Политика за поверителност

1. Кой обработва Вашите данни

Администратор на личните Ви данни е WeTalkSmart (оператор на платформа PhonePay). Обработката се извършва в съответствие с Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни (ЗЗЛД).

2. Какви данни обработваме

Идентификационни данни

• Трите имена (за физически лица) или наименование (за фирми)
• ЕГН / ЕИК
• Лична карта № — само ако сами я предоставите
• Адрес
• Имена на представляващите (МОЛ) за юридически лица

Контактни данни

• Телефонен номер (за връзка)
• Имейл адрес
• Телефонни номера в групата за фактуриране

Финансови данни

• Месечни сметки за телефонни услуги
• История на плащанията (сума, дата, метод, оператор)
• Номера на фискални бонове

Технически данни

• IP адрес и user-agent (при достъп до системата)
• Логове на действия (audit log) — кой кога е променил какво

3. Защо ги обработваме (правни основания)

• Изпълнение на договор (чл. 6, ал. 1, б. „б" GDPR) — за предоставяне на услугата по разпределение и инкасиране на телефонни сметки.
• Законови задължения (чл. 6, ал. 1, б. „в" GDPR) — счетоводно отчитане, фискално регистриране в НАП, ДДС деклариране.
• Легитимен интерес (чл. 6, ал. 1, б. „е" GDPR) — поддръжка на audit log, защита от измами, сигурност на системата.

4. Колко време пазим данните

• Счетоводни документи (фактури, фискални бонове, разписки): 10 години — съгласно чл. 12, ал. 1, т. 1 от Закона за счетоводството.
• Договори: 10 години от прекратяване.
• Контактни данни на физически лица: 1 година след прекратяване на договора, ако не са обвързани с финансови документи.
• Audit логове: 3 години.

5. С кого споделяме данните

Не продаваме и не отдаваме под наем личните Ви данни. Споделяме само с:

• НАП — автоматично, чрез фискалния касов апарат при всяко плащане (по ЗДДС).
• Доставчици на платежни услуги (myPOS, ePay) — само данните, необходими за обработка на онлайн плащане.
• Хостинг доставчик (Hostinger) — където се намират сървърите ни, в рамките на ЕС (Frankfurt).
• Държавни и съдебни органи — само при законово задължение или съдебно разпореждане.

6. Вашите права като субект на данни

Като субект на данни имате следните права:

1. Право на достъп (чл. 15 GDPR) — да получите потвърждение дали обработваме Ваши данни и копие от тях.
2. Право на корекция (чл. 16 GDPR) — да поискате поправка на неточни данни.
3. Право на изтриване (чл. 17 GDPR, „право да бъдеш забравен") — освен ако имаме законово задължение да ги пазим.
4. Право на ограничаване (чл. 18 GDPR) — да поискате временно спиране на обработката.
5. Право на преносимост (чл. 20 GDPR) — да получите данните си в структуриран формат (JSON/CSV).
6. Право на възражение (чл. 21 GDPR) — срещу обработка на основание легитимен интерес.
7. Право на жалба — до Комисия за защита на личните данни (КЗЛД).

За упражняване на което и да е от тези права, изпратете писмено искане на нашите контакти по-долу. Отговаряме в срок до 30 дни.

7. Сигурност на данните

• Всички връзки са защитени с TLS/HTTPS (Let's Encrypt сертификат).
• Паролите се съхраняват хеширани (bcrypt), никога в открит вид.
• Двуфакторна автентикация (2FA) за административен достъп.
• Достъпът до DB сървъра е ограничен до VPN/SSH с ключове.
• Дневни автоматични backup-и с 30 дни retention.
• Audit log на всички операции по данните.
• Сървърите ни се намират в ЕС (Германия, Frankfurt).

8. Контакт с нас