1. Администратор на лични данни
Администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни (ЗЗЛД) е:
Джи Ем Ви Венчърс ЕООД (GMV Ventures EOOD) Седалище: с. Кирково, ул. „Синчец" № 2 ЕИК: 208811850 Имейл: contact@into.wedding
За въпроси относно обработката на лични данни, моля, пишете на contact@into.wedding. Ще пренасочим запитването ви към отговорното лице.
2. Какви лични данни събираме
2.1 От Потребителите (вие, като двойка, регистрираща профил)
- Профилни данни: имейл адрес, парола (хеширана с bcrypt и не е достъпна за нас в открит вид);
- Данни за сватбата: имена, дата на сватбата, място на сватбата, адрес на мястото;
- Съдържание на сватбения сайт: избран шаблон, текстове, снимки, графика на деня, дрескод, и друга информация, която вие въвеждате;
- Платежни записи: дата, сума, метод (но не данните на картата — те се обработват от нашия платежен процесор);
- Технически метаданни: IP адрес, тип браузър, дата на последно влизане (за сигурност и логове);
- Кореспонденция: имейли, които ни изпращате (форма за контакт, поддръжка).
- Данни от Facebook (само при вход с Facebook): Facebook user ID, име и имейл адрес, които Meta ни предоставя при автентикация. Не получаваме списък с приятели, снимки или друга информация от Facebook профила ви.
2.2 От Гостите (хората, на които изпращате покани)
Когато гост подава орговори (RSVP) за вашата сватба, ние обработваме (от ваше име като съ-администратор):
- Имена;
- Брой възрастни и деца, които ще присъстват;
- Избор на ястие (по желание);
- Диетични изисквания, алергии (по желание);
- Избор на хотел и дати за настаняване (по желание);
- Лично съобщение към двойката (по желание);
- IP адрес, дата на подаване на орговори (за сигурност).
Гостите попълват тази информация през уникален персонален линк, който вие сте им изпратили. Ние не събираме имейли или телефонни номера на гостите освен ако вие не ги въведете в списъка си.
2.3 Автоматично събирани данни
- IP адрес, тип браузър, операционна система, езикова настройка;
- Времеви маркер на посещение, посетени страници;
- Реферер (от къде идвате);
- Аналитични данни — само ако сте дали съгласие за бисквитки за
анализ (вижте Политиката за бисквитки). Включва:
- Google Analytics — анонимизирано посещение и взаимодействие със страниците;
- Microsoft Clarity — анонимизиран запис на сесия (движения на мишката, скрол, клик), за да разберем как се ползва Услугата. Полета за вход (имейл, парола) и други чувствителни форми са маскирани по подразбиране — техните стойности не се записват и не се изпращат към Microsoft.
3. За какви цели и на какво правно основание ги обработваме
| Цел | Какви данни | Правно основание (GDPR) |
|---|---|---|
| Регистрация и автентикация | имейл, хеширана парола | Изпълнение на договор (чл. 6, ал. 1, б. „б") |
| Хостинг на сватбен сайт + RSVP (орговори) управление | данни за сватбата, гостите | Изпълнение на договор |
| Изпращане на сервизни имейли (потвърждение, нулиране на парола) | имейл | Изпълнение на договор |
| Платежна обработка | платежни данни | Изпълнение на договор + правно задължение (счетоводство) |
| Отговор на запитвания | кореспонденция | Изпълнение на договор / легитимен интерес |
| Защита от спам и злоупотреба | IP, фингърпринт от Cloudflare Turnstile | Легитимен интерес |
| Анализ на ползването (Google Analytics) | анонимизиран IP, метаданни | Съгласие (чл. 6, ал. 1, б. „а") |
| Спазване на правни задължения (ДДС, счетоводство, искания на органи) | свързани данни | Правно задължение (чл. 6, ал. 1, б. „в") |
4. Кому предоставяме данните
Не продаваме лични данни. Използваме следните доставчици като обработващи лични данни от наше име (data processors); всеки от тях има подписано споразумение за обработка с нас:
-
Supabase, Inc. (САЩ) — база данни, автентикация, файлово съхранение. Сертифицирани по EU-US Data Privacy Framework. Политика: https://supabase.com/privacy
-
Resend, Inc. (САЩ/ЕС) — изпращане на сервизни имейли (включително имейли за потвърждение, нулиране на парола, контактна форма). Политика: https://resend.com/legal/privacy-policy
-
Cloudflare, Inc. (САЩ) — Turnstile (защита от ботове) и услуги за сигурност. Сертифицирани по EU-US Data Privacy Framework. Политика: https://www.cloudflare.com/privacypolicy/
-
Google LLC (САЩ) — Google Analytics 4. Зарежда се само ако сте дали съгласие за аналитични бисквитки. IP адресите са анонимизирани. Сертифицирани по EU-US Data Privacy Framework. Политика: https://policies.google.com/privacy
-
Microsoft Corporation (САЩ) — Microsoft Clarity, инструмент за анализ на потребителското поведение чрез запис на сесии (движения на мишката, скрол, клик). Зарежда се само ако сте дали съгласие за аналитични бисквитки. Полета за вход и други чувствителни форми са маскирани по подразбиране — техните стойности не достигат до Microsoft. Сертифицирани по EU-US Data Privacy Framework. Политика: https://privacy.microsoft.com/privacystatement
-
Vercel, Inc. (САЩ) — хостинг и доставяне на сайта. Политика: https://vercel.com/legal/privacy-policy
-
Meta Platforms Ireland Limited (Ирландия) — само при вход чрез Facebook. Meta автентикира потребителя и ни предоставя профилни данни (име, имейл, Facebook ID). Политика: https://www.facebook.com/policy.php
-
Google LLC (САЩ) — само при вход чрез Google. Google автентикира потребителя и ни предоставя профилни данни (име, имейл, Google потребителски идентификатор). Политика: https://policies.google.com/privacy
-
DSK Bank АД (България) — обработка на плащания (картови транзакции). Не имаме достъп до данните на картата ви; те се обработват директно от банката. Политика: https://dskbank.bg
5. Международни трансфери
Някои от нашите доставчици са разположени в САЩ. Когато обработваме лични данни на лица от ЕС в САЩ:
- Доставчикът е сертифициран по EU-US Data Privacy Framework, или
- Имаме сключени Standard Contractual Clauses (SCCs) с него, одобрени от Европейската комисия.
