Market Info Към началната страница
Поверителност

Политика за поверителност

Тази политика описва как Market Info обработва лични данни при използване на сайта и мобилното приложение. Документът е изготвен в съответствие с Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни на Република България.

Последна актуализация: 12 май 2026 г. · Версия 2.0

1. Администратор на лични данни

Администратор по смисъла на чл. 4(7) GDPR и чл. 3 ЗЗЛД е индивидуален разработчик (физическо лице), който оперира Услугата „Market Info“:

  • Име: Христо Иванов
  • Имейл за контакт: [email protected]
  • Юрисдикция: Република България

Длъжностно лице по защита на данните (DPO): Не е назначено. Услугата е малък по обем оператор и не подлежи на задължително назначаване по чл. 37 GDPR. За всички въпроси, свързани с лични данни, използвай имейла по-горе — отговорите се изпращат в рамките на 30 дни съгласно чл. 12(3) GDPR.

Българското законодателство (чл. 3 ЗЗЛД) изрично допуска физическо лице да бъде администратор на лични данни без регистрация на търговско дружество. Имейлът е функционален канал за контакт по смисъла на чл. 13(1)(а) GDPR.

2. Категории лични данни, които обработваме

В зависимост от начина на използване на Услугата може да обработваме следните категории данни:

2.1. Данни на профил (при регистрация)

  • Имейл адрес (използва се за вход и възстановяване на парола).
  • Парола — съхранява се само като криптографски хеш и никога в четим вид.
  • Уникален вътрешен идентификатор на профила, генериран при регистрация.

2.2. Потребителско съдържание

  • Списъци за пазаруване, които си създал/а — име, добавени продукти, количество, времеви маркери.
  • Запитвания към търсачката — обработват се в реално време за връщане на резултати и не се свързват с твоя профил извън краткосрочни регистри за стабилност и сигурност (виж раздел 6).

2.3. Технически данни и сигурност

  • Вътрешен идентификатор на устройство, генериран при инсталация и използван за връзка между устройство и профил.
  • Криптографски токени и подписи, които потвърждават, че заявката идва от легитимна инсталация на приложението и не е компрометирана. Подробности в раздел 9.
  • Технически метаданни — модел на устройство, операционна система и нейната версия, версия на приложението, език, приблизителна държава.
  • IP адрес — обработван временно за предотвратяване на злоупотреби и ограничаване на брой заявки. Не се съхранява в access регистри по-дълго от 30 дни.

2.4. Диагностични данни

  • Информация за технически грешки и сривове на приложението — модел на устройство, версия на ОС, време на инцидента и техническа диагностика.
  • Не съдържат имейл, парола, съдържание на списъци или други идентифициращи данни.

2.5. Данни от трети страни (некласифицирани като лични)

  • Цени, промоции и брошури от публични източници на търговските вериги (Lidl, Kaufland, Billa, Metro, T-Market, Фантастико и други). Тези данни се отнасят за продукти, а не за лица, и не са лични данни по смисъла на GDPR.

3. Цели и правни основания за обработването

Личните ти данни се обработват само за конкретни, изрично посочени цели. Всяко обработване е базирано на едно от следните правни основания по чл. 6(1) GDPR:

  • Изпълнение на договор (чл. 6(1)(б)) — за създаване и поддръжка на профил, синхронизация на списъци за пазаруване и предоставяне на функционалностите на Услугата.
  • Легитимен интерес (чл. 6(1)(е)) — за сигурност и стабилност на Услугата, предотвратяване на злоупотреби, диагностика на технически грешки, комуникация по запитвания и подобряване на качеството.
  • Законово задължение (чл. 6(1)(в)) — за отговор на искания на компетентни органи, когато законът ни задължава.

На този етап не обработваме данни на основание съгласие (чл. 6(1)(a)). Ако в бъдеще въведем функционалности, които изискват съгласие (push известия, маркетингови съобщения), ще поискаме изричното ти съгласие преди активирането им и ще можеш да го оттеглиш по всяко време.

3.1. Задължителен и доброволен характер на данните

В съответствие с чл. 13(2)(е) GDPR ти посочваме изрично кои данни са необходими и какви са последиците от непредоставянето им:

  • Имейл и парола — задължителни на договорно основание. Без тях не можем да създадем профил и не можеш да използваш приложението.
  • Идентификатор и верификация на устройство — задължителни на основание легитимен интерес (сигурност). Без тях не можем да защитим Услугата от злоупотреби и не можем да издадем токен за достъп.
  • Списъци за пазаруване и тяхното съдържание — създават се изцяло по твое желание. Можеш да използваш Услугата и без да създаваш списъци.
  • Диагностични данни за сривове — обработват се на основание легитимен интерес. Тяхното събиране е автоматично, но не съдържат идентифицираща информация и не влияят на функционалността.

