Πολιτική Απορρήτου

Τελευταία ενημέρωση: Μάρτιος 2026

Η παρούσα Πολιτική Απορρήτου εξηγεί πώς συλλέγονται, χρησιμοποιούνται και προστατεύονται τα προσωπικά δεδομένα σε όλες τις υπηρεσίες του Thess LMS: την ιστοσελίδα marketing (thesslms.com), το περιβάλλον demo (demo.thesslms.com), τον πίνακα διαχείρισης (panel.thesslms.com) και τη σχολική πλατφόρμα (your-school.thesslms.com).

Ανάλογα με τον τρόπο αλληλεπίδρασής σας μαζί μας, συλλέγονται διαφορετικά δεδομένα και διαφορετικά μέρη είναι υπεύθυνα. Κάθε ενότητα παρακάτω εξηγεί ποιος είναι ο Υπεύθυνος Επεξεργασίας και τι ισχύει για εσάς.

1. Επισκέπτες ιστοσελίδας (thesslms.com)

Υπεύθυνος Επεξεργασίας: Thess LMS

Όταν επισκέπτεστε την ιστοσελίδα marketing του Thess LMS, συλλέγουμε ελάχιστα τεχνικά δεδομένα απαραίτητα για τη λειτουργία της ιστοσελίδας.

Δεδομένα που συλλέγονται:

Τεχνικά δεδομένα: Διεύθυνση IP, τύπος προγράμματος περιήγησης, σελίδες που προβλήθηκαν (αρχεία καταγραφής διακομιστή).
Υποβολές φόρμας επικοινωνίας: Όνομα, email, περιεχόμενο μηνύματος (εάν επικοινωνήσετε μαζί μας).

Σκοπός	Νομική βάση
Λειτουργία ιστοσελίδας	Έννομο συμφέρον (λειτουργία πλατφόρμας)
Απάντηση σε ερωτήματα	Συγκατάθεση (εσείς ξεκινάτε την επικοινωνία)

Διατήρηση: Τα αρχεία καταγραφής διακομιστή διατηρούνται για 30 ημέρες. Οι υποβολές φόρμας επικοινωνίας διατηρούνται για 12 μήνες.

Χρησιμοποιούμε cookies ανάλυσης (Google Analytics) στην ιστοσελίδα marketing, μόνο μετά από ρητή συγκατάθεσή σας. Δεν χρησιμοποιούμε cookies διαφήμισης ή παρακολούθησης.

2. Επισκέπτες demo (demo.thesslms.com)

Υπεύθυνος Επεξεργασίας: Thess LMS

Το Thess LMS λειτουργεί μια δημόσια ιστοσελίδα demo που επιτρέπει σε υποψήφιους ιδιοκτήτες σχολείων να δοκιμάσουν την πλατφόρμα πριν εγγραφούν. Η πρόσβαση απαιτεί συμπλήρωση φόρμας συγκατάθεσης.

Δεδομένα που συλλέγονται (με συγκατάθεση):

Στοιχεία επικοινωνίας: Διεύθυνση email, αριθμός τηλεφώνου.
Δεδομένα συμπεριφοράς: Σελίδες που επισκέφθηκαν, χρόνος παραμονής ανά σελίδα, ρόλος που προβλήθηκε, αλληλεπιδράσεις (κλικ κουμπιών, χρήση λειτουργιών).
Τεχνικά δεδομένα: Διεύθυνση IP.
Δεδομένα μετατροπής: Εάν κλείστηκε ραντεβού demo μέσω Calendly.

Σκοπός	Νομική βάση
Επικοινωνία με ενδιαφερόμενους υποψήφιους πελάτες	Συγκατάθεση (checkbox GDPR στη φόρμα demo)
Βελτίωση εμπειρίας demo	Συγκατάθεση

Κοινοποίηση σε τρίτους: Καμία. Όλα τα δεδομένα demo αποθηκεύονται στην κεντρική βάση δεδομένων του Thess LMS και δεν κοινοποιούνται σε κανέναν τρίτο.

Διατήρηση: Τα δεδομένα demo διατηρούνται για 12 μήνες από την ημερομηνία συλλογής και στη συνέχεια διαγράφονται μόνιμα.

