Политика за поверителност

Тази Политика за поверителност описва как [НАИМЕНОВАНИЕ НА ФИРМАТА] („Ние", „Администратор") събира, обработва, съхранява и защитава Вашите лични данни при ползване на услугата [НАИМЕНОВАНИЕ НА УСЛУГАТА] на адрес [ДОМЕЙН].

Политиката се прилага в съответствие с:

Регламент (ЕС) 2016/679 (GDPR) — Общ регламент за защита на данните;
Закон за защита на личните данни (ЗЗЛД) на Република България;
Закон за електронната търговия (ЗЕТ);
Директива 2002/58/EC (ePrivacy).

Основни принципи на нашата работа с лични данни:

Събираме само необходимото за функционирането на услугата;
Никога не продаваме лични данни на трети страни;
Не показваме реклами и не профилираме потребителите за маркетинг;
Имате пълни права на достъп, корекция, изтриване и пренасяне на данните си;
Прилагаме криптиране в покой (at rest) и при пренос (in transit) — TLS 1.3.

Съдържание

Кои сме (Администратор на данни)
Какви лични данни събираме
Защо обработваме данните (правни основания)
Срокове на съхранение
С кого споделяме данните (Обработващи)
Международни прехвърляния на данни
Вашите права по GDPR
Сигурност на данните
Бисквитки (cookies) и подобни технологии
Деца и непълнолетни
Автоматизирано вземане на решения
Промени в Политиката
Контакти и оплаквания

1. Кои сме (Администратор на данни)

За целите на GDPR, Администратор на личните данни е:

Наименование: [НАИМЕНОВАНИЕ НА ФИРМАТА]
ЕИК / БУЛСТАТ: [ЕИК]
ДДС номер (ако е приложим): [VAT NUMBER]
Адрес на седалище: [АДРЕС]
Email за лични данни: [PRIVACY_EMAIL]
Длъжностно лице по защита на данните (DPO): [DPO NAME (ако е приложимо)] / Не е задължително според чл. 37 на GDPR за нашия мащаб

2. Какви лични данни събираме

2.1. Данни при регистрация на акаунт

Email адрес — за регистрация и комуникация;
Парола — съхранена хеширана (Supabase използва bcrypt). Никога не виждаме оригиналната парола;
Име (опционално, ако го въведете) — за персонализиране на анализите;
Език на интерфейса — за локализация.

2.2. Рождени данни (за астрологичен анализ)

Дата на раждане — задължителна;
Час на раждане — точен или приблизителен период;
Място на раждане — град, държава (за геокодиране);
Пол — опционално, за по-точна интерпретация в определени контексти.

ВАЖНО: Според чл. 9 на GDPR, рождените данни НЕ са специална категория лични данни (като здравословни или религиозни). Те се третират като обикновени лични данни. Но ние ги защитаваме със същата грижа както чувствителните данни.

2.3. Платежни данни (обработват се от Paddle)

За плащания НЕ съхраняваме данни за банкови карти. Те се обработват директно от Paddle.com Market Limited като Merchant of Record. Ние получаваме само:

Идентификатор на транзакцията (Paddle ID);
Статус (платено/неплатено/възстановено);
Страна на купувача (за ДДС);
Email на купувача (същият като регистрирания);
Сума и валута.

2.4. AI-генерирано съдържание (анализи)

Текстовете на наталните анализи, ректификации, транзитни прогнози и т.н. се съхраняват като част от Вашия профил. Те се пораждат от изкуствен интелект на база Вашите рождени данни.

2.5. Технически и поведенчески данни

IP адрес — за защита от злоупотреба, ratelimiting (съхраняваме до 30 дни);
User Agent (тип браузър/устройство) — за оптимизация на сайта;
Времеви маркери — кога сте се логнали, кога сте генерирали анализ;
Заявки за ректификация — брой опити (за прилагане на лимити на плана);
Минимална телеметрия — грешки в приложението (Sentry или подобно, ако е активирано), без съдържание на анализи.

2.6. Кореспонденция

Когато се свържете с нас на email, съхраняваме съобщенията Ви за обслужване (макс 24 месеца).

2.7. Какво НЕ събираме

Адрес и телефон — не са необходими;
Социални медии профили — не интегрираме социалните мрежи;
Биометрични данни;
Здравословни данни (но рождените данни може непряко да индикират здравословни теми чрез астрологичните им интерпретации — тълкуването е символично, не диагностично);
Местоположение в реално време (GPS).

