Политика за поверителност.

Администратор на личните данни, събирани чрез stefanpopovkredit.com, е:

Не сме задължени да назначим Длъжностно лице по защита на данните (DPO) по смисъла на чл. 37 от GDPR. За всички въпроси по тази политика се обръщай към горепосочения email — ще ти отговорим в законоустановените срокове (по правило до 30 дни).

Тази политика описва как обработваме лични данни, които събираме чрез сайта, включително:

• данни, които ни предоставяш доброволно през теста или контактна форма;
• данни, които автоматично се събират при посещение на сайта (бисквитки, IP, технически параметри);
• данни, които споделяме с трети страни (хостинг, имейл, аналитика, рекламни платформи).

Политиката не покрива външни сайтове, към които сочат връзки от наше съдържание. Те имат собствени политики, които те съветваме да прочетеш.

3.1. Данни, които ни предоставяш

Когато попълваш теста или заявяваш консултация:

• име (или начин по който искаш да те наричаме);
• телефонен номер;
• email адрес;
• отговори на въпросите от теста (брой кредити, диапазон на месечните вноски, тип ситуация и др.) — без чувствителни финансови документи.

3.2. Данни, които се събират автоматично

• IP адрес и приблизително географско местоположение (страна/град);
• тип устройство, браузър, операционна система, език (User Agent);
• дата и час на посещение, страници, време на престой;
• referrer URL — откъде си дошъл;
• идентификатори от рекламни платформи (Meta `fbp`, `fbc`, Google Ads `gclid`) — ако си кликнал на наша реклама;
• технически логове за грешки и сигурност.

3.3. Данни, които НЕ събираме

• банкови сметки, IBAN, номера на карти;
• кредитни истории, ЦКР отчети или други регулирани финансови данни;
• ЕГН, лични документи, копия на договори;
• специални категории данни по чл. 9 от GDPR (здраве, политически възгледи, религия, етнически произход и др.).

Обработваме данните ти само за конкретни, законни цели и винаги на валидно правно основание по чл. 6 от GDPR:

4.1. Връзка по заявена консултация

Цел: да се свържем с теб във връзка с попълнен от теб тест или заявка за безплатна консултация.
Основание: чл. 6, ал. 1, б. „б" GDPR — изпълнение на действия преди сключване на договор по твое искане.

4.2. Вътрешно управление на запитванията

Цел: съхранение на постъпили заявки в нашата база данни, известяване на екипа ни в реално време чрез Telegram, изпращане на потвърдителен email чрез Resend.
Основание: чл. 6, ал. 1, б. „е" GDPR — наш легитимен интерес да организираме работата си.

4.3. Маркетингова аналитика и реклама

Цел: измерване на ефективността на рекламите ни, оптимизация на сайта, ретаргетинг на посетители.
Основание: чл. 6, ал. 1, б. „е" GDPR — наш легитимен интерес. Имаш право по всяко време да възразиш срещу това обработване (вж. раздел 11) или да блокираш бисквитките през настройките на браузъра си.

4.4. Спазване на закона

Цел: съхранение на минимални данни за изпълнение на наши законови задължения (счетоводство, защита от измами, отговор на органи).
Основание: чл. 6, ал. 1, б. „в" GDPR — спазване на правно задължение.

Сайтът използва следните видове бисквитки и подобни технологии:

Необходими (essential)

За работата на сайта (например защита от CSRF, сесия в админ панела). Без тях сайтът няма да функционира правилно. Не изискват съгласие.

Аналитични

Google Analytics 4 (`_ga`, `_ga_*`) — анонимизирани метрики за това как посетителите използват сайта.

Рекламни

Meta Pixel (`_fbp`, `_fbc`) — измерване на реклами, оптимизация и ретаргетинг. Meta Conversions API — server-side събития, дублиращи браузърния Pixel за по-точно отчитане.

Meta Pixel + Conversions API

Използваме Meta Pixel (ID: 1369334654980369) и Conversions API за измерване на ефективността на нашите Meta (Facebook, Instagram) рекламни кампании. За CAPI изпращаме хеширани (SHA-256) версии на твоя email и телефон към Meta, заедно с IP адрес, User Agent и кликови идентификатори, ако са налични. Хеширането е необратимо — Meta използва хешовете само за съпоставка с собствените си потребители.

Google Analytics 4

Използваме GA4 (ако е активиран) за разбиране на трафика и поведението на сайта. IP адресите се анонимизират от Google.

Опции за контрол

• Meta — настройки на рекламите ти: facebook.com/adpreferences
• Google — отказ от GA: tools.google.com/dlpage/gaoptout
• браузърни настройки — изтриване и блокиране на бисквитки;
• браузърни разширения за блокиране на tracking (uBlock Origin, Privacy Badger и др.).