Αίτημα διαγραφής: Μπορείτε να ζητήσετε πρόωρη διαγραφή των δεδομένων demo σας ανά πάσα στιγμή, επικοινωνώντας με τον Υπεύθυνο Προστασίας Δεδομένων στο dpo@thesslms.com.

3. Ιδιοκτήτες σχολείων — πίνακας διαχείρισης (panel.thesslms.com)

Υπεύθυνος Επεξεργασίας: Thess LMS

Ο πίνακας διαχείρισης χρησιμοποιείται από τους ιδιοκτήτες σχολείων για τη διαχείριση της συνδρομής, της χρέωσης και της εγκατάστασης του σχολείου τους. Το Thess LMS είναι ο Υπεύθυνος Επεξεργασίας για όλα τα δεδομένα στον πίνακα διαχείρισης.

Δεδομένα που συλλέγονται

Στοιχεία λογαριασμού: Όνομα, επώνυμο, διεύθυνση email, κωδικός πρόσβασης (κατακερματισμένος).

Στοιχεία χρέωσης: Επωνυμία επιχείρησης, ΑΦΜ, διεύθυνση χρέωσης, ΔΟΥ.

Δεδομένα συνδρομής: Τύπος πλάνου, κατάσταση συνδρομής, ημερομηνίες ανανέωσης, ιστορικό πληρωμών.

Δεδομένα τιμολογίων: Αριθμοί τιμολογίων, ποσά, μέθοδος πληρωμής, αναγνωριστικά συναλλαγών, φορολογική κατηγοριοποίηση.

Τεχνικά δεδομένα: Διεύθυνση IP και πληροφορίες προγράμματος περιήγησης (διαχείριση περιόδου λειτουργίας), χρονικές σημάνσεις σύνδεσης.

Σκοποί επεξεργασίας και νομική βάση

Σκοπός	Νομική βάση
Ταυτοποίηση λογαριασμού	Σύμβαση — αναγκαίο για την παροχή υπηρεσίας
Διαχείριση συνδρομής	Σύμβαση
Δημιουργία τιμολογίων και φορολογική αναφορά	Νομική υποχρέωση (ελληνικό φορολογικό δίκαιο)
Επεξεργασία πληρωμών	Σύμβαση
Email συναλλαγών (ανανεώσεις, επιβεβαιώσεις πληρωμών)	Σύμβαση
Ενημερωτικές επικοινωνίες (ενημερώσεις προϊόντος, συμβουλές)	Συγκατάθεση (checkbox κατά την εγγραφή)
Παρακολούθηση σφαλμάτων	Έννομο συμφέρον (σταθερότητα πλατφόρμας)

4. Χρήστες σχολικής πλατφόρμας (your-school.thesslms.com)

Υπεύθυνος Επεξεργασίας: Το Σχολείο σας

Εκτελών την Επεξεργασία: Thess LMS

Αυτή η ενότητα αφορά όλους τους χρήστες ενός σχολείου που λειτουργεί στο Thess LMS: μαθητές, εκπαιδευτικούς, γονείς, επόπτες και γραμματείς.

Το Σχολείο σας είναι ο Υπεύθυνος Επεξεργασίας — το Σχολείο αποφασίζει ποια δεδομένα συλλέγονται, γιατί υποβάλλονται σε επεξεργασία και πόσο χρόνο διατηρούνται. Το Thess LMS είναι ο Εκτελών την Επεξεργασία — αποθηκεύουμε και επεξεργαζόμαστε δεδομένα για λογαριασμό του Σχολείου σας, ακολουθώντας τις οδηγίες του, βάσει Συμφωνίας Επεξεργασίας Δεδομένων (Άρθ. 28 ΓΚΠΔ).

Εάν έχετε ερωτήσεις σχετικά με τα προσωπικά σας δεδομένα στη σχολική πλατφόρμα, επικοινωνήστε απευθείας με το Σχολείο σας.

Δεδομένα που συλλέγονται

Στοιχεία λογαριασμού: Όνομα, διεύθυνση email, ρόλος (μαθητής, εκπαιδευτικός, γονέας κ.λπ.), κατάσταση λογαριασμού.

