1. Администратор на лични данни
Администратор на вашите лични данни е: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] ЕИК: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Седалище и адрес на управление: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Електронна поща: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Уебсайт: https://servicegate.bg Настоящото Уведомление за поверителност описва как събираме, обработваме, съхраняваме и защитаваме вашите лични данни при използването на платформата ServiceGate. Уведомлението е изготвено в съответствие с Регламент (ЕС) 2016/679 (ОРЗД/GDPR), Закона за защита на личните данни (ЗЗЛД) и Закона за електронните съобщения (ЗЕС).
2. Длъжностно лице по защита на данните (DPO)
Длъжностно лице по защита на данните: Електронна поща: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Можете да се обърнете към нашето длъжностно лице по всички въпроси, свързани с обработването на вашите лични данни и упражняването на вашите права съгласно ОРЗД.
3. Категории лични данни, които събираме
В зависимост от начина, по който използвате платформата, и ролята ви (клиент, специалист, администратор), можем да събираме и обработваме следните категории лични данни:
3.1. Данни за регистрация и идентификация
- Адрес на електронна поща - Парола (съхранявана в хеширан вид чрез bcrypt)
3.2. Профилни данни
- Име и фамилия - Телефонен номер - Местоположение (град, населено място) - Профилна снимка (аватар) - Биография (свободен текст) - Връзки към социални мрежи
3.3. Данни на специалисти (бизнес данни)
- Вид стопанска дейност - Данъчен номер / ЕИК / БУЛСТАТ (криптиран с AES-256-GCM) - ДДС номер (криптиран с AES-256-GCM) - IBAN (криптиран с AES-256-GCM) - Наименование на банка - Данни за верификация чрез КЕП
3.4. Данни за резервации и услуги
- Дата и час на резервация - Бележки към резервацията - Тип и описание на заявената услуга
3.5. Данни за контактни заявки
- Име на подателя - Адрес на електронна поща - Телефонен номер - Съдържание на съобщението
3.6. Данни за отзиви и оценки
- Числова оценка (рейтинг) - Текстов коментар (публично видим) - Дата на публикуване
3.7. Комуникационни данни
- Съобщения в чат системата - Сигнални данни за видеоразговори чрез WebRTC (само сигнализация; видео и аудио потоци не се записват)
3.8. Аналитични данни (анонимни)
- Анонимен идентификатор на сесията (UUID) - Тип устройство - Посетена страница - Източник на посещението - Държава (от Accept-Language заглавие) Аналитичните данни са напълно анонимни и не позволяват идентифициране на конкретни физически лица.
3.9. Данни за кредитна система и бадж-ове
- Точки за активност (кредити) - Хронология на транзакции - Присвоени бадж-ове за поведение
3.10. Данни, обработвани от самостоятелни модули
При използване на допълнителни модули (Payroll, Insurance, CRM, Coaching, AgencyOS, Accounting, Beauty) могат да бъдат обработвани допълнителни категории данни, описани подробно в условията на съответния модул.
4. Цели на обработване и правно основание
Обработваме вашите лични данни за следните цели и на следните правни основания съгласно чл. 6, пар. 1 от ОРЗД:
4.1. Изпълнение на договор (чл. 6, пар. 1, буква (б) ОРЗД)
Регистрация и управление на акаунт, предоставяне на услуги, обработване на плащания чрез Stripe (EUR), управление на профил, функциониране на допълнителни модули, обработване на контактни заявки, система за отзиви, кредитна система и бадж-ове.
4.2. Съгласие (чл. 6, пар. 1, буква (а) ОРЗД)
Маркетингови съобщения (само при изрично съгласие), бисквитки за предпочитания, видеоразговори чрез WebRTC.
4.3. Законен (легитимен) интерес (чл. 6, пар. 1, буква (е) ОРЗД)
AI модерация на съдържание, предотвратяване на измами и злоупотреби, анонимна аналитика, сигурност на информационните системи, верификация на специалисти.
