1. Администратор на данни
Администратор е НЕКСУВОУЛТ ЕООД, гр. Пловдив, България. Имейл за въпроси относно поверителността: privacy@chernata.ai. Можете да подадете и оплакване до Комисията за защита на личните данни (КЗЛД): cpdp.bg.
2. Какви данни събираме
- Идентификационни данни: имейл, име, профилна снимка (ако е предоставена чрез OAuth).
- Данни за акаунт и обучение: предпочитан AI модел, вертикали, ниво, локализация, прогрес по уроци, запазени промпти, гласувания, серии (streak), упражнения, отговори в 28-дневното предизвикателство.
- Данни за плащане: обработват се изцяло от Stripe; ние съхраняваме само Stripe customer ID, последните 4 цифри и тип карта (получени чрез webhook).
- Данни за използване на AI: брой тригерирани заявки, използвани токени, модел, продължителност — за квоти и фактуриране на кредити.
- Технически данни: IP адрес (само за rate-limiting, изтрива се след 24 часа), user agent, log записи при грешки.
- Бисквитки: вижте отделната Политика за бисквитки.
3. Правни основания (чл. 6 GDPR)
- Договор — за предоставяне на услугата след регистрация (чл. 6(1)(б)).
- Законен интерес — за сигурност, предотвратяване на измами, основни анализи (чл. 6(1)(е)).
- Съгласие — за маркетингов имейл, аналитични и маркетингови бисквитки (чл. 6(1)(а)). Можете да оттеглите съгласие по всяко време от профила.
- Законово задължение — за счетоводни и данъчни цели (фактури се пазят 10 години).
4. На кого предаваме данните (processors)
- Stripe Payments Europe Ltd. — обработка на плащания (Ирландия, EU).
- Anthropic PBC — Claude API заявки. Trans-Atlantic Data Privacy Framework / SCC. Zero-retention API mode.
- OpenAI Ireland Ltd. — ChatGPT API заявки. EU subprocessor със SCC. API данните не се ползват за тренировка.
- Google Ireland Ltd. — Gemini API + OAuth.
- Vercel Inc. — хостинг. SCC + EU дейта регион.
- Apple Inc. — Sign in with Apple (когато бъде активиран).
- Доставчик на бази данни (PostgreSQL, EU регион).
Не продаваме лични данни на трети страни. Не извършваме автоматизирано вземане на решения с правни последици (чл. 22 GDPR).
5. Международни трансфери
Когато даден доставчик обработва данни извън ЕИП (напр. backup региони), използваме одобрените стандартни договорни клаузи (SCC) на ЕК (2021/914) и допълнителни мерки (криптиране при пренос и в покой).
6. Срокове на съхранение
- Активен акаунт — докато имате акаунт.
- След изтриване — анонимизираме незабавно; пълно изтриване след 30 дни (период за защита срещу правни претенции).
- Фактури / счетоводни записи — 10 години (чл. 38 ал. 1 ДОПК).
- Audit log за сигурност — 12 месеца.
- IP за rate-limit — 24 часа.
7. Вашите права (чл. 12-22 GDPR)
- Достъп — поискайте копие на данните си от Профил → Експорт.
- Корекция — редактирайте профила си директно.
- Изтриване — Профил → Изтриване на акаунт (изпълнява се в реално време).
- Преносимост — JSON експорт (Профил → Експорт).
- Ограничаване / възражение — пишете на
privacy@chernata.ai. - Оттегляне на съгласие — превключете маркетинг и cookie категориите от профила.
- Жалба до надзорен орган — КЗЛД (България) или съответния национален орган.
Отговаряме в рамките на 30 дни (възможно е удължаване с 60 дни при сложни случаи).
8. Сигурност
Криптиране в покой и при пренос (TLS 1.2+), bcrypt при пароли, JWT с ротация при чувствителни промени, audit log, role-based access control. Уведомяваме КЗЛД в 72 часа при инцидент с лични данни (чл. 33 GDPR).
9. Деца
Услугата не е насочена към лица под 16 години и не събираме съзнателно техни данни.
10. Длъжностно лице по защита на данните (DPO)
Контакт за всички въпроси по защита на данните: privacy@chernata.ai. На този етап не сме задължени да назначаваме DPO съгласно чл. 37 GDPR, но обработваме исканията по същия стандарт.