6. Срокове на съхранение
| Данни | Срок |
|---|---|
| Профил | Докато не го изтриете, или 12 месеца неактивност след сватбата |
| Сватбен сайт (съдържание) | Безсрочно, освен ако не поискате изтриване |
| RSVP (орговори) данни на гостите | До изтриване от вас (като администратор), или при изтриване на профила |
| Сервизни имейли (потвърждения, контакти) | 12 месеца |
| Платежни записи и фактури | 10 години (изискване на счетоводна и данъчна нормативна уредба) |
| Логове за сигурност | 90 дни |
| Аналитични данни (GA4) | 14 месеца |
7. Вашите права
Като субект на лични данни имате следните права съгласно GDPR:
- Право на достъп — да получите потвърждение и копие от вашите данни (чл. 15);
- Право на корекция — да поправите неточни или непълни данни (чл. 16);
- Право на изтриване („правото да бъдете забравен") — освен ако имаме правно задължение да съхраняваме данните (чл. 17);
- Право на ограничаване — да поискате временно спиране на обработката (чл. 18);
- Право на преносимост — да получите данните си в структуриран, машинно четим формат (чл. 20);
- Право на възражение — срещу обработка, базирана на легитимен интерес (чл. 21);
- Право да оттеглите съгласието — за обработки на основание съгласие (например аналитичните бисквитки), без това да засяга законосъобразността на предишна обработка (чл. 7, ал. 3).
За упражняване на тези права: contact@into.wedding. Ще отговорим в рамките на един месец (чл. 12, ал. 3 от GDPR), с възможност за удължаване с още два месеца при сложни случаи.
Право на жалба
Имате право да подадете жалба в надзорния орган на държавата ви на пребиваване. В България това е:
Комисия за защита на личните данни (КЗЛД) бул. „Проф. Цветан Лазаров" № 2, гр. София 1592 Тел.: +359 2 91 53 518 Имейл: kzld@cpdp.bg Уебсайт: https://www.cpdp.bg
8. Деца
Услугата не е насочена към лица под 18 години и не събираме съзнателно лични данни на деца под 18. Ако смятате, че сме събрали такива данни, моля, свържете се с нас на contact@into.wedding и ще ги изтрием.
Когато гостите ви включват деца в RSVP отговор (брой деца, диетични изисквания), вие като двойка отговаряте за обработката на тези данни с разрешението на родителите.
9. Сигурност
Прилагаме разумни технически и организационни мерки за защита на личните ви данни:
- Хеширане на пароли (bcrypt чрез Supabase Auth);
- Криптирани връзки (HTTPS/TLS) за всички трансфери;
- Row-Level Security на ниво база данни — всеки потребител вижда само своите данни;
- Ограничен достъп до сървърите по принцип на нужда (need-to-know);
- Регулярни обновявания на софтуера и зависимостите;
- Бекъпи на базата данни.
Никаква система не е 100% сигурна, но правим всичко разумно. В случай на пробив, който засяга вашите права, ще ви уведомим в рамките на 72 часа, ако това се изисква от GDPR.
10. Бисквитки
За пълна информация за бисквитките вижте нашата Политика за бисквитки.
11. Промени в Политиката
Можем да актуализираме тази Политика. Съществените промени ще съобщаваме по имейл (поне 30 дни преди влизане в сила) и с известие в Услугата.
12. Изтриване на профил
За да изтриете профила си и свързаните с него данни, моля изпратете имейл от адреса, с който се регистрирахте, на contact@into.wedding. Ще обработим заявката в рамките на 30 дни.
Ако сте се регистрирали чрез Facebook, изтриването на профила ви в into.wedding не премахва автоматично приложението от вашия Facebook профил. За да го направите, посетете Facebook → Настройки → Приложения и уебсайтове → into.wedding → Премахни.
Тази страница е достъпна и на: https://into.wedding/legal/privacy#data-deletion — моля, използвайте този URL ако Meta или друга платформа ви иска „Data Deletion Instructions URL" за нашето приложение.
13. Контакт
- Имейл: contact@into.wedding
- Адрес: с. Кирково, ул. „Синчец" № 2