4.4. Законово задължение (чл. 6, пар. 1, буква (в) ОРЗД)
Данъчно и счетоводно отчитане, отговор на запитвания от надзорни органи, изпълнение на задължения по DSA, задължения по ЗЗЛД и ОРЗД.
4.5. Специални категории данни (чл. 9 ОРЗД)
При използване на модула Застраховане е възможно да се обработват данни за здравословно състояние. Тези данни се обработват единствено на основание изрично съгласие или когато е необходимо за правни претенции.
5. Получатели на лични данни
За изпълнение на целите споделяме вашите лични данни със следните категории получатели:
5.1. Обработващи лични данни (Data Processors)
Supabase, Inc. (база данни, удостоверяване — ЕС), Stripe, Inc. (плащания — ЕС/САЩ), Anthropic, PBC (AI модерация — САЩ), Resend, Inc. (имейли — САЩ), Vercel, Inc. (хостинг — САЩ с EU Edge), Metered.ca (TURN сървъри — Канада).
5.2. Съвместни администратори и трети страни
Други потребители (публичен профил), специалисти (при резервация), клиенти, компетентни органи (при законосъобразно искане).
5.3. Umami Analytics
Използваме Umami — система за уеб аналитика с отворен код, хоствана в ЕС. Не използва бисквитки и не събира лични данни.
6. Трансфери на лични данни към трети страни
Някои от нашите доставчици са установени извън ЕИП. Прилагаме следните гаранции:
6.1. Рамка за защита на данните ЕС-САЩ (DPF)
Stripe, Vercel, Resend и Supabase са сертифицирани по EU-US Data Privacy Framework (Решение за изпълнение (ЕС) 2023/1795).
6.2. Стандартни договорни клаузи (СДК/SCC)
Anthropic — стандартни договорни клаузи (модул 2: администратор → обработващ), допълнени с оценка на въздействието и технически мерки.
6.3. Metered.ca (Канада)
Канада разполага с решение за адекватност на ЕК. Metered.ca обработва минимални данни временно за WebRTC връзки.
6.4. Допълнителни технически мерки
Криптиране при пренос (TLS 1.2+), минимизиране на данните, псевдонимизация при AI модерация, договорни задължения за уведомяване.
7. Период на съхранение
Съхраняваме вашите лични данни само за необходимия срок: - Данни за акаунт: до изтриване + 30 дни - Бизнес данни на специалист: до изтриване + 10 години (данъчни цели) - Резервации: 3 години след приключване - Чат съобщения: до изтриване на акаунта - Отзиви: до изтриване от потребителя или администратор - Фактури и платежни данни: 10 години - AI модерация: резултатът се съхранява до преглед от администратор - Аналитични данни: 24 месеца - Данни за бисквитки: до оттегляне или 12 месеца - Данни от модул Payroll: до изтриване + 50 години - DSA известия: 5 години - Кредити: до изтриване (изтичат след 12 месеца) При заявка за изтриване: анонимизираме всички лични данни в рамките на 30 дни, запазваме данните, за които имаме законово задължение.
8. Вашите права
Съгласно ОРЗД и ЗЗЛД имате следните права:
8.1. Право на достъп (чл. 15 ОРЗД)
Имате право да получите потвърждение дали обработваме ваши лични данни и да получите достъп до тези данни. Можете да изтеглите копие от Настройки → Поверителност → Експорт на данни.
8.2. Право на коригиране (чл. 16 ОРЗД)
Имате право да поискате коригиране на неточни лични данни. Можете да редактирате профилните си данни директно от панела.
8.3. Право на изтриване (чл. 17 ОРЗД)
Имате право да поискате изтриване, когато данните вече не са необходими, оттеглите съгласието си, или данните са обработвани незаконосъобразно. Заявка: Настройки → Поверителност → Изтриване на данни.
8.4. Право на ограничаване (чл. 18 ОРЗД)
Имате право да поискате ограничаване на обработването, когато оспорвате точността, обработването е незаконосъобразно, или сте възразили срещу обработването.
