Политика за поверителност
Последна актуализация: 4 март 2026 г.
1. Администратор на лични данни
Администратор на личните данни е Firmify ("ние", "нас"), оператор на уебсайта firmify.bg.
Контакт за въпроси относно защитата на лични данни: privacy@firmify.bg
2. Какви данни събираме
Събираме следните категории лични данни:
2.1. Данни за акаунт
- Имейл адрес
- Парола (хеширана с bcrypt, никога не се съхранява в явен вид)
2.2. Данни за фирмата
- Име на фирмата, адрес на управление, вид дейност
- Имена на собственици, съдружници и управители
- Адреси на физически лица (собственици, управители)
- Размер на капитала и дялово разпределение
2.3. Единен граждански номер (ЕГН)
ЕГН се събира, тъй като е задължителен елемент от документите за Търговския регистър. ЕГН се криптира с AES-256-GCM при записване в базата данни. В потребителския интерфейс се показват само последните 4 цифри. Пълното декриптиране се извършва единствено при генериране на документите.
2.4. Данни за плащане
Платежните данни (номер на карта, дата, CVC) се обработват изключително от Stripe (stripe.com). Firmify НЕ съхранява номера на кредитни или дебитни карти. Ние съхраняваме единствено Stripe session ID и статус на плащането.
2.5. Технически данни
- IP адрес (в сървърни логове)
- Бисквитки за автентикация (JWT)
- Google Analytics данни (анонимизирани, само при дадено съгласие)
3. Цели и правно основание за обработка
| Цел | Правно основание (GDPR) |
|---|---|
| Създаване и управление на акаунт | Изпълнение на договор (чл. 6, ал. 1, б. "б") |
| Генериране на документи | Изпълнение на договор (чл. 6, ал. 1, б. "б") |
| Обработка на плащания | Изпълнение на договор (чл. 6, ал. 1, б. "б") |
| Изпращане на напомняния (ДДС, ГФО) | Легитимен интерес (чл. 6, ал. 1, б. "е") |
| Аналитика на уебсайта (Google Analytics) | Съгласие (чл. 6, ал. 1, б. "а") |
| Мониторинг на грешки (Sentry) | Легитимен интерес (чл. 6, ал. 1, б. "е") |
4. Бисквитки (Cookies)
Firmify използва следните бисквитки:
| Бисквитка | Цел | Тип | Срок |
|---|---|---|---|
token | Автентикация (JWT) | Задължителна | 7 дни |
cookie_consent | Запомняне на избора за бисквитки | Задължителна | 1 година |
_ga, _ga_* | Google Analytics | По избор | 2 години |
Аналитичните бисквитки се зареждат само след вашето изрично съгласие чрез банера за бисквитки.
5. Обработващи лица (подизпълнители)
- Stripe, Inc. — Stripe, Inc. — обработка на плащания (PCI DSS Level 1 сертифициран). Политика за поверителност: stripe.com/privacy
- Google LLC — Google LLC — Google Analytics 4 (анализ на трафика, само при съгласие)
- Sentry — Sentry — мониторинг на грешки (технически данни, без лични)
6. Срокове за съхранение
- Чернови и неподадени заявления: до 90 дни след последната актуализация
- Подадени заявления, фирмени данни и ЕГН: до 5 години от датата на подаване
- Подписани документи и одитни записи: най-малко 5 години според приложимите срокове за проследимост и търговска документация
- Неподписани генерирани документи: до 6 месеца след последната релевантна активност
- Данни за плащане (Stripe ID и счетоводни записи): до 10 години съгласно приложимото счетоводно и данъчно законодателство
- Акаунти без активни организации: до 12 месеца неактивност
- Сървърни логове: до 90 дни
Когато законът изисква по-дълго съхранение, искане за изтриване може да бъде ограничено за съответния период.
7. Вашите права (GDPR)
Като субект на данни имате право на:
- Достъп — да получите копие на личните си данни
- Коригиране — да поискате корекция на неточни данни
- Изтриване — да поискате изтриване на данните си ("право да бъдеш забравен")
- Ограничаване — да поискате ограничаване на обработката
- Преносимост — да получите данните си в структуриран, машинно-четим формат
- Възражение — да възразите срещу обработката на данните ви
- Оттегляне на съгласие — по всяко време за обработки, основани на съгласие (напр. аналитични бисквитки)
За упражняване на правата си, моля свържете се с нас на: privacy@firmify.bg
8. Сигурност на данните
Прилагаме следните мерки за защита:
- Криптиране на ЕГН с AES-256-GCM (отделен ключ за криптиране)
- Хеширане на пароли с bcrypt
- HTTPS за всички комуникации
- JWT в HTTP-only бисквитка (защита от XSS)
- Базата данни не е достъпна извън вътрешната Docker мрежа
9. Трансфер на данни извън ЕС
Stripe и Google могат да обработват данни в САЩ. И двете компании предоставят адекватни гаранции чрез стандартни договорни клаузи (SCC) и/или EU-US Data Privacy Framework.
10. Право на жалба
Ако считате, че обработката на личните ви данни нарушава GDPR, имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД):
- Уебсайт: www.cpdp.bg
- Адрес: бул. "Проф. Цветан Лазаров" 2, 1592 София
11. Промени в Политиката
Firmify може да актуализира настоящата Политика за поверителност. При съществени промени ще бъдете уведомени чрез имейл или чрез съобщение в Платформата. Датата на последната актуализация е посочена в началото на документа.
12. Контакт
За въпроси относно защитата на личните данни: privacy@firmify.bg
За общи въпроси: support@firmify.bg