1. Data Controller Identity
Organisation: VELORÉ Cyprus
Website: veloreai.com
Email: info@veloreai.com
Address: Limassol, Cyprus
EU Member State: Republic of Cyprus
As a platform primarily operating in Cyprus (EU), we are fully subject to the GDPR and the Cyprus Personal Data Protection Law N.125(I)/2018 implementing it.
2. Legal Bases for Processing (Article 6 GDPR)
| Processing Activity | Data | Legal Basis |
|---|
| Property inquiry matching | Name, email, phone, budget, city, message | Art. 6(1)(b) — Contract |
| Sharing lead with agencies | Name, email, budget, preferences | Art. 6(1)(b) — Contract |
| Website analytics (GA4) | IP (anonymized), pages, device | Art. 6(1)(a) — Consent |
| Fraud prevention | IP address, submission patterns | Art. 6(1)(f) — Legitimate interest |
| System security / audit logs | API access logs | Art. 6(1)(f) — Legitimate interest |
3. Cookie Policy (Article 5(1)(a) GDPR — Transparency)
| Cookie Name | Purpose | Duration | Legal Basis |
|---|
| velore_lang | Language preference storage | 12 months | Necessary |
| velore_consent | Records user's cookie consent decision | 12 months | Necessary |
| _ga | Google Analytics 4 — unique user identifier | 24 months | Consent |
| _ga_[ID] | GA4 session state | 24 months | Consent |
No advertising, retargeting, or social media cookies are used on this website. Analytics cookies are activated only after explicit consent via the cookie banner.
4. Sub-processors and Third-Party Data Processors (Article 28 GDPR)
| Provider | Role | Processing Location | Safeguard |
|---|
| Supabase Inc. | Database (stores lead inquiries) | EU — Frankfurt, Germany | DPA in place · ISO 27001 |
| Vercel Inc. | Website hosting / CDN | EU — Frankfurt, Germany | DPA in place · SOC 2 |
| Google LLC (GA4) | Analytics (with consent) | USA / EU | EU–US DPF · SCCs · DPA |
| Licensed Agencies | Receive matched lead data | Cyprus (EU) | Independent data controllers |
All sub-processors are bound by data processing agreements (DPAs) ensuring GDPR compliance. We do not use any sub-processor that does not provide adequate data protection safeguards.
5. Record of Processing Activities (Article 30 GDPR)
Processing Activity 1 — Property Inquiry Matching
- Purpose: Match user's property preferences with suitable licensed agencies
- Data categories: Name, email, phone (optional), budget, city, property type, message
- Legal basis: Art. 6(1)(b) — necessary for the performance of a service
- Recipients: Licensed real estate agencies in Cyprus matching the stated criteria
- Retention: 24 months from submission
- Security: TLS 1.3 in transit · AES-256 at rest · Row-level security access control
Processing Activity 2 — Website Analytics
- Purpose: Understand aggregate usage patterns; improve user experience
- Data categories: Anonymized IP, browser type, device, pages visited, session duration
- Legal basis: Art. 6(1)(a) — consent (cookie banner)
- Recipients: Google LLC (GA4)
- Retention: 14 months (GA4 default)
- IP anonymization: Enabled — full IP addresses are never stored
6. International Data Transfers (Articles 44–49 GDPR)
Google Analytics 4 (USA): Transfers protected by the EU–U.S. Data Privacy Framework (DPF, in force since July 2023) and Standard Contractual Clauses (SCCs) per Commission Implementing Decision (EU) 2021/914.
Supabase and Vercel: Data processed within the EU (Frankfurt). No international transfer occurs.
7. Data Subject Rights and How to Exercise Them
You may exercise the following rights at any time by contacting info@veloreai.com:
- Right of access (Art. 15): Receive a copy of your data we hold
- Right to rectification (Art. 16): Correct inaccurate information
- Right to erasure (Art. 17): Request deletion of your personal data
- Right to data portability (Art. 20): Receive data in JSON/CSV format
- Right to object (Art. 21): Object to legitimate-interest processing
- Right to withdraw consent: Disable cookies via browser localStorage at any time
- Right to restriction (Art. 18): Limit how we process your data
We will respond to all requests within 30 days. Complex requests may be extended to 60 days with notice. We do not charge for reasonable requests.