Към момента не предоставяш данни поради законово задължение — нашата обработка не зависи от законов императив за теб като потребител.

4. Получатели и обработващи лица

За да предоставяме Услугата, споделяме ограничени категории данни с надеждни доставчици, които действат като обработващи лица по чл. 28 GDPR. Всички са обвързани с договори за защита на данните (DPA) и подходящи технически и организационни мерки.

По категории това включва:

  • Доставчик на удостоверяване и съхранение на профили и списъци — обработва имейла, хеша на паролата и съдържанието на списъците.
  • Доставчик на облачна инфраструктура за хостинг на API-то — обработва заявките, идентификатора на устройството и техническите метаданни. Сървърите се намират в Европейския съюз.
  • Доставчик на диагностични услуги за сривове — обработва анонимни stack trace-ове и техническа информация за инцидента, без идентификатори на профил.
  • Доставчик на CDN и защита срещу мрежови атаки — обработва IP и метаданни на заявката за нуждите на rate-limiting и DDoS защита на ниво edge.
  • Услуги на платформените оператори (Apple, Google) за верификация на устройство — обработват анонимни криптографски токени и цифровия отпечатък на приложението.

Тези обработващи лица нямат право да използват получените данни за собствени цели и са длъжни да ги защитават с поне същия стандарт като нашия. Не продаваме и никога няма да продаваме лични данни на трети страни. Не споделяме данни за рекламни цели.

5. Международни трансфери на данни

Част от обработващите лица са дружества със седалище извън Европейския съюз, включително в Съединените американски щати. За САЩ Европейската комисия е приела Решение за адекватност от 10 юли 2023 г. (EU–US Data Privacy Framework), което позволява трансфер при определени условия.

За всички трансфери извън ЕС/ЕИП прилагаме поне една от следните защитни мерки:

  • Сертифициране на доставчика по EU–US Data Privacy Framework.
  • Стандартни договорни клаузи (SCC, 2021 модули), одобрени от Европейската комисия.
  • Допълнителни технически мерки — криптиране при пренос и в покой, контрол на достъп, аудит регистри.

Проведохме оценка на въздействието при трансфер (TIA / Transfer Impact Assessment) след решението Schrems II и сме оценили съответните рискове като приемливи в комбинация с приложените мерки.

Можеш да поискаш копие от приложимите SCC, като ни пишеш на [email protected].

6. Срокове за съхранение

Съхраняваме лични данни само толкова, колкото е необходимо за описаните в раздел 3 цели:

  • Данни на профил (имейл, хеш на парола, вътрешен идентификатор) — до изтриване на профила от потребителя или 24 месеца неактивност, след което се изтриват автоматично.
  • Списъци за пазаруване и тяхното съдържание — до изтриване на списъка или на профила от потребителя.
  • Регистрация на устройство и свързани с нея ключове — до дерегистрация на устройството или 6 месеца от последна активност.
  • IP адреси в access регистри — максимум 30 дни.
  • Регистър за чувствителни събития (вход, смяна на парола и подобни) — до 12 месеца за нуждите на разследване на инциденти.
  • Диагностични данни за сривове — до 90 дни.
  • Регистър на изпратени известия (когато се въведат) — 30 дни.

След изтичане на сроковете данните се изтриват или анонимизират необратимо. Резервните копия се пазят за допълнителни 30 дни и също се изтриват автоматично.

7. Твоите права по GDPR

Като субект на данни имаш следните права съгласно чл. 15–22 от GDPR:

  • Право на достъп (чл. 15) — да получиш копие от данните, които съхраняваме за теб.
  • Право на коригиране (чл. 16) — да поискаш поправка на неточни данни.
  • Право на изтриване / „право да бъдеш забравен“ (чл. 17) — да поискаш изтриване на данните си.
  • Право на ограничаване на обработването (чл. 18) — при определени основания.
  • Право на преносимост (чл. 20) — да получиш данните си в структуриран, машинно четим формат и да ги прехвърлиш на друг администратор.
  • Право на възражение (чл. 21) — срещу обработване на основание легитимен интерес.
  • Право на оттегляне на съгласие (чл. 7(3)) — когато обработването е на основание съгласие.
  • Право да не бъдеш обект на автоматизирано вземане на решения с правни последици (чл. 22) — виж раздел 8.

За упражняване на правата си: пиши на [email protected] или използвай функцията „Изтрий профил“ от настройките на приложението. Ще отговорим в срок до 30 дни; този срок може да бъде удължен с още 2 месеца при сложни случаи (с уведомление).

Имаш право да подадеш жалба до надзорния орган: Комисия за защита на личните данни (КЗЛД), гр. София 1592, бул. „Цветан Лазаров“ № 2, тел. +359 2 91 53 518, cpdp.bg, имейл: [email protected].