Στοιχεία προφίλ (προαιρετικά): Αριθμός τηλεφώνου, φύλο, ημερομηνία γέννησης, διεύθυνση, όνομα γονέα/κηδεμόνα, φωτογραφία προφίλ.

Ακαδημαϊκά δεδομένα: Εγγραφή σε τμήμα, αρχεία παρουσιών, υποβολές εργασιών και βαθμοί, προσπάθειες κουίζ και βαθμολογίες, αποτελέσματα τεστ κατάταξης και επίπεδα CEFR, δελτία βαθμολογίας, πόντοι συμπεριφοράς.

Δεδομένα επικοινωνίας: Εσωτερικά μηνύματα μεταξύ χρηστών, αναρτήσεις ροής δραστηριοτήτων, ειδοποιήσεις.

Τεχνικά δεδομένα: Διεύθυνση IP και πληροφορίες προγράμματος περιήγησης (αποθηκεύονται στα δεδομένα περιόδου λειτουργίας για ασφάλεια), χρονικές σημάνσεις σύνδεσης.

Σκοποί επεξεργασίας και νομική βάση

Σκοπός	Δεδομένα που χρησιμοποιούνται	Νομική βάση
Ταυτοποίηση και ασφάλεια λογαριασμού	Email, κωδικός πρόσβασης (κατακερματισμένος), δεδομένα περιόδου λειτουργίας, κωδικοί 2FA	Σύμβαση — αναγκαίο για την παροχή της υπηρεσίας
Παροχή εκπαιδευτικής υπηρεσίας	Βαθμοί, παρουσίες, αποτελέσματα κουίζ, βαθμολογίες κατάταξης	Σύμβαση — αναγκαίο για την εκπαιδευτική υπηρεσία
Εσωτερική επικοινωνία	Μηνύματα, αναρτήσεις, ειδοποιήσεις	Σύμβαση
Παρακολούθηση προόδου μαθητή	Ακαδημαϊκά αρχεία, δελτία βαθμολογίας, επίπεδα CEFR	Σύμβαση
Διοίκηση σχολείου	Εγγραφές, αρχεία διδάκτρων, αναθέσεις τμημάτων	Σύμβαση
Ασφάλεια πλατφόρμας και έλεγχος	Διεύθυνση IP, user agent, καταγραφή πλαστοπροσωπίας	Έννομο συμφέρον — ασφάλεια της πλατφόρμας

Το Σχολείο μπορεί να βασίζεται σε πρόσθετες νομικές βάσεις (π.χ. νομική υποχρέωση για τήρηση εκπαιδευτικών αρχείων). Επικοινωνήστε με το Σχολείο σας για λεπτομέρειες σχετικά με τη δική σας περίπτωση.

Ποιος μπορεί να δει τα δεδομένα σας;

Ιδιοκτήτης Σχολείου και Επόπτες: Πλήρης πρόσβαση σε όλα τα δεδομένα του σχολείου, συμπεριλαμβανομένων ευαίσθητων πεδίων (τηλέφωνο, διεύθυνση, στοιχεία γονέα).
Γραμματέας Σχολείου: Πρόσβαση σε αρχεία μαθητών, παρουσίες, δίδακτρα, συμπεριλαμβανομένων ευαίσθητων πεδίων.
Εκπαιδευτικοί: Πρόσβαση στα δικά τους τμήματα — ονόματα μαθητών, βαθμοί, παρουσίες. Δεν μπορούν να δουν τηλέφωνα, διευθύνσεις ή στοιχεία γονέων.
Μαθητές: Μπορούν να δουν το δικό τους προφίλ, τους βαθμούς και τις πληροφορίες τμήματος. Δεν μπορούν να δουν προσωπικά δεδομένα άλλων μαθητών.
Γονείς: Μπορούν να δουν τα ακαδημαϊκά στοιχεία του συνδεδεμένου παιδιού τους.

Τα ευαίσθητα πεδία (τηλέφωνο, διεύθυνση, όνομα γονέα/κηδεμόνα, ημερομηνία γέννησης, σημειώσεις) κρυπτογραφούνται σε κατάσταση αδράνειας στη βάση δεδομένων.

