Политика за поверителност и защита на личните данни

Последна актуализация: Януари 2026

1. Администратор на лични данни

Construction Hub е облачна платформа за управление на строителни проекти, предоставяна като услуга (SaaS). За целите на Регламент (ЕС) 2016/679 (GDPR), администратор на личните данни е юридическото лице, посочено в раздел 17 на настоящата политика.

  • Администраторът определя целите и средствата за обработка на лични данни, събирани чрез Платформата.
  • Когато Клиент (юридическо лице) използва Платформата за управление на данни за свои служители, подизпълнители или партньори, Клиентът действа като самостоятелен администратор за тези данни, а Construction Hub -- като обработващ лични данни по смисъла на чл. 28 от GDPR.
  • Отношенията между Construction Hub и Клиента като обработващ се уреждат с Допълнително споразумение за обработка на данни (DPA), което е неразделна част от договора за абонамент.

2. Определения

За целите на настоящата Политика за поверителност:

  • "Лични данни" -- всяка информация, свързана с идентифицирано или идентифицируемо физическо лице (субект на данни).
  • "Обработване" -- всяка операция с лични данни: събиране, записване, организиране, структуриране, съхранение, адаптиране, извличане, консултиране, употреба, разкриване, изтриване или унищожаване.
  • "Субект на данни" -- физическо лице, чиито лични данни се обработват (потребители, служители на клиенти, контактни лица на партньори).
  • "Обработващ лични данни" -- лице, което обработва лични данни от името на администратора.
  • "Подобработващ" -- трето лице, на което обработващият е възложил част от обработването.
  • "Нарушение на сигурността" -- нарушение, водещо до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

3. Обхват и приложимост

Настоящата Политика за поверителност се прилага за:

  • Всички физически лица, които посещават уебсайта constructionhub.bg.
  • Потребители, които създават акаунт и използват Платформата.
  • Контактни лица на юридически лица -- клиенти, доставчици и партньори, чиито данни се въвеждат в Платформата.
  • Лица, които се свързват с нас чрез формата за контакт, имейл или други канали.
  • Служители и представители на фирми-клиенти, чиито данни се обработват в рамките на абонаментния договор.

Политиката не се прилага за анонимизирани или агрегирани данни, които не позволяват идентифициране на физическо лице.

4. Категории лични данни, които събираме

4.1. Данни за идентификация и контакт

При регистрация и използване на Платформата събираме:

  • Име и фамилия на потребителя.
  • Служебен имейл адрес.
  • Телефонен номер (ако е предоставен).
  • Наименование, ЕИК/БУЛСТАТ и адрес на юридическото лице-клиент.
  • Длъжност/роля в организацията.

4.2. Технически данни

Автоматично събираме при достъп до Платформата:

  • IP адрес и приблизително географско местоположение (на ниво държава/град).
  • Тип и версия на браузъра и операционната система.
  • Идентификатори на устройството.
  • Дата, час и продължителност на сесиите.
  • Страници и функционалности, които посещавате.

4.3. Бизнес данни

В процеса на работа с Платформата може да се обработват:

  • Данни от фактури, договори, оферти и други документи, въведени от Клиента.
  • Имена и контакти на служители, подизпълнители и партньори, въведени от Клиента.
  • Финансова информация (банкови сметки, суми по фактури), въведени от Клиента.
  • Данни за строителни обекти, количествени сметки и инвентар.

Важно: За бизнес данните, въведени от Клиента, администратор на лични данни е самият Клиент. Construction Hub обработва тези данни единствено по негово указание и съгласно Допълнителното споразумение за обработка.

4.4. Данни за плащания

За обработка на абонаментни плащания:

  • Construction Hub НЕ съхранява пълни номера на банкови карти.
  • Плащанията се обработват от сертифициран платежен оператор (Stripe), който отговаря на стандарта PCI DSS Level 1.
  • Съхраняваме единствено: последните 4 цифри на картата, тип на картата, дата на изтичане и идентификатор на транзакцията.

5. Цели и правни основания за обработка

Обработваме лични данни само при наличие на валидно правно основание по чл. 6, пар. 1 от GDPR:

5.1. Изпълнение на договор (чл. 6, пар. 1, б. "б")

  • Създаване и управление на потребителски акаунти.
  • Предоставяне на абонаментната услуга и техническа поддръжка.
  • Обработка на плащания и издаване на фактури.
  • Комуникация относно услугата (системни известия, промени в условията).

