address, parent/guardian contact name, avatar photo.

Academic data: Class enrollment, attendance records, homework submissions and grades, quiz attempts and scores, placement test results and CEFR levels, report cards, behavior points.

Communication data: Internal messages between users, activity feed posts, notifications.

Technical data: IP address and browser information (stored in session data for security), login timestamps.

Aggregate browser stats: Once per session we log the browser name and version, operating system, and device type at the school level (not per user). Used solely for platform security, bug diagnostics, and browser compatibility. Not shared with third parties.

Processing purposes and legal basis

Purpose	Data used	Legal basis
Authentication and account security	Email, password (hashed), session data, 2FA codes	Contract — necessary to provide the service
Educational service delivery	Grades, attendance, quiz results, placement scores	Contract — necessary for the educational service
Internal communication	Messages, posts, notifications	Contract
Student progress tracking	Academic records, report cards, CEFR levels	Contract
School administration	Enrollment, tuition records, class assignments	Contract
Platform security and audit	IP address, user agent, impersonation logging	Legitimate interest — security of the platform
Platform security, bug diagnostics, and compatibility	Aggregate browser stats (name/version, OS, device type) per school	Legitimate interest — security and operational stability

The School may rely on additional legal bases (e.g., legal obligation for educational record-keeping). Contact your School for details specific to your situation.

Who can see your data?

School Owner and Supervisors: Full access to all school data, including sensitive fields (phone, address, parent contact).
School Secretary: Access to student records, attendance, tuition, including sensitive fields.
Teachers: Access to their own classes — student names, grades, attendance. Cannot see phone numbers, addresses, or parent contacts.
Students: Can see their own profile, grades, and class information. Cannot see other students' personal data.
Parents: Can see their linked child's academic information.

Sensitive fields (phone, address, parent/guardian name, date of birth, notes) are encrypted at rest in the database.

5. Sub-processors and international transfers

Thess LMS uses the following third-party services across all contexts:

Service	Country	Purpose	Data involved	Transfer safeguard
OpenAI	USA	AI-powered quiz generation	No personal data — quiz parameters only (word lists, grammar topics, CEFR levels)	EU SCCs
Viva Wallet	Greece (EU)	Payment processing	School billing data (email, amount, order reference)	EU jurisdiction
AADE / MyData	Greece (EU)	Tax invoice submission	VAT number, amounts, business details	Legal obligation
Sentry	USA	Error monitoring	Stack traces only — PII disabled	EU SCCs
MXroute	USA	Email delivery	Name, email, message content	EU SCCs
Cloudflare R2	EU (Western Europe)	File storage	User-uploaded files (homework, documents, images)	EU jurisdiction
Meta Platforms	USA	Ad attribution (Pixel + Conversions API) — only with consent	Hashed email/phone, IP, user agent, `_fbp`/`_fbc` cookies, page URL	EU SCCs

No student personal data is ever sent to OpenAI. For US-based services, EU Standard Contractual Clauses (SCCs) are in place to ensure adequate data protection.

6. Data retention

Marketing website

Server logs: 30 days.
Contact form submissions: 12 months.

Demo environment

Demo lead data: 12 months from collection, then permanently deleted.
Demo bookings: 3 months after the scheduled demo date, then permanently deleted.

Management panel (school owners)

Account data: Kept for the duration of the subscription.
Accounts with invoices: Personal data anonymized on termination. Invoice records retained per Greek tax law (minimum 5 years).
Accounts without invoices: Deleted entirely on termination.
Orphaned accounts (registered but never completed setup): Automatically deleted after 24 hours.

School platform (students, teachers, parents)

Account data: Kept for the duration of enrollment. Permanently deleted when the School removes your account.
Academic records (grades, attendance, quiz results): Kept for the duration of enrollment. Deleted with your account.
Messages: Kept until account deletion.
Audit logs: Retained for 12 months, then automatically deleted.

Common

Sessions: Cleared after expiry (8 hours of inactivity, or 90 days with "Remember me").
Password reset tokens: Cleared daily.

When a student account is deleted, all associated data is permanently removed: messages, grades, quiz attempts, attendance records, files, and uploads. This action cannot be undone.

7. Your rights

Under GDPR, you have the right to:

Access your personal data.
Rectification — correct inaccurate data.
Erasure — request deletion of your data. Note: invoices must be retained per tax law.
Restriction — request that processing be limited.
Data portability — request a copy of your data in a portable format. Provided within 30 days.
Object — object to processing based on legitimate interest.
Withdraw consent — where processing is based on consent, you may withdraw at any time (e.g., marketing unsubscribe, demo data deletion).

School platform users: To exercise your rights regarding school data, contact your School. The School is the Data Controller and is responsible for handling your request.

Panel users and demo visitors: Contact the Data Protection Officer at dpo@thesslms.com.

Right to lodge a complaint: You have the right to lodge a complaint with the Hellenic Data Protection Authority (APDPCH), Kifisias 1-3, 115 23 Athens — www.dpa.gr.

8. Cookies

Across all Thess LMS services, we use only cookies that are strictly necessary for the platform to function:

Session cookie: Identifies your login session (expires after 8 hours of inactivity).
Remember-me cookie: Keeps you logged in for up to 90 days when selected at login.
CSRF token: Prevents cross-site request forgery attacks.
Trusted device cookie: Remembers your device after two-factor authentication (90 days).

On the marketing website (thesslms.com) and on the demo (demo.thesslms.com) — only after explicit consent via the cookie banner — we may also place these non-essential cookies:

`_thess_consent` (domain: `.thesslms.com`) — shared preference cookie that remembers your analytics / attribution choices across all subdomains. Lifetime 12 months.
Google Analytics 4 cookies (`_ga`, `_ga_*`) — usage analytics, only if you choose "Analytics".
Meta Pixel cookies (`_fbp`, `_fbc`) — ad attribution, only if you choose "Advertising tools".

If you decline consent, none of the non-essential cookies are placed and no advertising tracking occurs. On the management panel (panel.thesslms.com) and school platforms (*.thesslms.com) no analytics or advertising cookies are ever placed regardless of consent.

9. Security measures

Passwords are hashed with bcrypt (never stored in plain text).
Sensitive fields (phone, address, date of birth, parent contact, notes) are encrypted at rest using AES-256.
Two-factor authentication is required for school owners, supervisors, teachers, and secretaries. Super-administrators always require OTP (no trusted device bypass).
Each school's data is isolated in its own database (multi-tenant architecture).
All administrative actions are recorded in a security log retained for 12 months.
Impersonation (admin viewing as a user) operates in read-only mode and is logged with full audit trail, timestamps, duration, and IP addresses.
All sessions are database-stored and automatically pruned after expiry.
All frontend assets are self-hosted — no user data is sent to third-party CDNs.
Infrastructure: encrypted backups managed at the infrastructure level with EU-compliant hosting terms.

10. Children's data

Under Greek Law 4624/2019 (Art. 21), the age of digital consent is 15 years. For users under 15, the School is responsible for obtaining consent from a parent or legal guardian before creating an account.

The School, as Data Controller, is solely responsible for verifying ages and obtaining parental consents as required.

Thess LMS does not knowingly collect personal data from children without appropriate parental consent being obtained by the School.

11. Contact

School platform users: For questions about your personal data, contact your School administration. Your School is the Data Controller and is responsible for responding to your requests.

All other inquiries: Contact the Data Protection Officer at dpo@thesslms.com.