Начало/DPA

Договор за обработка на данни

Data Processing Agreement (DPA)

Последна актуализация: Март 2026

Условия за ползванеПоверителностБисквиткиDPA

Страни по договора:

Администратор: Бизнес партньорът (регистриран в платформата Karty)

Обработващ: [Пълно Юридическо Наименование на Karty]

Чрез приемане на Условията за ползване при регистрация на бизнес акаунт, бизнес партньорът сключва и настоящия DPA. Не е необходим отделен подпис.

4.1 Предмет

Karty обработва лични данни от името на бизнес партньора (Администратора) в рамките на предоставяната услуга — управление на лоялни програми.

4.2 Категории лични данни

Karty обработва следните данни, предоставени от или чрез бизнес партньора:

  • Анонимни идентификатори на крайни потребители (QR код)
  • История на транзакции (дата, тип, брой точки/печати)
Karty не обработва от името на бизнес партньора: имена, телефони, адреси или каквито и да е директно идентифицируеми данни на крайните потребители (тъй като платформата поддържа анонимно ползване).

4.3 Цел на обработката

Единствената цел е предоставяне на услугата — управление на лоялни карти и награди.

4.4 Задължения на Karty (Обработващ)

Karty се задължава да:

  • Обработва данните само по инструкции на Администратора.
  • Гарантира поверителност на данните.
  • Прилага подходящи технически и организационни мерки за сигурност.
  • Уведомява Администратора при установено нарушение на сигурността без ненужно забавяне.
  • Изтрива данните при прекратяване на договора.
  • Осигурява, че всички подобработващи са обвързани с еквивалентни задължения.

4.5 Задължения на Администратора (Бизнес партньора)

Бизнес партньорът се задължава да:

  • Обработва лични данни на крайните потребители законно и с валидно правно основание.
  • Информира крайните потребители за лоялната програма и начина на обработка на данните.
  • Не изисква от Karty обработка, нарушаваща GDPR или приложимото право.

4.6 Подобработващи

Karty използва следните подобработващи:

ПодобработващРоляМестоположение
SupabaseБаза данни и съхранениеФранкфурт, ЕС
SentryПроследяване на грешкиЕС/САЩ (SCCs)
PostHogАналитикаЕС
ResendИмейл комуникацияСАЩ (SCCs)

При добавяне на нови подобработващи Karty уведомява Администратора с 30-дневно предизвестие.

4.7 Предаване на данни извън ЕС

Данните се съхраняват основно в ЕС (Supabase Frankfurt). При предаване извън ЕС се прилагат Стандартни договорни клаузи (SCCs) съгласно чл. 46 GDPR.

4.8 Сигурност

Karty прилага:

  • Криптиране на данни при пренос (TLS 1.2+) и в покой.
  • Контрол на достъпа (Row-Level Security в базата данни).
  • Редовни одити на сигурността.
  • HMAC-подписани QR кодове за предотвратяване на фалшификати.

4.9 Продължителност

DPA е в сила докато бизнес партньорът използва платформата Karty. При прекратяване Karty изтрива данните в рамките на 30 дни.

4.10 Контакт за DPA въпроси

legal@karty.bg