Политика за поверителност

Въведение

CompanyBook.BG ("ние", "нас" или "нашият") се ангажира да защитава вашата поверителност и да гарантира сигурността на вашата лична информация. Тази Политика за поверителност обяснява как събираме, използваме и защитаваме вашите данни, когато използвате нашия уебсайт и услуги.

Информация за дружеството

Информация, която събираме

Събираме различни видове информация, за да предоставим и подобрим нашите услуги:

1. Данни, които предоставяте доброволно

• Формуляри за контакт: Когато попълвате формуляр за контакт или абонамент, събираме име, имейл адрес, телефонен номер и ЕИК (ако е приложимо).
• Запитвания: Съдържанието на вашите съобщения и кореспонденция с нас.
• Потребителски акаунти: Когато създавате потребителски акаунт, събираме:
  • Име (задължително)
  • Имейл адрес (задължително)
  • Парола (съхранявана като криптографски хеш с bcrypt - никога в чист текст)
  • Телефонен номер (незадължително)
  • ЕИК на фирма (незадължително)
  • Дата на регистрация
  • Статус на потвърждение на имейл

  Важно: Потребителските акаунти са индивидуални и не могат да се споделят. Ние не поддържаме споделени или групови акаунти. Всяко лице трябва да създаде собствен акаунт. За организации с множество потребители, моля свържете се с нас за корпоративни решения.

• Съобщения за нарушение на поверителност: Когато подавате съобщение за нарушение на поверителност, събираме:
  • Вашето име (задължително)
  • Вашият имейл адрес (задължително)
  • ЕИК на засегнатото дружество (задължително)
  • Вид на проблема (задължително)
  • URL адрес на проблемния документ (задължително)
  • Описание на проблема (задължително)
  • Дата и час на подаване на сигнала

  Тези данни се използват изключително за разглеждане и отстраняване на съобщения проблем. Съобщенията се съхраняват за период от 12 месеца, след което се изтриват автоматично. Имате право да поискате изтриване на вашия сигнал по всяко време.

• Данни за абонамент и плащане: Когато се абонирате за платени услуги, събираме:
  • Адрес за фактуриране (задължително за изчисляване на данъци)
  • Данъчен номер / ДДС номер (ЕИК)
  • Вид и статус на абонамента
  • Начална и крайна дата на абонамента
  • Идентификатор на клиента в Stripe (за връзка с платежната система)

  Важно: Ние НЕ съхраняваме номера на кредитни или дебитни карти. Всички платежни данни се обработват директно от Stripe.

2. Автоматично събрани данни

• Бисквитки и технологии за проследяване: Използваме бисквитки за анализ на трафика и подобряване на вашето изживяване.
• Google Analytics: Събираме анонимизирани данни за посещенията, включително IP адрес (анонимизиран), браузър, операционна система, посетени страници и време на престой.
• Логове на сървъра: IP адрес, тип на браузър, времеви печати и URL адреси.
• История на изтеглянията (за регистрирани потребители): Записваме кои документи сте изтеглили, IP адреса към момента на изтеглянето, браузър (user agent) и дата/час. Тези данни се използват за сигурност, предотвратяване на злоупотреби и за експорт на данни по GDPR.

3. Данни от публични източници

CompanyBook.BG предоставя достъп до публично достъпни данни от Агенция по вписванията, публикувани на data.egov.bg под лиценз CC-BY. Тези данни включват:

• Име на юридическо лице, ЕИК, адрес
• Информация за управление и собственост
• Контактни данни (телефон и имейл), декларирани доброволно от дружествата
• Данни за свързани физически лица (имена, роли)

Правно основание за обработка (ОРЗД)

Обработваме вашите лични данни на следните правни основания съгласно Регламент (ЕС) 2016/679 (Общ регламент за защита на данните):

• Съгласие (чл. 6, пар. 1, буква a) от Регламент (ЕС) 2016/679): Когато попълвате формуляр за контакт или приемате бисквитки, вие давате изрично съгласие за обработка на вашата информация.
• Изпълнение на договор (чл. 6, пар. 1, буква b) от Регламент (ЕС) 2016/679): Данните от вашия потребителски акаунт са необходими за предоставяне на услугите, които сте поискали (напр. сваляне на документи, достъп до финансови данни). Обработката на плащания за абонаменти и съхранението на данни за абонамента са необходими за предоставяне на платени функции.
• Законен интерес (чл. 6, пар. 1, буква f) от Регламент (ЕС) 2016/679): За отговор на запитвания, подобряване на нашите услуги и за използване на бисквитката session_token за удостоверяване на вашата самоличност.
• Изпълнение на правно задължение (чл. 6, пар. 1, буква c) от Регламент (ЕС) 2016/679): За спазване на приложимото законодателство, включително съхранение на записи за плащания за данъчни и счетоводни цели и предоставяне на фактури съгласно българското данъчно законодателство.

