Политика за поверителност
Последна актуализация: Март 2026
2.1 Въведение
Karty („Karty", „ние") се ангажира да защитава вашата лична информация. Тази политика обяснява какви данни събираме, защо ги събираме и как ги използваме.
Ние обработваме лични данни в съответствие с Регламент (ЕС) 2016/679 (GDPR) и приложимото българско законодателство.
2.2 Данни, които събираме
За крайни потребители (анонимни)
- Уникален идентификатор на устройство (генериран от приложението)
- QR код на потребителя
- Лоялни карти, печати и точки (свързани с анонимен ID)
За крайни потребители (регистрирани)
- Имейл адрес
- Парола (съхранявана в хеширан вид — никога в четим формат)
- История на транзакции (издадени печати, точки, осребрени награди)
- Дата на регистрация
За бизнес партньори
- Имейл адрес и парола (хеширана)
- Наименование и описание на бизнеса
- Адрес на бизнеса
- Лого (качено от бизнес партньора)
- История на транзакции (издадени карти, печати, осребрени награди)
- Данни за лоялната програма
Автоматично събирани данни
- Данни за ползване на приложението (за подобряване на продукта)
- Информация за грешки и сривове, включително видеозапис на екрана при грешка (чрез Sentry — session replay)
- Аналитични данни (чрез PostHog) — псевдоанонимизирани (device info, app version, потребителски действия)
2.3 Защо обработваме тези данни
| Цел | Правно основание |
|---|---|
| Предоставяне на услугата (лоялни карти, QR) | Изпълнение на договор |
| Регистрация и управление на акаунт | Изпълнение на договор |
| Сигурност и предотвратяване на измами | Легитимен интерес |
| Подобряване на продукта (анонимна аналитика) | Легитимен интерес |
| Изпращане на комуникации за услугата | Изпълнение на договор |
| Маркетингови съобщения (само с ваше съгласие) | Съгласие |
2.4 Споделяне на данни
Ние не продаваме лични данни на трети страни.
Споделяме данни само с:
- Supabase (база данни и инфраструктура — сървъри във Франкфурт, ЕС)
- Sentry (проследяване на грешки и session replay — псевдоанонимизирано, сървъри в ЕС)
- PostHog (продуктова аналитика — псевдоанонимизирано, сървъри в ЕС)
- Resend (транзакционни имейли)
- Apple / Google (само при изтегляне на приложението)
Всички доставчици са договорно задължени да обработват данните в съответствие с GDPR.
2.5 Данни, видими за бизнес партньорите
Когато сканирате QR код в даден бизнес, бизнесът вижда:
- Вашата лоялна карта (брой печати/точки) за техния бизнес
- Историята на транзакциите с техния бизнес
2.6 Задържане на данни
- Данните на активни акаунти се съхраняват до изтриване на акаунта.
- При изтриване на акаунт — личните данни се изтриват в рамките на 30 дни.
- Анонимизирани аналитични данни могат да се задържат за по-дълъг период.
2.7 Вашите права (GDPR)
Имате право на:
- Достъп — да поискате копие на данните, които съхраняваме за вас.
- Поправка — да коригирате неточни данни.
- Изтриване — да поискате изтриване на акаунта и данните си.
- Преносимост — да получите данните си в машинночетим формат.
- Възражение — срещу определени видове обработка.
- Оттегляне на съгласие — за маркетингови съобщения по всяко време.
За упражняване на тези права: privacy@karty.bg
Можете да подадете жалба и до Комисия за защита на личните данни (КЗЛД).
2.8 Деца
Платформата не е предназначена за лица под 16 години. Ако разберем, че сме събрали данни на дете, ще ги изтрием незабавно.
2.9 Промени в политиката
При съществени промени ще ви уведомим по имейл. Датата на последна актуализация е посочена в началото на документа.