5. Υπο-εκτελούντες και διεθνείς μεταφορές

Το Thess LMS χρησιμοποιεί τις ακόλουθες υπηρεσίες τρίτων σε όλα τα πλαίσια:

Υπηρεσία	Χώρα	Σκοπός	Εμπλεκόμενα δεδομένα	Μηχανισμός μεταφοράς
OpenAI	ΗΠΑ	Δημιουργία κουίζ με τεχνητή νοημοσύνη	Κανένα προσωπικό δεδομένο — μόνο παράμετροι κουίζ (λίστες λέξεων, γραμματικά θέματα, επίπεδα CEFR)	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
Viva Wallet	Ελλάδα (ΕΕ)	Επεξεργασία πληρωμών	Δεδομένα τιμολόγησης σχολείου (email, ποσό, αναφορά παραγγελίας)	Δικαιοδοσία ΕΕ
ΑΑΔΕ / MyData	Ελλάδα (ΕΕ)	Υποβολή φορολογικών τιμολογίων	ΑΦΜ, ποσά, επιχειρηματικά στοιχεία	Νομική υποχρέωση
Sentry	ΗΠΑ	Παρακολούθηση σφαλμάτων	Μόνο stack traces — PII απενεργοποιημένο	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
MXroute	ΗΠΑ	Αποστολή email	Όνομα, email, περιεχόμενο μηνύματος	Τυποποιημένες Συμβατικές Ρήτρες ΕΕ
Cloudflare R2	ΕΕ (Δυτική Ευρώπη)	Αποθήκευση αρχείων	Αρχεία χρηστών (εργασίες, έγγραφα, εικόνες)	Δικαιοδοσία ΕΕ

Κανένα προσωπικό δεδομένο μαθητή δεν αποστέλλεται ποτέ στο OpenAI. Για υπηρεσίες με έδρα τις ΗΠΑ, εφαρμόζονται Τυποποιημένες Συμβατικές Ρήτρες (SCCs) της ΕΕ για τη διασφάλιση επαρκούς προστασίας δεδομένων.

6. Διατήρηση δεδομένων

Ιστοσελίδα marketing

Αρχεία καταγραφής διακομιστή: 30 ημέρες.
Υποβολές φόρμας επικοινωνίας: 12 μήνες.

Περιβάλλον demo

Δεδομένα demo: 12 μήνες από τη συλλογή, στη συνέχεια μόνιμη διαγραφή.

Πίνακας διαχείρισης (ιδιοκτήτες σχολείων)

Δεδομένα λογαριασμού: Διατηρούνται για τη διάρκεια της συνδρομής.
Λογαριασμοί με τιμολόγια: Τα προσωπικά δεδομένα ανωνυμοποιούνται κατά τη λήξη. Τα αρχεία τιμολογίων διατηρούνται σύμφωνα με τον ελληνικό φορολογικό νόμο (ελάχιστο 5 έτη).
Λογαριασμοί χωρίς τιμολόγια: Διαγράφονται εξ ολοκλήρου κατά τη λήξη.
Ορφανοί λογαριασμοί (εγγεγραμμένοι αλλά χωρίς ολοκλήρωση εγκατάστασης): Διαγράφονται αυτόματα μετά από 24 ώρες.

Σχολική πλατφόρμα (μαθητές, εκπαιδευτικοί, γονείς)

Δεδομένα λογαριασμού: Διατηρούνται για τη διάρκεια της εγγραφής. Διαγράφονται μόνιμα όταν το Σχολείο αφαιρέσει τον λογαριασμό σας.
Ακαδημαϊκά αρχεία (βαθμοί, παρουσίες, αποτελέσματα κουίζ): Διατηρούνται για τη διάρκεια της εγγραφής. Διαγράφονται μαζί με τον λογαριασμό σας.
Μηνύματα: Διατηρούνται μέχρι τη διαγραφή του λογαριασμού.
Αρχεία ελέγχου: Διατηρούνται για 12 μήνες, στη συνέχεια διαγράφονται αυτόματα.

Κοινά

Περίοδοι λειτουργίας: Εκκαθαρίζονται μετά τη λήξη (8 ώρες αδράνειας, ή 90 ημέρες με «Να με θυμάσαι»).
Tokens επαναφοράς κωδικού πρόσβασης: Εκκαθαρίζονται καθημερινά.

