ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Версия 2.0 | В сила от: 11.05.2026 г.

Администратор на лични данни

Дружеството, което обработва Вашите лични данни в качеството си на администратор по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 (GDPR), е:

Настоящата политика следва да се чете заедно с Политиката за бисквитки и Общите условия на сайта.

Компетентен надзорен орган

Надзорен орган по защита на личните данни в Република България:

• Комисия за защита на личните данни (КЗЛД)
• Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2
• Телефон: 02 915 3518
• Имейл: kzld@cpdp.bg
• Уебсайт: www.cpdp.bg

1. Какви лични данни събираме

1.1 При регистрация на профил

• Име и фамилия
• Електронна поща
• Парола (съхранява се криптирано/хеширано)
• Опционално: пол, телефон

1.2 При поръчка и доставка

• Имена, телефон, имейл
• Адрес за доставка (държава, град, пощенски код, улица)
• Адрес за фактуриране и данни за фактура (имена/фирма, ЕИК/ЕГН при изискване по ЗДДС)
• Информация за поръчката (артикули, сума, дата, използвано платежно средство)

1.3 При посещение на сайта (автоматично)

• IP адрес, дата и време на достъп, продължителност на сесията
• Тип и версия на браузъра, операционна система
• Реферираща страница (URL), посетени страници в сайта
• Приблизително геолокационно местоположение (на ниво държава/град на база IP)

1.4 При комуникация с нас

• Съдържание на запитванията през контактна форма, имейл, телефон или чат
• Записи и логове от чата (OnWebChat)

1.5 При записване за бюлетин

• Електронна поща
• Опционално: име
• Метаданни за изпратени съобщения (отворени/кликнати, при ваше съгласие)

2. Цели и правни основания за обработването

Обработваме Вашите лични данни на основанията по чл. 6, ал. 1 GDPR, както следва:

Когато се позоваваме на легитимен интерес, извършваме тест за пропорционалност (LIA) и можем да предоставим обобщена информация при поискване.

3. Срокове за съхранение

• Потребителски профил: докато съществува профилът + до 6 месеца след заявка за изтриване (за защита от злоупотреби и възстановяване при грешка).
• Данни от поръчки и договори: до 5 години от приключване на договорното отношение (общата 5-годишна давност по чл. 110 ЗЗД).
• Счетоводни и данъчни документи: 10 години (чл. 12 от Закона за счетоводството).
• Фактури и платежни документи: 10 години (чл. 38, ал. 1 ДОПК).
• Лог файлове и информационна сигурност: до 12 месеца, освен ако е необходим по-дълъг срок за разследване на инцидент.
• Записи от чат и кореспонденция: до 24 месеца от приключване на комуникацията.
• Съгласия за бюлетин: до оттегляне на съгласието + 3 години (за доказване на основанието).
• Бисквитки: съгласно сроковете, посочени в Политиката за бисквитки.

След изтичане на срока данните се изтриват или анонимизират по необратим начин.

4. Получатели на лични данни

Можем да предоставяме лични данни на следните категории получатели, при наличие на договор за обработка по чл. 28 GDPR или съответно правно основание:

• Куриерски фирми – за доставка (например Еконт, Спиди, Български пощи – според избора Ви);
• Платежни оператори – за обработка на онлайн плащания;
• Счетоводна къща – за изпълнение на счетоводни и данъчни задължения;
• Доставчици на ИТ услуги – хостинг, имейл, чат, CRM, ERP;
• Маркетингови платформи – Google, Meta (само за бисквитки, при дадено съгласие);
• Адвокати, юрисконсулти, частни съдебни изпълнители – само при спор и при необходимост;
• Държавни органи – НАП, КЗЛД, МВР, съд – само при законово задължение.

5. Международен трансфер на данни

Като правило обработваме данните Ви в рамките на Европейското икономическо пространство (ЕИП). В определени случаи – когато използваме услуги на доставчици със седалище извън ЕИП (напр. Google LLC, Meta Platforms Inc. в САЩ за рекламни/аналитични бисквитки) – е възможно прехвърляне на данни към трети държави.

За тези трансфери прилагаме една или повече от следните гаранции по глава V GDPR:

• EU-U.S. Data Privacy Framework – Решение за изпълнение (ЕС) 2023/1795 на Европейската комисия от 10.07.2023 г.;
• Стандартни договорни клаузи (SCC) – Решение за изпълнение (ЕС) 2021/914;
• Допълнителни технически и организационни мерки на база Transfer Impact Assessment.

Копие от приложимите гаранции може да поискате на office@timebox.bg.

6. Сигурност на данните

В съответствие с чл. 32 GDPR прилагаме подходящи технически и организационни мерки за защита на личните данни, в т.ч.:

• SSL/TLS криптиране на трафика;
• Криптирано (хеширано) съхранение на пароли;
• Контрол на достъпа на принципа „минимум необходими права“;
• Резервни копия и възстановяване след инцидент;
• Обучение и поверителност на служителите и партньорите;
• Регулярно обновяване на софтуера и тестове за уязвимости.