5.2. Легитимен интерес (чл. 6, пар. 1, б. "е")

При баланс-тест, гарантиращ, че нашият интерес не надделява над правата на субекта:

  • Подобряване на Платформата чрез анализ на употребата (агрегирани данни).
  • Осигуряване на сигурността -- откриване на неоторизиран достъп, злоупотреби и кибератаки.
  • Предотвратяване на измами и злоупотреби с услугата.
  • Вътрешна отчетност и одит.

5.3. Законово задължение (чл. 6, пар. 1, б. "в")

  • Съхранение на счетоводни документи съгласно Закона за счетоводството (10 години).
  • Предоставяне на данни при законово задължение или по разпореждане на компетентен орган.
  • Изпълнение на данъчни задължения.

5.4. Съгласие (чл. 6, пар. 1, б. "а")

Само когато друго основание не е приложимо:

  • Изпращане на маркетингови съобщения и бюлетини (с право на отказ по всяко време).
  • Използване на незадължителни бисквитки за анализ и реклама.
  • Участие в анкети и проучвания за удовлетвореност.

Съгласието може да бъде оттеглено по всяко време без това да засяга законосъобразността на обработването преди оттеглянето.

6. Бисквитки и проследяващи технологии

Използваме следните категории бисквитки:

6.1. Строго необходими (без съгласие)

  • Сесийни бисквитки за автентикация и поддържане на потребителската сесия.
  • Бисквитки за CSRF защита (сигурност на формулярите).
  • Бисквитки за запомняне на предпочитания за език.

6.2. Аналитични (със съгласие)

  • Google Analytics -- за анализ на трафика и поведението на посетителите.
  • Вътрешни анализи -- за подобряване на потребителското изживяване.

6.3. Управление на бисквитки

Можете да управлявате бисквитките чрез настройките на браузъра си или чрез банера за бисквитки при първото посещение. Деактивирането на строго необходимите бисквитки може да наруши функционалността на Платформата.

7. Период на съхранение на данните

Съхраняваме лични данни само докато е необходимо за целта, за която са събрани:

  • Данни за акаунт -- до прекратяване на абонамента плюс 30 дни за експорт на данни.
  • Бизнес данни на Клиента -- до прекратяване на договора плюс 30 дни за експорт, след което се изтриват безвъзвратно.
  • Счетоводни документи -- 10 години съгласно Закона за счетоводството.
  • Логове за сигурност -- до 12 месеца.
  • Маркетингово съгласие -- до оттегляне от субекта на данни.
  • Данни от формата за контакт -- до 6 месеца след приключване на запитването.
  • Резервни копия -- до 90 дни, след което се презаписват автоматично.

След изтичане на сроковете данните се изтриват или анонимизират необратимо. При спор или правна претенция данните може да бъдат съхранявани до окончателното приключване на производството.

8. Споделяне на данни с трети страни

Не продаваме, не отдаваме под наем и не търгуваме с лични данни. Споделяме данни само в следните случаи:

8.1. Подобработващи лични данни

Използваме доверени доставчици за предоставяне на услугата, с които имаме сключени споразумения по чл. 28 от GDPR:

  • Хостинг и инфраструктура -- за съхранение на данни на сървъри в ЕС.
  • Платежни услуги (Stripe) -- за обработка на абонаментни плащания.
  • Имейл услуги -- за изпращане на системни и транзакционни имейли.
  • AI обработка (OpenAI) -- за интелигентно разпознаване на документи (виж раздел 12).
  • Мониторинг и error tracking -- за осигуряване стабилност на услугата.

8.2. Законови изисквания

Може да разкрием лични данни, когато това се изисква от:

  • Приложимо законодателство или подзаконов нормативен акт.
  • Съдебно разпореждане или акт на компетентен орган.
  • Защита на правата, собствеността или безопасността на Construction Hub, неговите потребители или обществеността.

9. Международен трансфер на данни

Вашите данни се съхраняват на сървъри в Европейския съюз.

