Политика за поверителност

В сила от 15 май 2026

Тази Политика обяснява как обработваме личните данни на посетителите и клиентите на socialbrunch.bg в съответствие с Регламент (ЕС) 2016/679 („GDPR“) и Закона за защита на личните данни.

1. Администратор на лични данни

Администратор на лични данни по смисъла на чл. 4, т. 7 от GDPR е „Космос Баш Гурме“, гр. София — организатор на събитията „Cosmos Social Brunch“. За връзка по въпроси, свързани с лични данни: bashcosmos@gmail.com.

2. Какви данни събираме

  • При резервация: име, имейл адрес, телефон, брой места, дата на събитието, незадължително съобщение (напр. алергии).
  • При плащане: Stripe ни предоставя метаданни за транзакцията (идентификатор на плащането, последни 4 цифри на картата, държава на издаване, статус). Не съхраняваме пълния номер на картата, CVV или PIN.
  • При посещение на сайта: анонимна статистика за посещения (без идентификация на конкретен потребител) — виж Политика за бисквитки.

3. Цели и правни основания

  • Изпълнение на договор (чл. 6, §1, б. „б“ GDPR): обработваме името, имейла и телефона ви, за да потвърдим резервацията, да ви изпратим практическа информация преди събитието и да ви идентифицираме на място.
  • Законово задължение (чл. 6, §1, б. „в“ GDPR): съхраняваме данни, свързани с плащания, за счетоводни и данъчни цели съгласно българското законодателство.
  • Легитимен интерес (чл. 6, §1, б. „е“ GDPR): сигурност на сайта, предотвратяване на измами, базова анонимна статистика.
  • Съгласие (чл. 6, §1, б. „а“ GDPR): ако се запишете в имейл лист за следващи събития — само ако изрично се съгласите. Можете да оттеглите съгласието си по всяко време.

4. Срок на съхранение

  • Данни от резервация и плащане — 5 години (счетоводен срок съгласно ЗСч).
  • Имейл за маркетингов лист — до оттегляне на съгласието.
  • Лог файлове за сигурност — до 90 дни.

5. Получатели на данни

Личните ви данни се обработват от следните доставчици на услуги (т.нар. „обработващи“ по смисъла на GDPR), всеки от които осигурява адекватно ниво на защита:

  • Supabase — база данни и автентикация (сървъри в ЕС, Ирландия).
  • Stripe Payments Europe Ltd. — обработка на плащания (Ирландия).
  • Vercel Inc. — хостинг на сайта (с активирани EU регионални функции).
  • Resend Inc. — изпращане на транзакционни имейли (потвърждения).

Не продаваме лични данни на трети страни и не ги предоставяме за рекламни цели на външни субекти.

6. Трансфер извън ЕС

Когато обработващи лица съхраняват данни в страни извън ЕС/ЕИЗ (като САЩ), това се извършва на основание стандартни договорни клаузи, одобрени от Европейската комисия, или съгласно EU-US Data Privacy Framework.

7. Вашите права

В качеството на субект на данни имате право да:

  • получите достъп до данните си (чл. 15 GDPR);
  • поискате корекция на неточни данни (чл. 16);
  • поискате изтриване („право да бъдеш забравен“, чл. 17);
  • поискате ограничаване на обработването (чл. 18);
  • получите данните си в преносим формат (чл. 20);
  • възразите срещу обработване на основание легитимен интерес (чл. 21);
  • оттеглите даденото съгласие по всяко време, без това да засяга законосъобразността на предходното обработване.

Заявление за упражняване на права изпратете на bashcosmos@gmail.com. Ще отговорим в срок до 30 дни.

8. Право на жалба

Имате право да подадете жалба до Комисията за защита на личните данни — гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2, www.cpdp.bg, kzld@cpdp.bg.

9. Промени в политиката

Тази политика може да бъде актуализирана. Действащата версия е винаги достъпна на тази страница, с обозначена дата на влизане в сила.