8. Data Breach Response Procedure (Articles 33–34 GDPR)
In the event of a personal data breach, we will:
- Within 24 hours: Detect, assess severity, and contain the breach
- Within 72 hours: Notify the Cyprus Commissioner for Personal Data Protection if the breach poses a risk to individuals' rights and freedoms (Art. 33)
- Without undue delay: Notify affected individuals if the breach is likely to result in a high risk to their rights (Art. 34)
- Ongoing: Document the breach in our internal breach register
9. Supervisory Authority
Commissioner for Personal Data Protection — Cyprus
1 Iasonos Street, 1082 Nicosia, Cyprus
dataprotection.gov.cy · commissioner@dataprotection.gov.cy
Tel: +357 22818456
We encourage you to contact us directly first at info@veloreai.com to resolve any concerns.
10. Privacy by Design Measures (Article 25 GDPR)
- IP anonymization enabled in GA4 — no full IP stored
- Phone number field is optional — not required for service delivery
- Analytics active only after affirmative cookie consent
- Data minimization: we collect only what is necessary for the matching service
- Automatic 24-month deletion of lead data
- Row-level security prevents any unauthorized data access
1. Контролёр данных
Организация: VELORÉ Cyprus · veloreai.com
Email: info@veloreai.com
Адрес: Лимасол, Кипр · Государство-член ЕС
Как платформа, работающая на Кипре (ЕС), мы полностью подчиняемся GDPR и Закону Кипра N.125(I)/2018.
2. Правовые основания обработки (Статья 6 GDPR)
| Деятельность по обработке | Данные | Правовое основание |
|---|
| Обработка запроса на подбор | Имя, email, телефон, бюджет, город, сообщение | Ст. 6(1)(б) — Договор |
| Передача лида агентствам | Имя, email, бюджет, предпочтения | Ст. 6(1)(б) — Договор |
| Аналитика сайта (GA4) | IP (анонимизированный), страницы, устройство | Ст. 6(1)(а) — Согласие |
| Защита от мошенничества | IP-адрес, шаблоны отправки | Ст. 6(1)(ж) — Законный интерес |
3. Политика куки
| Название куки | Цель | Срок | Основание |
|---|
| velore_lang | Языковые предпочтения | 12 месяцев | Необходимо |
| velore_consent | Запись решения о согласии | 12 месяцев | Необходимо |
| _ga, _ga_[ID] | Google Analytics 4 — только при согласии | 24 месяца | Согласие |
Рекламные или отслеживающие куки не используются. Аналитические куки активируются только при явном согласии через баннер куки.
4. Субпроцессоры (Статья 28 GDPR)
| Провайдер | Роль | Местоположение | Гарантия |
|---|
| Supabase Inc. | База данных | ЕС — Франкфурт | DPA · ISO 27001 |
| Vercel Inc. | Хостинг сайта | ЕС — Франкфурт | DPA · SOC 2 |
| Google LLC (GA4) | Аналитика (при согласии) | США / ЕС | DPF ЕС–США · SCC |
| Лицензированные агентства | Получатели данных лида | Кипр (ЕС) | Самостоятельные контролёры |
5. Реестр операций по обработке данных (Статья 30 GDPR)
Операция 1 — Подбор по запросу на недвижимость
- Цель: Подбор агентств, соответствующих предпочтениям пользователя
- Данные: Имя, email, бюджет, город, тип недвижимости, сообщение
- Правовое основание: Ст. 6(1)(б) GDPR
- Получатели: Лицензированные агентства недвижимости на Кипре
- Срок хранения: 24 месяца
Операция 2 — Аналитика сайта
- Цель: Понимание агрегированных паттернов использования
- Данные: Анонимизированный IP, тип браузера, устройство, страницы
- Правовое основание: Ст. 6(1)(а) GDPR — согласие
- Срок хранения: 14 месяцев
6. Реализация прав субъектов данных
Все запросы на реализацию прав (доступ, исправление, удаление, переносимость, возражение, отзыв согласия) направляйте по адресу: info@veloreai.com. Ответ — в течение 30 дней.