8. Автоматизирано вземане на решения и профилиране

Market Info не извършва автоматизирано вземане на решения с правни последици или сходно значителни последици за теб (чл. 22 GDPR). Атестацията на устройство и rate limiting (раздел 9) са технически защитни мерки, не индивидуални решения по смисъла на чл. 22.

9. Верификация на устройство

За защита срещу злоупотреби, автоматизирани атаки и модифицирани копия на приложението използваме механизми за верификация на устройството, предоставени от платформените оператори. Тези механизми изпращат към сървъра ни анонимни криптографски токени, които потвърждават, че:

  • Приложението е автентично и не е модифицирано.
  • Устройството не е очевидно компрометирано.
  • Заявката идва от истинско приложение, а не от автоматизиран скрипт.

Допълнително всяка чувствителна заявка се подписва с криптографски ключ, който се генерира и съхранява в защитена зона на устройството. Ключът никога не напуска устройството; на сървъра пристига само подписът и съответната публична част за валидация.

Тези данни нямат пряка идентифицираща стойност и не са свързани с реалното ти име, адрес или физическа самоличност, но са обвързани с конкретно устройство и инсталация на приложението. Обработват се на основание легитимен интерес (сигурност). Не можеш да се откажеш от тази обработка, докато използваш приложението — без нея услугата би била сериозно компрометирана.

10. Сигурност на данните

Прилагаме индустриални технически и организационни мерки, които включват:

  • Криптиране на комуникациите между приложение и сървър.
  • Криптиране на данните в покой при доставчика ни за съхранение.
  • Хардуерно обвързани криптографски ключове за подпис на заявки.
  • Изолация на потребителските данни на ниво база данни — потребител няма достъп до чужди записи дори при компрометиране на горните слоеве.
  • Защита срещу повторни заявки и автоматизирани атаки.
  • Периодични прегледи на сигурността и регистри за чувствителни събития.

11. Възраст и деца

Market Info е приложение за информация за промоции, брошури и цени от хранителни магазини. Съдържанието е общодостъпно и подходящо за всички възрасти — децата също могат да използват Услугата.

За използване на Услугата (включително разглеждане на промоции, брошури, цени и създаване на списъци за пазаруване) се изисква регистрация на профил с имейл и парола. Препоръчителната минимална възраст за самостоятелна регистрация е 14 години, съгласно чл. 25(2) от Закона за защита на личните данни на Република България. За деца под 14 години се препоръчва предварително съгласие и подкрепа от родител или настойник.

Регистрацията в Market Info се основава на чл. 6(1)(б) GDPR (изпълнение на договор), а не на съгласие, и не води до автоматизирано вземане на решения с правни последици. Не събираме повече данни от необходимото за функционирането на профила и списъците.

Ако смяташ, че профил е създаден от лице под 14 години без необходимото съгласие, или искаш да упражниш правата си от името на дете, свържи се с нас на [email protected].

12. Изтриване на профил

Можеш да изтриеш профила си по всяко време и без задължение да посочваш причина по един от следните два начина:

  1. Директно в приложението — отиди в Профил → Изтрий профил. Изтриването е незабавно при потвърждение.
  2. По имейл — изпрати съобщение до [email protected] от регистрирания си имейл. Ще обработим заявката в рамките на 7 работни дни.

При изтриване премахваме окончателно:

  • Профилни данни (имейл, хеш на парола, вътрешен идентификатор).
  • Списъци за пазаруване и тяхното съдържание.
  • Регистрацията на устройства, свързани с профила.
  • Регистри за чувствителни събития, които не са законово задължителни.

Изтриването е окончателно и не може да бъде отменено. Анонимизирани агрегирани данни (например брой регистрации в даден месец) могат да бъдат запазени за статистически и аналитични цели — те не са лични данни.

13. Бисквитки, тракинг и реклама

Този уебсайт не използва бисквитки за проследяване, анализ или реклама. Използват се само строго необходими технически бисквитки за сигурност и защита срещу автоматизирани атаки.

Мобилното приложение Market Info не използва тракинг идентификатори (IDFA на Apple, Advertising ID на Google), fingerprinting или подобни технологии. Поради това приложението не показва диалог за съгласие за проследяване (App Tracking Transparency / ATT на iOS) — нямаме какво да поискаме.

Не показваме реклами, не препродаваме данни на рекламни мрежи и не споделяме информация с трети страни за маркетингови цели.

14. Промени в политиката

Можем да актуализираме тази политика при промени в Услугата, нашата инфраструктура или нормативната уредба. При съществени промени ще ти уведомим на регистрирания имейл и/или чрез in-app съобщение поне 30 дни преди влизането им в сила.

15. Контакти

Имейл: [email protected]

За жалби до надзорен орган: Комисия за защита на личните данни — cpdp.bg · [email protected]