Όταν ένας λογαριασμός μαθητή διαγράφεται, όλα τα συσχετισμένα δεδομένα αφαιρούνται μόνιμα: μηνύματα, βαθμοί, προσπάθειες κουίζ, αρχεία παρουσιών, αρχεία και μεταφορτώσεις. Αυτή η ενέργεια δεν μπορεί να αναιρεθεί.

7. Τα δικαιώματά σας

Σύμφωνα με τον ΓΚΠΔ, έχετε το δικαίωμα:

Πρόσβασης στα προσωπικά σας δεδομένα.
Διόρθωσης — διορθώστε ανακριβή δεδομένα.
Διαγραφής — ζητήστε τη διαγραφή των δεδομένων σας. Σημείωση: τα τιμολόγια πρέπει να διατηρηθούν σύμφωνα με τη φορολογική νομοθεσία.
Περιορισμού — ζητήστε τον περιορισμό της επεξεργασίας.
Φορητότητας δεδομένων — ζητήστε αντίγραφο των δεδομένων σας σε φορητή μορφή. Παρέχεται εντός 30 ημερών.
Εναντίωσης — αντιταχθείτε στην επεξεργασία βάσει έννομου συμφέροντος.
Ανάκλησης συγκατάθεσης — όπου η επεξεργασία βασίζεται σε συγκατάθεση, μπορείτε να την ανακαλέσετε ανά πάσα στιγμή (π.χ. κατάργηση εγγραφής marketing, διαγραφή δεδομένων demo).

Χρήστες σχολικής πλατφόρμας: Για την άσκηση των δικαιωμάτων σας σχετικά με τα δεδομένα σχολείου, επικοινωνήστε με το Σχολείο σας. Το Σχολείο είναι ο Υπεύθυνος Επεξεργασίας και είναι υπεύθυνο για τον χειρισμό του αιτήματός σας.

Χρήστες πίνακα και επισκέπτες demo: Επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων στο dpo@thesslms.com.

Δικαίωμα υποβολής καταγγελίας: Έχετε το δικαίωμα να υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), Κηφισίας 1-3, 115 23 Αθήνα — www.dpa.gr.

8. Cookies

Σε όλες τις υπηρεσίες του Thess LMS, χρησιμοποιούμε μόνο cookies που είναι αυστηρά απαραίτητα για τη λειτουργία της πλατφόρμας:

Cookie περιόδου λειτουργίας: Αναγνωρίζει τη σύνδεσή σας (λήγει μετά από 8 ώρες αδράνειας).
Cookie «Να με θυμάσαι»: Διατηρεί τη σύνδεσή σας για έως 90 ημέρες όταν επιλεγεί κατά τη σύνδεση.
Token CSRF: Αποτρέπει επιθέσεις cross-site request forgery.
Cookie αξιόπιστης συσκευής: Θυμάται τη συσκευή σας μετά την ταυτοποίηση δύο παραγόντων (90 ημέρες).

Στην ιστοσελίδα marketing χρησιμοποιούμε cookies ανάλυσης (Google Analytics) μόνο μετά τη ρητή συγκατάθεσή σας μέσω banner. Δεν χρησιμοποιούμε cookies διαφήμισης ή τρίτων. Αν αρνηθείτε, δεν τοποθετούνται cookies ανάλυσης.

