1. Администратор на лични данни
Администратор на лични данни е операторът на UGCBG.eu (юридически данни и ЕИК ще се актуализират след регистрация). Тази политика обяснява как и защо обработваме Вашите лични данни, в съответствие с Регламент (ЕС) 2016/679 (GDPR) и българския Закон за защита на личните данни (ЗЗЛД).
Длъжностно лице по защита на данните (DPO): dpo@ugcbg.eu
2. Какви данни събираме
| Категория | Конкретни данни |
|---|---|
| Регистрация | име, имейл, парола (хеширана с bcrypt), тип потребител, дата на регистрация |
| Профил | аватар, био, град, телефон, уебсайт, линкове към социални мрежи, ниши, рейт картон |
| KYC / Верификация | име по документ за самоличност, тип документ, селфи (за креатори с високи плащания) |
| Платежни | IBAN, име на сметка, ЕИК/ЕГН за фактуриране (за brands), Stripe Customer ID |
| Активност | кампании, кандидатури, съобщения, рейтинги, портфолио |
| Технически | IP адрес, user-agent, лог за вход, бисквитки, страници |
| Аналитични | Google Analytics (anonymized IP), page views |
3. Цели и правни основания
- Регистрация и предоставяне на услугата — основание: изпълнение на договор (чл. 6(1)(б) GDPR).
- Обработка на плащания и фактуриране — основание: изпълнение на договор + правно задължение (счетоводство, ДДС).
- KYC и противодействие на измами — основание: правно задължение + легитимен интерес.
- Маркетинг имейли (бюлетин) — основание: съгласие; можете да оттеглите по всяко време с един клик в имейла.
- Аналитика и подобряване на услугата — основание: съгласие (за non-essential cookies) или легитимен интерес.
- Сигурност / отчети за инциденти — легитимен интерес.
4. Получатели на данните (трети лица)
- Stripe Inc. (САЩ) — платежно обработване и escrow. Под Standard Contractual Clauses (SCC).
- SMTP / имейл провайдер (ЕС) — изпращане на транзакционни и маркетинг имейли.
- Хостинг (Hetzner Online GmbH) — Германия, ЕС.
- Google Analytics (САЩ) — анонимизирана аналитика, само след cookie consent. SCC.
- Юристи, счетоводители, одитори — при необходимост, под NDA.
- Държавни органи — при изрично законово изискване (НАП, КЗЛД, съд, прокуратура).
5. Международни трансфери
Stripe и Google Analytics обработват данни в САЩ. Прилагаме Стандартни договорни клаузи (SCC) на ЕК и Data Privacy Framework (DPF), където е приложимо. Информация можете да поискате на dpo@ugcbg.eu.
6. Срокове на съхранение
- Активен акаунт: докато съществува акаунтът.
- Изтрит акаунт: данни на профил — до 30 дни след заявка за изтриване (за резервно възстановяване).
- Счетоводни документи (фактури, плащания): 10 години (НАП изискване).
- Логове за вход и неуспешни опити: 90 дни.
- Чат / съобщения: 5 години след последно съобщение (за решаване на спорове).
- Маркетинг имейли: до оттегляне на съгласието.
- Бисквитки за съгласие: 12 месеца.
7. Вашите права
Имате право да:
- Получите достъп до данните, които съхраняваме за Вас (чл. 15).
- Поискате коригиране на неточни данни (чл. 16).
- Поискате изтриване („право да бъдете забравени") в случаите по чл. 17.
- Поискате ограничаване на обработката (чл. 18).
- Поискате преносимост на данните в машинно четим формат (чл. 20).
- Възразите срещу обработка на основание легитимен интерес или директен маркетинг (чл. 21).
- Оттеглите даденото съгласие по всяко време (без обратно действие).
- Подадете жалба до Комисията за защита на личните данни (КЗЛД), www.cpdp.bg.
Заявки изпращайте на dpo@ugcbg.eu. Отговаряме в едномесечен срок.
8. Сигурност
Прилагаме технически и организационни мерки: HTTPS/TLS, bcrypt хеширане на пароли, CSRF защита, rate limiting, изолиран KYC storage, периодични backups, журналиране на достъп.
9. Бисквитки
10. Промени в политиката
Можем да актуализираме настоящата политика. Съществени промени се обявяват по имейл с 30-дневно предизвестие.
11. Контакт
DPO: dpo@ugcbg.eu
Надзорен орган: Комисия за защита на личните данни — гр. София, бул. „Цветан Лазаров" № 2.