  • При необходимост от трансфер извън ЕИП (например към подобработващи в САЩ), гарантираме адекватно ниво на защита чрез Стандартни договорни клаузи (SCC), одобрени от Европейската комисия (Решение 2021/914).
  • AI обработката (OpenAI) може да включва трансфер към САЩ. OpenAI е сертифициран по EU-US Data Privacy Framework и прилага допълнителни технически мерки за защита.
  • Преди всеки трансфер извършваме оценка на въздействието върху трансфера (TIA) съгласно указанията на EDPB.
  • Списък на подобработващите и техните локации е достъпен при поискване на info@constructionhub.bg.

10. Вашите права по GDPR

Съгласно Регламент (ЕС) 2016/679 имате следните права:

Право на достъп (чл. 15)

Имате право да получите потвърждение дали се обработват ваши лични данни, достъп до тях и информация за целите, категориите данни, получателите и срока на съхранение.

Право на коригиране (чл. 16)

Имате право да поискате коригиране на неточни лични данни или допълване на непълни данни без неоправдано забавяне.

Право на изтриване (чл. 17)

Имате право да поискате изтриване на вашите лични данни, когато: данните вече не са необходими за целта; оттеглите съгласието си; възразите срещу обработването; данните са обработвани незаконосъобразно. Правото не се прилага, когато обработването е необходимо за изпълнение на законово задължение.

Право на ограничаване (чл. 18)

Имате право да поискате ограничаване на обработката, когато оспорвате точността на данните, обработването е неправомерно, или сте възразили срещу обработването в очакване на проверка.

Право на преносимост (чл. 20)

Имате право да получите вашите данни в структуриран, широко използван и машинно четим формат (JSON, CSV) и да ги прехвърлите на друг администратор. Платформата предоставя функция за експорт на данни от потребителския панел.

Право на възражение (чл. 21)

Имате право да възразите срещу обработката на данни на основание легитимен интерес. При възражение прекратяваме обработването, освен ако докажем убедителни законни основания, които имат предимство. Срещу обработка за директен маркетинг можете да възразите по всяко време безусловно.

Право да не бъдете обект на автоматизирано решение (чл. 22)

Имате право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последствия за вас. Construction Hub не взема автоматизирани решения с правни последствия без човешка намеса.

11. Упражняване на правата

За да упражните някое от правата си, можете да се свържете с нас по следните начини:

  • Имейл: info@constructionhub.bg (с тема "GDPR заявка").
  • Чрез формата за контакт на constructionhub.bg/contact.
  • С писмо до адреса, посочен в раздел 17.

За вашата защита може да поискаме потвърждение на самоличността ви преди изпълнение на заявката.

Отговаряме на всяко искане в срок до 30 дни. При сложност или множество заявки срокът може да бъде удължен с до 60 дни, за което ще бъдете уведомени.

Упражняването на правата е безплатно. При явно неоснователни или прекомерни заявки (особено поради повторяемост) можем да наложим разумна такса или да откажем да предприемем действие.

12. AI обработка и автоматизирано вземане на решения

Платформата използва изкуствен интелект (AI) за следните цели:

  • Автоматично разпознаване и извличане на данни от сканирани документи (фактури, количествени сметки, протоколи).
  • Интелигентно съпоставяне на номенклатурни позиции чрез семантични вектори (embeddings).
  • Предложения за категоризация и класификация на документи.

Гаранции при AI обработка

  • AI резултатите са винаги предложения -- крайното решение е на потребителя, който преглежда и одобрява/отхвърля резултатите.
  • Не се вземат автоматизирани решения с правни или значителни последствия без човешка намеса.
  • Документите, изпратени за AI обработка, се обработват в реално време и не се съхраняват от AI доставчика за обучение на модели.
  • AI обработката може да включва трансфер на данни към подобработващ (OpenAI) съгласно раздел 9.
  • Имате право да поискате човешка намеса или да откажете AI обработка по всяко време.

13. Защита на данните при проектиране и по подразбиране

В съответствие с чл. 25 от GDPR, прилагаме принципите на защита на данните при проектиране (Privacy by Design) и по подразбиране (Privacy by Default):

  • Минимизиране на данните -- събираме само данни, необходими за конкретната цел.
  • Изолация на данните (multi-tenancy) -- данните на всеки Клиент са строго изолирани на ниво база данни. Нито един Клиент не може да достъпи данните на друг.
  • Ролеви достъп (RBAC) -- всеки потребител достъпва само данните, за които има разрешение, определено от Администратора на акаунта.
  • Криптиране по подразбиране -- всички данни се криптират при пренос (TLS 1.3) и в покой.
  • Одитна следа -- всяко действие на потребител се логва с цел проследимост и отчетност.
  • Псевдонимизация -- където е възможно, използваме вътрешни идентификатори вместо директни лични данни.