Как използваме вашата информация

Използваме вашата лична информация за следните цели:

• Отговор на вашите запитвания и въпроси
• Управление на вашия потребителски акаунт и предоставяне на услуги
• Удостоверяване на вашата самоличност при влизане в акаунта
• Изпращане на имейл известия относно вашите заявки, потвърждение на имейл и нулиране на парола
• Предоставяне на достъп до документи и финансови данни (за регистрирани потребители)
• Генериране и управление на API ключове за достъп до нашия REST API
• Обработка на плащания за абонаменти и управление на фактуриране
• Предоставяне на достъп до премиум финансови данни за абонати
• Записване на история на изтеглянията за сигурност и експорт по GDPR
• Генериране на фактури за данъчни цели
• Подобряване на функционалността и съдържанието на нашия уебсайт
• Анализ на трафика и поведението на потребителите (чрез Google Analytics)
• Измерване на ефективността на рекламни кампании и проследяване на конверсии (чрез Google Ads)
• Осигуряване на сигурността и предотвратяване на измами
• Спазване на законови изисквания

Съхранение и сигурност на данните

Вашата лична информация се съхранява сигурно, като използваме индустриални стандарти за сигурност:

• Инфраструктура: Нашият уебсайт е хостван на Cloudflare Pages с HTTPS криптиране.
• База данни: Данните от потребителските акаунти се съхраняват в защитена MongoDB база данни с автоматично изтриване на изтекли сесии.
• Сигурност на пароли: Паролите никога не се съхраняват в чист текст. Използваме bcrypt хеширане с cost factor 12 за криптографско защитаване на паролите.
• Сигурност на сесии: Токените за сесии се хешират с SHA-256 преди съхранение в базата данни. Само хешираната версия се съхранява, а оригиналният токен се изпраща само като HttpOnly, Secure, SameSite=Strict бисквитка.
• Имейл услуги: Използваме Resend (базирана в САЩ) за изпращане на имейли за потвърждение, нулиране на парола и контактни формуляри.
• API: Нашият API е хостван на Cloudflare Workers с модерна сигурност.
• Мерки за сигурност: Прилагаме подходящи технически и организационни мерки за защита на вашите данни срещу неоторизиран достъп, промяна, разкриване или унищожение.

Услуги на трети страни

Споделяме вашите данни със следните доставчици на услуги, които ни помагат да управляваме нашия уебсайт:

• Google Analytics: За анализ на трафика (данните се обработват в САЩ и ЕС). Google е сертифициран по Data Privacy Framework за трансфер на данни.
• Google Ads: За измерване на ефективността на рекламни кампании и проследяване на конверсии (данните се обработват в САЩ и ЕС). Google е сертифициран по Data Privacy Framework за трансфер на данни.
• Microsoft Clarity: За анализ на поведението на потребителите, включително сесийни записи, топлинни карти и анализ на взаимодействията. Clarity ни помага да разберем как потребителите използват нашия уебсайт, за да подобрим потребителското изживяване. Данните се обработват в САЩ и ЕС. Microsoft е сертифициран по Data Privacy Framework за трансфер на данни. Политика за поверителност на Microsoft.
• Cloudflare: За хостинг и CDN услуги (данните могат да се обработват в САЩ и ЕС).
• Resend: За изпращане на транзакционни имейли (потвърждение на имейл, нулиране на парола, контактни формуляри). Данните се обработват в САЩ. Resend обработва само вашето име и имейл адрес за целите на доставката на имейли.
• Stripe: За обработка на плащания за абонаменти. Споделяме имейл, име, адрес за фактуриране и данъчен номер. Данните за платежни методи (карти) се обработват директно от Stripe и не се съхраняват от нас. Stripe е сертифициран по PCI-DSS и Data Privacy Framework. Политика за поверителност на Stripe.
• Google Cloud (Gemini API): За OCR обработка на финансови документи. Документите се обработват за извличане на текст, но не се съхраняват от Google след обработката. Данните се обработват в САЩ и ЕС. Известие за поверителност на Google Cloud.
• Cloudflare R2: За съхранение на финансови документи. Съхраняваме PDF документи от Агенция по вписванията. Това са публично достъпни документи от регистъра, а не лични данни.

Тези доставчици са договорно задължени да защитават вашите данни и да ги използват само за целите, които ние определяме. Международните трансфери на данни към САЩ са защитени от Стандартни договорни клаузи (SCCs), одобрени от Европейската комисия, и/или Data Privacy Framework.

Бисквитки и технологии за проследяване

Използваме бисквитки (cookies) и подобни технологии за проследяване, за да подобрим вашето изживяване в сайта и да анализираме трафика.

Когато посетите нашия уебсайт за първи път, ще видите банер за съгласие за бисквитки. Можете да изберете да:

• Приемете всички бисквитки: Позволява ни да използваме както необходими, така и аналитични бисквитки.
• Приемете само необходимите бисквитки: Позволява само основни бисквитки, необходими за функционирането на уебсайта.
• Управление на предпочитанията: Можете да персонализирате кои видове бисквитки искате да приемете.