9. Μέτρα ασφαλείας

Οι κωδικοί πρόσβασης κατακερματίζονται με bcrypt (δεν αποθηκεύονται ποτέ σε απλό κείμενο).
Τα ευαίσθητα πεδία (τηλέφωνο, διεύθυνση, ημερομηνία γέννησης, στοιχεία γονέα, σημειώσεις) κρυπτογραφούνται σε κατάσταση αδράνειας με AES-256.
Η ταυτοποίηση δύο παραγόντων είναι υποχρεωτική για ιδιοκτήτες σχολείων, επόπτες, εκπαιδευτικούς και γραμματείς. Οι υπερ-διαχειριστές απαιτούν πάντα OTP (χωρίς παράκαμψη αξιόπιστης συσκευής).
Τα δεδομένα κάθε σχολείου είναι απομονωμένα στη δική του βάση δεδομένων (αρχιτεκτονική πολλαπλών ενοικιαστών).
Όλες οι διοικητικές ενέργειες καταγράφονται σε αρχείο ασφαλείας που διατηρείται για 12 μήνες.
Η πλαστοπροσωπία (προβολή ως χρήστης από τον διαχειριστή) λειτουργεί σε κατάσταση μόνο ανάγνωσης και καταγράφεται με πλήρες αρχείο ελέγχου, χρονικές σημάνσεις, διάρκεια και διευθύνσεις IP.
Όλες οι περίοδοι λειτουργίας αποθηκεύονται στη βάση δεδομένων και εκκαθαρίζονται αυτόματα μετά τη λήξη.
Όλα τα frontend assets φιλοξενούνται τοπικά — κανένα δεδομένο χρήστη δεν αποστέλλεται σε CDN τρίτων.
Υποδομή: κρυπτογραφημένα αντίγραφα ασφαλείας που διαχειρίζονται σε επίπεδο υποδομής με όρους φιλοξενίας συμβατούς με την ΕΕ.

10. Δεδομένα ανηλίκων

Σύμφωνα με τον Ελληνικό Νόμο 4624/2019 (Άρθ. 21), η ηλικία ψηφιακής συγκατάθεσης είναι 15 ετών. Για χρήστες κάτω των 15, το Σχολείο είναι υπεύθυνο για τη λήψη συγκατάθεσης από γονέα ή νόμιμο κηδεμόνα πριν από τη δημιουργία λογαριασμού.

Το Σχολείο, ως Υπεύθυνος Επεξεργασίας, φέρει αποκλειστικά την ευθύνη για την επαλήθευση ηλικιών και τη λήψη γονικών συγκαταθέσεων όπως απαιτείται.

Το Thess LMS δεν συλλέγει εν γνώσει του προσωπικά δεδομένα από παιδιά χωρίς να έχει ληφθεί η κατάλληλη γονική συγκατάθεση από το Σχολείο.

11. Επικοινωνία

Χρήστες σχολικής πλατφόρμας: Για ερωτήσεις σχετικά με τα προσωπικά σας δεδομένα, επικοινωνήστε με τη διοίκηση του Σχολείου σας. Το Σχολείο σας είναι ο Υπεύθυνος Επεξεργασίας και είναι υπεύθυνο για τις απαντήσεις στα αιτήματά σας.

Όλα τα υπόλοιπα ερωτήματα: Επικοινωνήστε με τον Υπεύθυνο Προστασίας Δεδομένων στο dpo@thesslms.com.

Privacy Policy

Last updated: March 2026

This Privacy Policy explains how personal data is collected, used, and protected across all Thess LMS services: the marketing website (thesslms.com), the demo environment (demo.thesslms.com), the management panel (panel.thesslms.com), and the school platform (your-school.thesslms.com).

Depending on how you interact with us, different data is collected and different parties are responsible. Each section below explains who the Data Controller is and what applies to you.

1. Website visitors (thesslms.com)

Data Controller: Thess LMS

When you visit the Thess LMS marketing website, we collect minimal technical data necessary to serve the website.

Data collected:

Technical data: IP address, browser type, pages viewed (server access logs).
Contact form submissions: Name, email, message content (if you contact us).

Purpose	Legal basis
Serving the website	Legitimate interest (platform operation)
Responding to inquiries	Consent (you initiate contact)

Retention: Server logs are retained for 30 days. Contact form submissions are retained for 12 months.

We use analytics cookies (Google Analytics) on the marketing website, only after your explicit consent. We do not use advertising or tracking cookies.

2. Demo visitors (demo.thesslms.com)

Data Controller: Thess LMS

Thess LMS operates a public demo site that allows prospective school owners to preview the platform before subscribing. Access requires completing a consent form.

Data collected (with consent):

Contact information: Email address, phone number.
Behavioral data: Pages visited, time spent on each page, role being previewed, interactions (button clicks, feature use).
Technical data: IP address.
Conversion data: Whether a demo session was booked via Calendly.

