Политика за поверителност

Администратор на личните данни е: Мамо, какво ще ядем?. Контакт: contact@mamokakvoshteyadem.bg, +359883438912.

При поръчка на кулинарната книга "МАМО, КАКВО ЩЕ ЯДЕМ?" събираме:

• Име и фамилия – за доставка и идентификация
• Телефонен номер – за контакт и доставка
• Имейл адрес (незадължителен) – за изпращане на потвърждение на поръчката
• Адрес за доставка (град, офис или пълен адрес) – за изпълнение на доставката
• Бележка (по избор) – за допълнителни указания към доставката; предоставянето е доброволно и не е задължително за поръчката

Основание за обработка: задължителните полета (име, телефон, адрес) се обработват на основание изпълнение на договор за покупко-продажба (чл. 6, ал. 1, т. б от GDPR). Имейлът, когато е незадължителен (при наложен платеж), се обработва на основание легитимен интерес (потвърждение на поръчката и пост-договорни разкрития по ЗЗП чл. 48 — чл. 6, ал. 1, буква „е“ от GDPR). Имате право на възражение по чл. 21 GDPR — имейлът за потвърждение на поръчката съдържа линк за отписване, който спира изпращането на всички последващи имейли за същата поръчка; заявка можете да подадете и през /privacy/request. Оценка на въздействието на легитимния интерес (LIA) е налична по искане. Бележката (незадължително поле) се обработва на основание вашето изрично съгласие чрез доброволно попълване (чл. 6, ал. 1, т. а от GDPR) — можете да не я попълвате.

За ограничаване на честотата на заявките и защита от злоупотреби IP адресите се обработват в процесната памет на сървъра и изчезват при рестарт (не се съхраняват в външна база данни). Освен това, при подаване на поръчка IP адресът и типът на браузъра се запазват заедно с поръчката като доказателство за съгласие (GDPR чл. 7(1)); тези полета подлежат на 10-годишния срок за анонимизация по раздел 4. Правното основание е легитимен интерес (чл. 6, ал. 1, буква „е“ от GDPR). Оценка на въздействието (LIA) е налична по искане.

Данните се предават само на доставчици на услуги, необходими за изпълнение на поръчката:

• Еконт Експрес ООД (ЕИК 117047646) – куриерска доставка до офис или адрес
• Спиди АД (ЕИК 131109516) – куриерска доставка до офис или адрес
• Resend Inc. – изпращане на имейл за потвърждение на поръчка (само ако е предоставен имейл); обработката е в ЕС/САЩ при стандартни договорни клаузи
• Supabase Inc. – съхранение на данните за поръчката; центровете за данни са в ЕС

Не продаваме и не предоставяме данни на трети страни за маркетингови цели. С всеки обработващ са сключени договори за обработка на лични данни (DPA) в съответствие с чл. 28 от GDPR.

Данните, свързани със счетоводно-данъчни документи (чл. 52о Наредба Н-18 — документи за регистриране на продажба), се съхраняват за 10 години от началото на годината, следваща финансовата година на издаване (чл. 38, ал. 1 от Закона за счетоводството). След изтичане на този срок идентификационните полета (име, телефон, имейл, адрес, бележка) и полетата за доказателство за съгласие (IP адрес и user-agent, запазени в момента на поръчката) се анонимизират автоматично от ежемесечна задача за изтриване (чл. 5, ал. 1, буква „д“ GDPR — storage limitation). Подаръчната бележка се изтрива от нашата система веднага след успешно изпращане на пратката (вж. раздел 6); куриерската услуга в този момент вече разполага с необходимата информация върху етикета.