3. Защо обработваме данните (правни основания)

В съответствие с чл. 6(1) на GDPR, всяка обработка има конкретно правно основание:

Цел	Данни	Правно основание
Регистрация и поддръжка на акаунт	Email, парола, име	Чл. 6(1)(b) — изпълнение на договор
Генериране на астрологични анализи	Рождени данни, име	Чл. 6(1)(b) — изпълнение на договор
Обработка на плащания	Платежни данни (чрез Paddle)	Чл. 6(1)(b) — изпълнение на договор
Защита от злоупотреба и измами	IP, User Agent, времеви маркери	Чл. 6(1)(f) — легитимен интерес
Подобряване на услугата	Агрегирани анонимни статистики	Чл. 6(1)(f) — легитимен интерес
Маркетингови съобщения (newsletter, нови функции)	Email	Чл. 6(1)(a) — съгласие (opt-in)
Спазване на закона (счетоводство, ДДС)	Платежни записи	Чл. 6(1)(c) — законово задължение

4. Срокове на съхранение

Категория данни	Срок на съхранение
Активен акаунт (email, парола)	Докато е активен + 12 месеца неактивност
Рождени данни и анализи	Докато акаунтът съществува (изтриват се при изтриване на акаунта)
Платежни записи (фактури)	10 години (законово задължение, чл. 38 ЗС)
IP адреси и логове	30 дни
Email кореспонденция	24 месеца
Маркетинг съгласия	Докато не оттеглите съгласието си
Изтрити акаунти (soft delete)	90 дни преди окончателно изтриване

5. С кого споделяме данните (Обработващи)

За функционирането на услугата ползваме следните под-обработващи (sub-processors), всеки със собствен GDPR-съвместим Data Processing Agreement (DPA):

Услуга	Цел	Локация на данни	Сертификати
Supabase Inc.	База данни, автентикация, файлове	EU (Frankfurt, Германия)	SOC 2 Type II, GDPR DPA
Vercel Inc.	Хостинг, serverless функции	Глобален CDN (Edge), основни сървъри в EU	SOC 2 Type II, GDPR DPA, ISO 27001
Google LLC (Gemini AI)	Генериране на AI текстови анализи	EU/US (зависи от модела)	SOC 2, ISO 27001, GDPR DPA
Paddle.com Market Limited	Платежи, ДДС (Merchant of Record)	UK + EU	PCI DSS Level 1, GDPR DPA
freeastroapi.com	Изчисление на астрологична карта (houses + geocoding)	EU/US	Стандартни GDPR гаранции

Списъкът на под-обработващите може да се актуализира. Промени се публикуват тук с предизвестие.

Не споделяме данни с трети страни извън горните под-обработващи, освен:

При законово задължение (съдебно решение, разпореждане на компетентен орган);
За защита на нашите права (напр. при опит за измама);
При сливане / придобиване на компанията (с предварително уведомяване).

6. Международни прехвърляния на данни

Някои от нашите под-обработващи (Vercel, Google) са с базирани в САЩ компании. Прехвърлянията към такива държави извън ЕС се основават на:

Стандартни договорни клаузи (SCCs) на ЕК (Решение 2021/914);
EU-US Data Privacy Framework (за компании, които са сертифицирани, напр. Google);
Допълнителни технически мерки — криптиране in transit и at rest.

Можете да изискате копие от приложимите SCCs на email: [PRIVACY_EMAIL].

7. Вашите права по GDPR

Като субект на данни имате следните права (чл. 15-22 на GDPR):

7.1. Право на достъп (чл. 15)

Имате право да получите потвърждение дали обработваме лични данни за Вас и копие на тях. Достъп до собствените си данни е възможен чрез профилните настройки.

7.2. Право на корекция (чл. 16)

Можете да коригирате некоректни или непълни лични данни. Внимание: рождените данни се заключват след първото генериране на анализ — за корекция изпратете заявка на email.

7.3. Право на изтриване / „право да бъдеш забравен" (чл. 17)

Можете да поискате изтриване на всички Ваши данни. Изтриването става в рамките на 30 дни от заявката. Изключения:

Платежни записи се запазват законово 10 години;
При активни претенции / юридически процедури.

7.4. Право на ограничаване на обработката (чл. 18)

Можете да поискате временно спиране на обработката, докато се изяснят спорове за точност или законност.

7.5. Право на преносимост (чл. 20)

Можете да получите данните си в структуриран, машинно четим формат (JSON) и да ги пренесете към друг доставчик.

7.6. Право на възражение (чл. 21)

Можете да възразите срещу обработка, базирана на легитимен интерес. Ние ще преценим възражението и или ще спрем обработката, или ще обясним защо легитимният ни интерес надделява.

7.7. Право на оттегляне на съгласие (чл. 7)

Когато обработваме данни на база съгласие (напр. маркетинг), можете да оттеглите съгласието си по всяко време. Оттеглянето НЕ влияе на законосъобразността на предишната обработка.

7.8. Право на жалба пред надзорен орган (чл. 77)

Имате право да подадете жалба пред:

Комисия за защита на личните данни (КЗЛД)
Адрес: София 1592, бул. „Цветан Лазаров" № 2
Tel: +359 2 915 3 518
Web: www.cpdp.bg
Друг орган за защита на данните в ЕС, ако е приложим.

7.9. Как да упражните правата си

Изпратете заявка на [PRIVACY_EMAIL] с темата „GDPR заявка — [вид право]". Отговор: до 30 дни (възможно удължаване с 60 дни при сложни случаи).