Purpose	Legal basis
Follow up with interested prospects	Consent (GDPR checkbox on demo gate form)
Improve the demo experience	Consent

Third-party sharing: None. All demo data is stored in the Thess LMS central database and is not shared with any third party.

Retention: Demo lead data is retained for 12 months from the date of collection and then permanently deleted.

Deletion request: You may request early deletion of your demo data at any time by contacting the Data Protection Officer at dpo@thesslms.com.

3. School owners — management panel (panel.thesslms.com)

Data Controller: Thess LMS

The management panel is used by school owners to manage their subscription, billing, and school setup. Thess LMS is the Data Controller for all data on the management panel.

Data collected

Account information: First name, last name, email address, password (hashed).

Billing information: Business name, VAT number, billing address, tax office.

Subscription data: Plan type, subscription status, renewal dates, payment history.

Invoice data: Invoice numbers, amounts, payment method, transaction IDs, tax classification.

Technical data: IP address and browser information (session management), login timestamps.

Processing purposes and legal basis

Purpose	Legal basis
Account authentication	Contract — necessary for service delivery
Subscription management	Contract
Invoice generation and tax reporting	Legal obligation (Greek tax law)
Payment processing	Contract
Transactional email (renewals, payment confirmations)	Contract
Marketing communications (product updates, tips)	Consent (opt-in checkbox at registration)
Error monitoring	Legitimate interest (platform stability)

4. School platform users (your-school.thesslms.com)

Data Controller: Your School

Data Processor: Thess LMS

This section applies to all users of a school that operates on Thess LMS: students, teachers, parents, supervisors, and secretaries.

Your School is the Data Controller — the School decides what data is collected, why it is processed, and how long it is kept. Thess LMS is the Data Processor — we store and process data on behalf of your School, following their instructions, under a Data Processing Agreement (Art. 28 GDPR).

If you have questions about your personal data on the school platform, contact your School directly.

Data collected

Account information: Name, email address, role (student, teacher, parent, etc.), account status.

Profile information (optional): Phone number, gender, date of birth, address, parent/guardian contact name, avatar photo.

Academic data: Class enrollment, attendance records, homework submissions and grades, quiz attempts and scores, placement test results and CEFR levels, report cards, behavior points.

Communication data: Internal messages between users, activity feed posts, notifications.

Technical data: IP address and browser information (stored in session data for security), login timestamps.

Processing purposes and legal basis

Purpose	Data used	Legal basis
Authentication and account security	Email, password (hashed), session data, 2FA codes	Contract — necessary to provide the service
Educational service delivery	Grades, attendance, quiz results, placement scores	Contract — necessary for the educational service
Internal communication	Messages, posts, notifications	Contract
Student progress tracking	Academic records, report cards, CEFR levels	Contract
School administration	Enrollment, tuition records, class assignments	Contract
Platform security and audit	IP address, user agent, impersonation logging	Legitimate interest — security of the platform

The School may rely on additional legal bases (e.g., legal obligation for educational record-keeping). Contact your School for details specific to your situation.

Who can see your data?

School Owner and Supervisors: Full access to all school data, including sensitive fields (phone, address, parent contact).
School Secretary: Access to student records, attendance, tuition, including sensitive fields.
Teachers: Access to their own classes — student names, grades, attendance. Cannot see phone numbers, addresses, or parent contacts.
Students: Can see their own profile, grades, and class information. Cannot see other students' personal data.
Parents: Can see their linked child's academic information.

Sensitive fields (phone, address, parent/guardian name, date of birth, notes) are encrypted at rest in the database.

5. Sub-processors and international transfers

Thess LMS uses the following third-party services across all contexts:

Service	Country	Purpose	Data involved	Transfer safeguard
OpenAI	USA	AI-powered quiz generation	No personal data — quiz parameters only (word lists, grammar topics, CEFR levels)	EU SCCs
Viva Wallet	Greece (EU)	Payment processing	School billing data (email, amount, order reference)	EU jurisdiction
AADE / MyData	Greece (EU)	Tax invoice submission	VAT number, amounts, business details	Legal obligation
Sentry	USA	Error monitoring	Stack traces only — PII disabled	EU SCCs
MXroute	USA	Email delivery	Name, email, message content	EU SCCs
Cloudflare R2	EU (Western Europe)	File storage	User-uploaded files (homework, documents, images)	EU jurisdiction

No student personal data is ever sent to OpenAI. For US-based services, EU Standard Contractual Clauses (SCCs) are in place to ensure adequate data protection.