Съгласно GDPR и ЗЗЛД имате право на:

• Достъп – да получите копие от вашите данни
• Коригиране – да поправим неточни данни
• Изтриване – да изтрием данните при липса на законно основание
• Ограничаване – да ограничим обработката в определени случаи
• Възражение – да възразите срещу обработка при определени условия
• Преносимост – да получите данните в структуриран формат
• Оттегляне на съгласие (чл. 7(3)) – оттеглянето е толкова лесно, колкото и даването на съгласие

За упражняване на правата си можете да използвате нашата форма за заявки: /privacy/request. Заявката ще бъде верифицирана чрез линк, изпратен на Вашия имейл (за гарантиране на самоличността Ви), и ще бъде обработена в рамките на 30 дни (чл. 12(3) GDPR). Имате право на жалба до Комисията за защита на личните данни (КЗЛД): www.cpdp.bg.

Когато отбележите поръчката като подарък, събираме данни за получателя (име, телефон, адрес, по избор – текст на подаръчна бележка). Основание за обработката е легитимен интерес (чл. 6, ал. 1, буква „е“ от GDPR) – изпълнение на подаръчна доставка. Купувачът потвърждава, че има разрешението на получателя да използва неговите данни за тази цел.

Съгласно чл. 14 от GDPR, получателят на подаръка има право да бъде информиран за обработката на неговите данни. Подаръчната бележка се изтрива от нашата система след изпращане на пратката (куриерската услуга вече разполага с необходимата информация). Останалите данни за получателя (име, телефон, адрес) се съхраняват само в рамките на необходимото за доставката и счетоводните задължения. Оценка на въздействието на легитимния интерес (LIA) е налична по искане.

Сайтът използва само технически необходими (strictly-necessary) бисквитки. Не се поставят аналитични, маркетингови или бисквитки на трети страни. За посочените по-долу първи-страни бисквитки не се изисква съгласие по чл. 4а от Закона за електронните съобщения (ЗЕС), тъй като са абсолютно необходими за предоставянето на заявената от потребителя услуга.

• __Host-admin_session — първи-страни HTTP cookie; използва се само в административния панел (/admin); позволява идентификация на администратора; автоматично изтича след 30 минути бездействие (sliding renewal), с абсолютен лимит 24 часа от първоначалния вход; HttpOnly, Secure, SameSite=Strict, Path=/.

• __Host-site_session — първи-страни HTTP cookie; активен само когато е включена временна защита на целия сайт (env var SITE_PROTECTED=true); валидност 7 дни; HttpOnly, Secure, SameSite=Strict, Path=/. При нормална експлоатация на сайта не се задава.

• Инфраструктурни бисквитки на доставчика на хостинг (Vercel) — задават се само в preview deployments за вътрешни тестове; не присъстват в продукционната версия на сайта.

Не използваме Google Analytics, Meta pixel, Hotjar или други инструменти за проследяване. Няма consent banner, защото не се поставят бисквитки или скриптове, изискващи съгласие. Ако в бъдеще бъдат въведени такива, ще се активира пълна opt-in система с гранулирано съгласие по целия сайт (вж. docs/legal/cookies.md).

Когато изпратиш отзив чрез формата на нашата начална страница, ние съхраняваме: твоята оценка (1–5 звезди), текста на отзива, името и града, които си попълнил (публично видими), както и хеширан адрес на устройството ти (SHA-256 със сол — непубличен) и кратка техническа информация за браузъра. Целта е показване на одобрените отзиви, модерация и защита срещу злоупотреби (правно основание: легитимен интерес, чл. 6(1)(f) GDPR).

Срок на съхранение: одобрени — безсрочно до промяна на политиката; чакащи за преглед — до решение на модератор; отхвърлени — 90 дни; спам — 365 дни.

За защита срещу злоупотреби използваме скрито honeypot поле, ограничения по IP (rate limit) и модерация преди публикуване. Не използваме бисквитки, външни анализи или услуги на трети страни в тази форма. За искане за изтриване или експорт на данните си — свържи се през страницата за заявки по GDPR.

Тази политика може да бъде актуализирана. Промените влизат в сила от датата на публикуване на тази страница.