Видове бисквитки, които използваме:

Можете да промените вашите предпочитания за бисквитки по всяко време, като кликнете върху "Настройки за бисквитки" в долния колонтитул на нашия уебсайт.

Вашите права по ОРЗД

Ако се намирате в Европейския съюз или България, имате следните права относно вашите лични данни съгласно Регламент (ЕС) 2016/679:

• Право на достъп (чл. 15 от Регламент (ЕС) 2016/679): Можете да поискате копие от личните данни, които съхраняваме за вас.
• Право на коригиране (чл. 16 от Регламент (ЕС) 2016/679): Можете да поискате коригиране на неточни или непълни данни.
• Право на изтриване (чл. 17 от Регламент (ЕС) 2016/679): Можете да поискате изтриване на вашите лични данни ("право да бъдете забравени"). Забележка: Записите за плащания могат да бъдат запазени за законово съответствие с данъчни изисквания дори след изтриване на акаунта.
• Право на ограничаване на обработването (чл. 18 от Регламент (ЕС) 2016/679): Можете да поискате ограничаване на начина, по който използваме вашите данни.
• Право на преносимост на данните (чл. 20 от Регламент (ЕС) 2016/679): Можете да поискате копие от вашите данни в машинночетим формат. Забележка: Експортът по GDPR включва история на изтеглянията (достъпени документи, IP адреси, дати/часове).
• Право на възражение (чл. 21 от Регламент (ЕС) 2016/679): Можете да възразите срещу обработването на вашите данни.
• Право на оттегляне на съгласие: Можете да оттеглите съгласието си по всяко време.
• Право на жалба: Имате право да подадете жалба до Комисия за защита на личните данни (КЗЛД) или до вашия местен надзорен орган.

За да упражните някое от тези права, моля свържете се с нас чрез контактната форма на нашия уебсайт. Ако имате потребителски акаунт, можете също така да управлявате вашите данни директно от настройките на акаунта си. Ще отговорим на вашето искане в рамките на един месец.

Забележка за регистрирани потребители: Можете да актуализирате вашата лична информация (име, телефон, ЕИК) от страницата на вашия акаунт. За изтриване на акаунт или експортиране на всички ваши данни, моля свържете се с нас.

Комисия за защита на личните данни (КЗЛД)

Ако смятате, че вашите права за защита на данните са нарушени, имате право да подадете жалба до българската Комисия за защита на личните данни:

Поверителност на деца

Нашите услуги не са насочени към лица под 18-годишна възраст. Ние не събираме съзнателно лична информация от деца. Ако сте родител или настойник и смятате, че вашето дете ни е предоставило лична информация, моля свържете се с нас чрез контактната форма на нашия уебсайт и ние ще изтрием информацията.

Период на съхранение на данните

Ние съхраняваме вашите лични данни само толкова дълго, колкото е необходимо за целите, за които са събрани:

• Данни от потребителски акаунти: До изтриване на акаунта или до искане за изтриване от ваша страна
• Сесии за удостоверяване: До 30 дни (при избрана опция "Запомни ме") или до затваряне на браузъра. Изтеклите сесии се изтриват автоматично.
• Токени за потвърждение на имейл: 48 часа
• Токени за нулиране на парола: 15 минути
• Данни от формуляри за контакт: До 2 години след последната комуникация
• Бисквитки за Analytics: До 2 години (за _ga), 24 часа (за _gid)
• Логове на сървъра: До 90 дни
• Данни за абонамент: За срока на абонамента + 10 години (за данъчни и счетоводни изисквания)
• Записи за плащания: 10 години (съгласно българското счетоводно законодателство)
• История на изтеглянията: 12 месеца
• Идентификатор на клиента в Stripe: До изтриване на акаунта

След изтичане на периода на съхранение, данните се изтриват автоматично или се анонимизират за статистически цели.

Промени в тази Политика за поверителност

Можем да актуализираме тази Политика за поверителност от време на време, за да отразим промени в нашите практики или правни изисквания. Когато правим промени, ще актуализираме датата "Последна актуализация" в горната част на тази страница.

Препоръчваме ви периодично да преглеждате тази Политика за поверителност. Ако направим съществени промени, ще ви уведомим чрез имейл (ако сте предоставили имейл адрес) или чрез публикуване на известие на нашия уебсайт.

Свържете се с нас

Ако имате въпроси относно тази Политика за поверителност, искате да упражните вашите права или имате притеснения относно начина, по който обработваме вашата лична информация, моля свържете се с нас чрез контактната форма на началната страница на нашия уебсайт.

Правна съответствие

Тази Политика за поверителност е разработена в съответствие със:

• Регламент (ЕС) 2016/679 (ОРЗД) - Общ регламент за защита на данните
• Закон за защита на личните данни (ЗЗЛД) - Българското законодателство за защита на данните
• Закон за електронната търговия (ЗЕТ)
• Директива 2002/58/ЕО - Директива за поверителността и електронните комуникации