6. Data retention

Marketing website

Server logs: 30 days.
Contact form submissions: 12 months.

Demo environment

Demo lead data: 12 months from collection, then permanently deleted.

Management panel (school owners)

Account data: Kept for the duration of the subscription.
Accounts with invoices: Personal data anonymized on termination. Invoice records retained per Greek tax law (minimum 5 years).
Accounts without invoices: Deleted entirely on termination.
Orphaned accounts (registered but never completed setup): Automatically deleted after 24 hours.

School platform (students, teachers, parents)

Account data: Kept for the duration of enrollment. Permanently deleted when the School removes your account.
Academic records (grades, attendance, quiz results): Kept for the duration of enrollment. Deleted with your account.
Messages: Kept until account deletion.
Audit logs: Retained for 12 months, then automatically deleted.

Common

Sessions: Cleared after expiry (8 hours of inactivity, or 90 days with "Remember me").
Password reset tokens: Cleared daily.

When a student account is deleted, all associated data is permanently removed: messages, grades, quiz attempts, attendance records, files, and uploads. This action cannot be undone.

7. Your rights

Under GDPR, you have the right to:

Access your personal data.
Rectification — correct inaccurate data.
Erasure — request deletion of your data. Note: invoices must be retained per tax law.
Restriction — request that processing be limited.
Data portability — request a copy of your data in a portable format. Provided within 30 days.
Object — object to processing based on legitimate interest.
Withdraw consent — where processing is based on consent, you may withdraw at any time (e.g., marketing unsubscribe, demo data deletion).

School platform users: To exercise your rights regarding school data, contact your School. The School is the Data Controller and is responsible for handling your request.

Panel users and demo visitors: Contact the Data Protection Officer at dpo@thesslms.com.

Right to lodge a complaint: You have the right to lodge a complaint with the Hellenic Data Protection Authority (APDPCH), Kifisias 1-3, 115 23 Athens — www.dpa.gr.

8. Cookies

Across all Thess LMS services, we use only cookies that are strictly necessary for the platform to function:

Session cookie: Identifies your login session (expires after 8 hours of inactivity).
Remember-me cookie: Keeps you logged in for up to 90 days when selected at login.
CSRF token: Prevents cross-site request forgery attacks.
Trusted device cookie: Remembers your device after two-factor authentication (90 days).

On the marketing website, we use analytics cookies (Google Analytics) only after your explicit consent via a banner. We do not use advertising or third-party cookies. If you decline, no analytics cookies are placed.

9. Security measures

Passwords are hashed with bcrypt (never stored in plain text).
Sensitive fields (phone, address, date of birth, parent contact, notes) are encrypted at rest using AES-256.
Two-factor authentication is required for school owners, supervisors, teachers, and secretaries. Super-administrators always require OTP (no trusted device bypass).
Each school's data is isolated in its own database (multi-tenant architecture).
All administrative actions are recorded in a security log retained for 12 months.
Impersonation (admin viewing as a user) operates in read-only mode and is logged with full audit trail, timestamps, duration, and IP addresses.
All sessions are database-stored and automatically pruned after expiry.
All frontend assets are self-hosted — no user data is sent to third-party CDNs.
Infrastructure: encrypted backups managed at the infrastructure level with EU-compliant hosting terms.

10. Children's data

Under Greek Law 4624/2019 (Art. 21), the age of digital consent is 15 years. For users under 15, the School is responsible for obtaining consent from a parent or legal guardian before creating an account.

The School, as Data Controller, is solely responsible for verifying ages and obtaining parental consents as required.

Thess LMS does not knowingly collect personal data from children without appropriate parental consent being obtained by the School.

11. Contact

School platform users: For questions about your personal data, contact your School administration. Your School is the Data Controller and is responsible for responding to your requests.

All other inquiries: Contact the Data Protection Officer at dpo@thesslms.com.