14. Технически и организационни мерки за сигурност

Прилагаме следните мерки съгласно чл. 32 от GDPR:

14.1. Технически мерки

  • Криптиране на данни при пренос чрез TLS 1.3 и HSTS.
  • Криптиране на данни в покой (AES-256) за бази данни и резервни копия.
  • Многофакторна автентикация (MFA) за администраторски достъп.
  • Защитна стена (WAF) и DDoS защита.
  • Автоматично откриване на аномалии и подозрителна активност.
  • Регулярно сканиране за уязвимости и пенетрейшън тестове.
  • Редовни автоматизирани резервни копия с географска репликация.

14.2. Организационни мерки

  • Принцип на минимални привилегии (least privilege) за достъп на служители.
  • Обучение на персонала по защита на данните.
  • Политика за управление на инциденти с лични данни.
  • Редовен преглед и актуализация на мерките за сигурност.
  • Споразумения за поверителност с всички служители и подизпълнители.

15. Уведомяване при нарушение на сигурността

В случай на нарушение на сигурността на личните данни:

  • Уведомяваме Комисията за защита на личните данни (КЗЛД) в срок до 72 часа от узнаването, когато нарушението може да породи риск за правата и свободите на физически лица (чл. 33 GDPR).
  • Уведомяваме засегнатите субекти на данни без неоправдано забавяне, когато нарушението може да породи висок риск (чл. 34 GDPR).
  • Документираме всяко нарушение, включително фактите, последствията и предприетите коригиращи мерки.
  • Когато Construction Hub действа като обработващ, уведомяваме Клиента (администратор) без неоправдано забавяне, за да може той да изпълни задълженията си за уведомяване.

16. Длъжностно лице по защита на данните (DPO)

За всички въпроси, свързани със защитата на личните данни, можете да се свържете с нашето Длъжностно лице по защита на данните:

  • Имейл: info@constructionhub.bg
  • Тема на съобщението: "DPO / Защита на личните данни"
  • DPO разглежда всички запитвания и заявки, свързани с обработката на лични данни, и координира изпълнението на правата на субектите.

17. Право на жалба и контакт с надзорния орган

Ако считате, че обработката на вашите лични данни нарушава GDPR, имате право да подадете жалба до надзорния орган:

Комисия за защита на личните данни (КЗЛД)

  • Адрес: бул. "Проф. Цветан Лазаров" No 2, София 1592
  • Телефон: 02/91-53-518
  • Имейл: kzld@cpdp.bg
  • Уебсайт: www.cpdp.bg

Препоръчваме първо да се свържете с нас на info@constructionhub.bg, за да разрешим въпроса директно.

18. Данни на деца

Construction Hub е B2B платформа, предназначена за юридически лица и техните служители. Не събираме съзнателно лични данни на лица под 16 години. Ако установим, че сме събрали данни на дете, ще ги изтрием незабавно. Ако считате, че дете е предоставило лични данни чрез Платформата, моля свържете се с нас на info@constructionhub.bg.

19. Промени в Политиката за поверителност

Запазваме правото да актуализираме настоящата Политика при:

  • Промени в приложимото законодателство или указания на надзорни органи.
  • Промени в услугите, функционалностите или подобработващите.
  • Технологични промени, изискващи адаптация на мерките за защита.
  • Препоръки от одити или оценки на въздействието.

При съществени промени ще ви уведомим чрез имейл и/или известие в Платформата поне 30 дни предварително. Продължаването на използването на Платформата след влизане в сила на промените означава приемане на актуализираната Политика.

20. Приложимо право и контактна информация

Настоящата Политика за поверителност се подчинява на Регламент (ЕС) 2016/679 (GDPR), Закона за защита на личните данни на Република България и приложимото европейско и национално законодателство.

Контакт за въпроси относно защитата на данните:

  • Имейл: info@constructionhub.bg
  • Уебсайт: constructionhub.bg
  • Тема: "Защита на личните данни"

Използваме бисквитки, за да осигурим правилното функциониране на платформата и да подобрим вашето изживяване. Научете повече за бисквитките