7. Процедура реагирования на инциденты (Статьи 33–34 GDPR)
- В течение 24 часов: Обнаружение, оценка серьёзности и устранение инцидента
- В течение 72 часов: Уведомление Уполномоченного по защите персональных данных Кипра
- Незамедлительно: Уведомление затронутых лиц при высоком риске для их прав
8. Надзорный орган
Уполномоченный по защите персональных данных — Кипр
ул. Ясонос, 1, 1082 Никосия, Кипр
dataprotection.gov.cy · commissioner@dataprotection.gov.cy
1. Υπεύθυνος Επεξεργασίας
Οργανισμός: VELORÉ Cyprus · veloreai.com
Email: info@veloreai.com
Διεύθυνση: Λεμεσός, Κύπρος · Κράτος-μέλος ΕΕ
2. Νομικές Βάσεις Επεξεργασίας (Άρθρο 6 ΓΚΠΔ)
| Δραστηριότητα Επεξεργασίας | Δεδομένα | Νομική Βάση |
|---|
| Αντιστοίχιση αιτήματος | Ονοματεπώνυμο, email, προϋπολογισμός, πόλη, μήνυμα | Άρθ. 6(1)(β) — Σύμβαση |
| Κοινοποίηση σε γραφεία | Ονοματεπώνυμο, email, προτιμήσεις | Άρθ. 6(1)(β) — Σύμβαση |
| Αναλυτικά στοιχεία ιστοτόπου | Ανωνυμοποιημένη IP, σελίδες, συσκευή | Άρθ. 6(1)(α) — Συγκατάθεση |
| Πρόληψη απάτης | IP, πρότυπα υποβολής | Άρθ. 6(1)(στ) — Έννομο συμφέρον |
3. Πολιτική Cookies
| Όνομα Cookie | Σκοπός | Διάρκεια | Βάση |
|---|
| velore_lang | Γλωσσικές προτιμήσεις | 12 μήνες | Αναγκαίο |
| velore_consent | Καταγραφή συγκατάθεσης | 12 μήνες | Αναγκαίο |
| _ga, _ga_[ID] | Google Analytics 4 — μόνο με συγκατάθεση | 24 μήνες | Συγκατάθεση |
4. Εκτελούντες Επεξεργασία (Άρθρο 28 ΓΚΠΔ)
| Πάροχος | Ρόλος | Τοποθεσία | Εγγύηση |
|---|
| Supabase Inc. | Βάση δεδομένων | ΕΕ — Φρανκφούρτη | DPA · ISO 27001 |
| Vercel Inc. | Φιλοξενία ιστοτόπου | ΕΕ — Φρανκφούρτη | DPA · SOC 2 |
| Google LLC (GA4) | Αναλυτικά (με συγκατάθεση) | ΗΠΑ / ΕΕ | DPF ΕΕ-ΗΠΑ · SCC |
5. Άσκηση Δικαιωμάτων Υποκειμένων
Για άσκηση δικαιωμάτων (πρόσβαση, διόρθωση, διαγραφή, φορητότητα, εναντίωση): info@veloreai.com. Απάντηση εντός 30 ημερών.
6. Διαδικασία Αντιμετώπισης Παραβίασης (Άρθρα 33–34 ΓΚΠΔ)
- Εντός 24 ωρών: Εντοπισμός, εκτίμηση και περιορισμός παραβίασης
- Εντός 72 ωρών: Κοινοποίηση στον Επίτροπο Προστασίας Δεδομένων Κύπρου
- Αμέσως: Ενημέρωση θιγόμενων ατόμων αν υπάρχει υψηλός κίνδυνος
7. Εποπτική Αρχή
Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα — Κύπρος
Λεωφόρος Ιάσονος 1, 1082 Λευκωσία · dataprotection.gov.cy