8. Сигурност на данните

Прилагаме организационни и технически мерки за защита:

8.1. Технически мерки

TLS 1.3 за всички връзки (HTTPS);
Bcrypt хеширане на пароли (Supabase auth);
Криптиране at rest на базата данни (AES-256, Supabase);
Row-Level Security (RLS) — потребителите виждат само своите данни;
JWT токени с кратък живот за автентикация;
Rate limiting срещу brute force атаки;
HTTP Security Headers (HSTS, CSP, X-Content-Type-Options).

8.2. Организационни мерки

Достъп до данни — само за необходим персонал, на принципа на „минимални привилегии";
Логване на достъпа до чувствителни данни;
Период за прегледи на сигурността;
Обучение на персонала по GDPR (когато има такъв).

8.3. Действия при пробив на данни

При пробив, който може да доведе до висок риск за правата Ви, ще Ви уведомим в рамките на 72 часа (както изисква чл. 33-34 на GDPR) с описание на:

Естеството на пробива;
Засегнатите данни;
Възможните последици;
Мерките, които предприемаме;
Препоръчителни стъпки от Ваша страна.

9. Бисквитки (cookies) и подобни технологии

9.1. Какво са бисквитките

Бисквитките са малки текстови файлове, които се съхраняват в браузъра Ви при посещение на нашия сайт.

9.2. Какви бисквитки ползваме

Бисквитка	Цел	Срок	Тип
sb-access-token	Автентикация (Supabase)	Сесия	Задължителна
sb-refresh-token	Поддръжка на сесия	7 дни	Задължителна
language	Запазване на езика	1 година	Функционална
localStorage: rect-data	Кеширане на ректификационни отговори (само в твоя браузър)	До изчистване	Функционална
localStorage: chart-cache	Кеширане на наталната карта (само в твоя браузър)	До изчистване	Функционална

9.3. Какви бисквитки НЕ ползваме

Google Analytics, Facebook Pixel и подобни маркетингови tracker-и — не ги ползваме;
Реклами — не показваме;
Cross-site tracking — не правим.

9.4. Управление на бисквитки

Можете да изтриете или блокирате бисквитки от настройките на браузъра си. Внимание: блокирането на задължителните бисквитки ще наруши автентикацията — няма да можете да се логнете.

10. Деца и непълнолетни

Услугата е достъпна за лица на 16+ години (минималната възраст за съгласие според чл. 8 на GDPR в България).

Не събираме умишлено лични данни на деца под 16 години. Ако установим, че сме обработили данни на дете без съгласие на родител/настойник, ще изтрием данните в рамките на 30 дни.

Ако сте родител/настойник и подозирате, че дете под 16 години има акаунт без Ваше съгласие, пишете ни незабавно на [PRIVACY_EMAIL].

11. Автоматизирано вземане на решения

Според чл. 22 на GDPR, имате право да не подлежите на решения, основани изцяло на автоматизирана обработка със значими последици за Вас.

11.1. Какво правим автоматизирано

Изчисление на астрологична карта — математически алгоритъм, без оценъчно решение;
Ректификация (peak time) — алгоритъмен анализ на събития;
AI-генериране на анализи — Gemini генерира текстова интерпретация.

11.2. Защо това НЕ е „автоматизирано решение" по чл. 22

Резултатите от тези процеси са информационни — те не пораждат правни последици за Вас (не Ви отказват услуга, не Ви определят кредитоспособност, не Ви категоризират за работа). Те са инструмент за самопознание.

Все пак, ако смятате, че алгоритмично резултат Ви е навредил, можете да поискате човешка проверка на email [CONTACT_EMAIL].

12. Промени в Политиката

Запазваме си правото да актуализираме настоящата Политика. При значими промени (напр. нов под-обработващ, нова цел на обработка) ще:

Уведомим регистрираните потребители чрез email (поне 30 дни предизвестие);
Публикуваме известие на началната страница;
Актуализираме „Дата на влизане в сила" в горната част.

Старите версии на Политиката се архивират и могат да бъдат поискани на email.

13. Контакти и оплаквания

13.1. Връзка с нас

Общи въпроси: [CONTACT_EMAIL]
Лични данни и GDPR: [PRIVACY_EMAIL]
Сигурност (security): [SECURITY_EMAIL]

13.2. Срокове на отговор

GDPR заявки (достъп, изтриване и др.): 30 дни;
Общи запитвания: 3-5 работни дни;
Сигнали за пробив на сигурността: 72 часа.

13.3. Жалба към надзорен орган

Ако не сме разрешили Ваш проблем с лични данни, можете да подадете жалба пред Комисията за защита на личните данни (КЗЛД):

Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2
Tel: +359 2 915 3 518
Email: kzld@cpdp.bg
Web: www.cpdp.bg

Благодарим Ви, че се запознахте с нашата Политика за поверителност. Прозрачността и доверието са основа на отношенията ни с Вас. Ако имате въпрос — пишете ни.