Не продаваме данните ти. Споделяме ги само със следните внимателно подбрани обработващи („sub-processors"), всеки от които е под договор за защита на данните („DPA") с нас:

• Vercel Inc. (САЩ) — хостинг на сайта и edge функции. Сертифициран по EU-US Data Privacy Framework.
• Turso (ChiselStrike Inc.) (САЩ / EU региони) — база данни (libSQL).
• Resend Inc. (САЩ) — транзакционни email съобщения.
• Telegram Messenger Inc. (Великобритания / международно) — известия до нашия екип за нови запитвания. Telegram действа само като канал за съобщения; пълните ти данни се пазят в нашата база, не в Telegram.
• Meta Platforms Ireland Ltd (ЕС, Ирландия) — Pixel и Conversions API за реклама и аналитика.
• Google Ireland Ltd (ЕС, Ирландия) — Google Analytics 4 (ако е активиран).

Можем да предоставим данни на компетентни органи (полиция, прокуратура, съд, КЗЛД, НАП), когато това е изискано със закон или решение на компетентен орган.

Някои наши обработващи се намират извън ЕИП (предимно САЩ). За тези трансфери се прилагат подходящи защитни механизми по чл. 46 от GDPR:

• EU-US Data Privacy Framework сертификация (където е приложимо, напр. Vercel, Google);
• стандартни договорни клаузи на Европейската комисия (Standard Contractual Clauses);
• допълнителни технически и организационни мерки (хеширане, минимизация, ограничен достъп).

Можеш да поискаш копие от приложимите защитни механизми, като ни пишеш на smartfinbg@gmail.com.

Пазим данни не по-дълго от необходимото за съответната цел:

• данни от теста и контактни данни — до 24 месеца от последния контакт с теб, освен ако не сме уредили писмено по-дълго съхранение;
• технически логове и данни за сигурност — до 12 месеца;
• аналитични данни (агрегирани) — до 26 месеца (стандартен retention на GA4);
• рекламни идентификатори и атрибуция — до 13 месеца (стандартен retention на Meta);
• счетоводни и данъчни данни — за срока, изискван от приложимото законодателство (по правило до 10 години).

След изтичане на срока данните се изтриват сигурно или се анонимизират (необратимо).

Прилагаме разумни технически и организационни мерки, за да защитим данните ти от неоторизиран достъп, загуба или промяна:

• TLS/HTTPS криптиране за целия трафик към сайта;
• JWT-подписани сесийни бисквитки в админ панела + хеширани (bcrypt) пароли;
• минимизация — не събираме това, което не ни трябва;
• хеширане (SHA-256) на email/телефон при изпращане към Meta CAPI;
• ограничен достъп — само Стефан и упълномощени членове на екипа имат достъп до базата;
• периодичен преглед на достъпите и одит на сигурността.

Никоя система не е 100% сигурна. В случай на инцидент, който може да доведе до висок риск за твоите права и свободи, ще те уведомим в съответствие с чл. 34 от GDPR.

Имаш следните права по отношение на твоите лични данни:

1. 1Право на достъп (чл. 15) — да научиш какви данни обработваме за теб.
2. 2Право на коригиране (чл. 16) — да поправим неточни данни.
3. 3Право на изтриване („право да бъдеш забравен", чл. 17) — да изтрием данните ти, освен ако нямаме законово основание да ги пазим.
4. 4Право на ограничаване (чл. 18) — да спрем обработването, запазвайки данните.
5. 5Право на преносимост (чл. 20) — да получиш данните си в машинно четим формат.
6. 6Право на възражение (чл. 21) — особено срещу обработване на база легитимен интерес и срещу директен маркетинг.
7. 7Право да оттеглиш съгласие — където обработваме на база съгласие, можеш да го оттеглиш по всяко време; това не засяга законосъобразността на обработването преди оттеглянето.
8. 8Право на жалба до КЗЛД (вж. раздел 12).

За да упражниш което и да е от тези права, пиши ни на smartfinbg@gmail.com. Ще отговорим без неоснователно забавяне и във всеки случай в рамките на един месец (с възможност за удължаване с до два месеца при сложни случаи). Услугата е безплатна, освен в очевидно неоснователни или прекомерни случаи.

Ако смяташ, че твоите права са нарушени, имаш право да подадеш жалба до:

Преди да подадеш жалба, ще ни направиш услуга, ако първо ни пишеш — често въпросът се решава бързо и без формалности.

Услугата не е предназначена за лица под 18 години. Не събираме съзнателно лични данни на деца. Ако установим, че сме получили данни на дете, ще ги изтрием незабавно. Ако си родител или настойник и подозираш, че твоето дете ни е предоставило данни, моля свържи се с нас на smartfinbg@gmail.com.

Не извършваме автоматизирано вземане на решения, включително профилиране, които да пораждат правни последици за теб или да те засягат по подобен значим начин по смисъла на чл. 22 от GDPR. Резултатът на теста е индикативна препоръка, а не решение — окончателната оценка винаги се прави от човек по време на консултацията.

Можем да актуализираме тази политика периодично — например при добавяне на нов обработващ или промяна в законодателството. При съществени промени ще обозначим новата версия и ще обновим датата „Последно обновено" най-горе. При особено съществени промени можем да те уведомим и по email, ако имаме твой адрес.

За всякакви въпроси, свързани с лични данни, упражняване на права или жалби, се свържи с нас на smartfinbg@gmail.com. Отговаряме в рамките на 30 дни, обикновено по-бързо.

Прочети също нашите Общи условия за ползване.