Уведомление при нарушение на сигурността

При нарушение на сигурността на личните данни, което може да породи риск за правата и свободите на физическите лица, уведомяваме КЗЛД в срок до 72 часа от установяване на нарушението (чл. 33 GDPR). Когато нарушението може да доведе до висок риск, ще уведомим и засегнатите субекти на данни без ненужно забавяне (чл. 34 GDPR).

7. Бисквитки и сходни технологии

За детайлна информация какви бисквитки използваме, тяхното предназначение, срок и как да управлявате съгласието си, моля вижте отделната Политика за бисквитки.

Накратко: строго необходимите бисквитки се поставят без съгласие, а аналитичните и рекламните (Google Analytics, Google Ads, Meta Pixel и др.) – само след Ваше изрично съгласие, дадено чрез банера за съгласие. Можете да оттеглите съгласието си по всяко време от „Настройки на бисквитките“.

8. Електронен бюлетин и маркетингови съобщения

Изпращаме маркетингови съобщения (бюлетин, промоции, нови продукти) на следните основания:

• Изрично съгласие – при записване чрез формуляр на сайта (чл. 6, ал. 1, б. „а“ GDPR);
• „Soft opt-in“ – при съществуващи клиенти, на основание чл. 261, ал. 2 от Закона за електронните съобщения, ако данните за контакт са получени във връзка с предишна покупка на сходен продукт и Ви е дадена ясна възможност за отказ.

Във всяко съобщение има линк за отписване. Можете да оттеглите съгласието си по всяко време и без обяснение, без това да засяга законосъобразността на предходните изпращания.

9. Лични данни на деца

Услугите на TIMEBOX.BG не са предназначени за лица под 14-годишна възраст. Съгласно чл. 25д от Закона за защита на личните данни, обработването на лични данни на дете под 14 години въз основа на съгласие във връзка с услуги на информационното общество е законосъобразно само ако съгласието е дадено или одобрено от лицето, упражняващо родителски права или настойничество.

Ако установим, че сме събрали лични данни на дете под 14 години без съответното родителско съгласие, ще предприемем разумни мерки за заличаването им. При съмнения, моля свържете се с нас на office@timebox.bg.

10. Автоматизирано вземане на решения и профилиране

TIMEBOX.BG не взема решения, които пораждат правни последици за Вас или Ви засягат в значителна степен, основани изключително на автоматизирано обработване (чл. 22 GDPR).

Извършваме ограничено профилиране за цели на маркетинг (например показване на препоръчани продукти на база предишно поведение в сайта), само при дадено съгласие за рекламни/аналитични бисквитки. Можете да възразите срещу това по всяко време.

11. Вашите права като субект на данни

По отношение на личните Ви данни имате следните права:

• Право на информация и достъп (чл. 13–15 GDPR);
• Право на коригиране на неточни или непълни данни (чл. 16 GDPR);
• Право на изтриване / „право да бъдеш забравен“ (чл. 17 GDPR);
• Право на ограничаване на обработването (чл. 18 GDPR);
• Право на преносимост на данните в структуриран, широко използван и пригоден за машинно четене формат (чл. 20 GDPR);
• Право на възражение срещу обработване, основано на легитимен интерес, и срещу директен маркетинг (чл. 21 GDPR);
• Право да оттеглите съгласието си по всяко време, без това да засяга законосъобразността на обработването преди оттеглянето (чл. 7, ал. 3 GDPR);
• Право да не бъдете обект на автоматизирано решение (чл. 22 GDPR);
• Право на жалба до КЗЛД или друг компетентен надзорен орган в ЕС.

Как да упражните правата си

Можете да отправите искане:

• чрез имейл до office@timebox.bg;
• чрез контактната форма на сайта;
• чрез писмено искане на адреса ни.

Срок за отговор: Отговаряме без ненужно забавяне и във всички случаи в срок до 1 месец от получаване на искането. Този срок може да бъде удължен с до 2 месеца при сложни или многобройни искания, за което ще бъдете уведомени (чл. 12, ал. 3 GDPR).

Идентификация: Може да поискаме допълнителна информация за потвърждаване на самоличността Ви, преди да изпълним искането.

Безплатно: Отговорът е безплатен, освен ако исканията са явно неоснователни или прекомерни (чл. 12, ал. 5 GDPR).

Право да бъдете забравени – уточнения

При упражняване на правото на изтриване ще премахнем всички данни, които пазим за Вас, освен тези, които сме задължени да съхраняваме по закон (счетоводни и данъчни документи – 10 години; данни за рекламации – съгласно ЗПЦ; данни за защита на правни претенции – до изтичане на давностните срокове).

12. Промени в Политиката

Можем да актуализираме настоящата Политика при промени в технологии, доставчици, бизнес процеси или законодателство. Текущата версия и датата на влизане в сила се обявяват в горната част на документа. При съществени промени ще Ви уведомим по подходящ начин – чрез видимо съобщение на сайта и/или имейл до регистрираните потребители.

13. Въпроси и контакти

При въпроси относно настоящата Политика или обработването на личните Ви данни:

• Имейл: office@timebox.bg
• Телефон: 0884 598 423

Версия 2.0 | Последна актуализация: 11.05.2026 г.