8.5. Право на преносимост (чл. 20 ОРЗД)
Имате право да получите своите данни в структуриран, машинночетим формат (JSON). Настройки → Поверителност → Експорт на данни.
8.6. Право на възражение (чл. 21 ОРЗД)
Имате право да възразите срещу обработване на основание легитимен интерес, включително AI модерация, аналитика, профилиране. Настройки → Поверителност → Възражение.
8.7. Право относно автоматизирано вземане на решения (чл. 22 ОРЗД)
Имате право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване. Вижте раздел 9 за подробности.
8.8. Право на оттегляне на съгласие (чл. 7, пар. 3 ОРЗД)
Когато обработването се основава на вашето съгласие, имате право да го оттеглите по всяко време.
8.9. Как да упражните правата си
1. Чрез панела за управление: Настройки → Поверителност 2. По електронна поща: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] 3. Писмено: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Отговаряме в срок от 1 месец. Упражняването на права е безплатно.
9. Автоматизирано вземане на решения и профилиране
9.1. AI модерация на съдържание
Платформата използва AI система (Anthropic Claude) за модерация. Анализът е тих — авторът не получава уведомление. Системата не блокира автоматично — окончателното решение е от администратор. Имате право да поискате човешка намеса и да оспорите решението.
9.2. Кредитна система и бадж-ове
Автоматично изчисляване на кредити и бадж-ове за поведение. Тази система няма правни последствия и не ограничава достъпа ви.
10. Бисквитки и проследяване
Платформата използва строго необходими бисквитки (удостоверяване, езикови предпочитания, admin gate). Не използваме бисквитки за маркетинг или реклама. Използваме Umami Analytics (без бисквитки, анонимна) и собствена анонимна аналитична система.
11. Сигурност на данните
11.1. Технически мерки
AES-256-GCM криптиране на чувствителни данни, TLS 1.2+ при пренос, bcrypt хеширане на пароли, RLS на ~199 таблици, CSRF защита, CSP, Rate Limiting, HSTS, идемпотентност на Stripe webhooks, WebRTC DTLS-SRTP криптиране.
11.2. Организационни мерки
Ограничен достъп до лични данни, допълнителна защита на админ панела, регулярни прегледи на сигурността, процедури за инциденти (чл. 33-34 ОРЗД), обучения за персонала.
12. Деца
Платформата не е предназначена за лица под 16-годишна възраст. Не събираме съзнателно лични данни на лица под 16 години. Ако установим такова събиране, ще предприемем незабавни мерки за изтриване. Свържете се с нас на [Не е попълнено — попълнете в Admin → Настройки → Правни данни].
13. Промени в уведомлението
Запазваме правото да актуализираме уведомлението. При съществени промени ще: (1) публикуваме актуализираното уведомление, (2) изпратим имейл уведомление поне 14 дни предварително, (3) покажем банер при влизане. При промени в основанието за обработване ще поискаме изрично съгласие.
14. Контакт и жалби
14.1. Контакт с нас
Администратор на лични данни: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Адрес: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Електронна поща: [Не е попълнено — попълнете в Admin → Настройки → Правни данни] Длъжностно лице по защита на данните: Електронна поща: [Не е попълнено — попълнете в Admin → Настройки → Правни данни]
14.2. Право на жалба до надзорен орган
Ако считате, че обработването нарушава ОРЗД или ЗЗЛД, имате право да подадете жалба до: Комисия за защита на личните данни (КЗЛД) Адрес: бул. Проф. Цветан Лазаров No 2, София 1592 Телефон: +359 2 915 3580 Електронна поща: kzld@cpdp.bg Уебсайт: https://www.cpdp.bg Можете да подадете жалба и до надзорния орган на вашата държава членка.
14.3. Право на ефективна съдебна защита
Без да се засяга административната защита, имате право на съдебна защита (чл. 79 ОРЗД). Компетентен е Административен съд — София-град или съдът по вашето местопребиваване.