Политика за поверителност и защита на личните данни
Последна актуализация: Януари 2026
1. Администратор на лични данни
Construction Hub е облачна платформа за управление на строителни проекти, предоставяна като услуга (SaaS). За целите на Регламент (ЕС) 2016/679 (GDPR), администратор на личните данни е юридическото лице, посочено в раздел 17 на настоящата политика.
The Controller determines the purposes and means of processing personal data collected through the Platform.
When a Client (legal entity) uses the Platform to manage data about its employees, subcontractors, or partners, the Client acts as an independent controller for that data, and Construction Hub acts as a data processor within the meaning of Art. 28 of the GDPR.
The relationship between Construction Hub and the Client as processor is governed by a Data Processing Agreement (DPA), which is an integral part of the subscription agreement.
2. Определения
За целите на настоящата Политика за поверителност:
"Personal Data" -- any information relating to an identified or identifiable natural person (data subject).
"Processing" -- any operation with personal data: collection, recording, organization, structuring, storage, adaptation, retrieval, consultation, use, disclosure, erasure, or destruction.
"Data Subject" -- a natural person whose personal data is processed (users, employees of clients, contact persons of partners).
"Data Processor" -- a person who processes personal data on behalf of the controller.
"Sub-processor" -- a third party to whom the processor has delegated part of the processing.
"Personal Data Breach" -- a breach leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data.
3. Обхват и приложимост
Настоящата Политика за поверителност се прилага за:
All individuals who visit the website constructionhub.bg.
Users who create an account and use the Platform.
Contact persons of legal entities -- clients, suppliers, and partners whose data is entered into the Platform.
Individuals who contact us through the contact form, email, or other channels.
Employees and representatives of client companies whose data is processed under the subscription agreement.
Политиката не се прилага за анонимизирани или агрегирани данни, които не позволяват идентифициране на физическо лице.
4. Категории лични данни, които събираме
4.1. Данни за идентификация и контакт
При регистрация и използване на Платформата събираме:
User's first and last name.
Business email address.
Phone number (if provided).
Company name, registration number, and address of the client entity.
Position/role in the organization.
4.2. Технички данни
Автоматично събираме при достъп до Платформата:
IP address and approximate geographic location (country/city level).
Browser type and version, operating system.
Device identifiers.
Date, time, and duration of sessions.
Pages and features visited.
4.3. Бизнис данни
Во тека на работа с Платформата може да се обработват:
Data from invoices, contracts, offers, and other documents entered by the Client.
Names and contacts of employees, subcontractors, and partners entered by the Client.
Financial information (bank accounts, invoice amounts) entered by the Client.
Data about construction sites, quantity surveys, and inventory.
Важно: За бизнес данните, въведени от Клиента, администратор на лични данни е самият Клиент. Construction Hub обработва тези данни единствено по негово указание и съгласно Дополнителното споразумение за обработка.
4.4. Данни за плащания
За обработка на абонаментни плащания:
Construction Hub does NOT store full bank card numbers.
Payments are processed by a certified payment operator (Stripe), which complies with PCI DSS Level 1 standards.
We store only: the last 4 digits of the card, card type, expiration date, and transaction identifier.
5. Цели и правни основания за обработка
Обработваме лични данни само при наличие на валидно правно основание по чл. 6, пар. 1 от GDPR:
5.1. Извршување на договор (чл. 6, пар. 1, б. "б")
Creating and managing user accounts.
Providing the subscription service and technical support.
Processing payments and issuing invoices.
Communication regarding the service (system notifications, changes to terms).
5.2. Легитимен интерес (чл. 6, пар. 1, б. "е")
При баланс-тест, гарантиращ, че нашият интерес не надделява над правата на субекта:
Improving the Platform through usage analysis (aggregated data).
Ensuring security -- detecting unauthorized access, abuse, and cyberattacks.
Preventing fraud and misuse of the service.
Internal reporting and auditing.
5.3. Законово задължение (чл. 6, пар. 1, б. "в")
Retention of accounting documents pursuant to the Accounting Act (10 years).
Providing data when required by law or by order of a competent authority.
Fulfillment of tax obligations.
5.4. Съгласие (чл. 6, пар. 1, б. "а")
Само когато друго основание не е приложимо:
Sending marketing communications and newsletters (with the right to opt out at any time).
Use of optional cookies for analytics and advertising.
Participation in satisfaction surveys and research.
Съгласието може да бъде оттеглено по всяко време без това да засяга законосъобразността на обработването преди оттеглянето.
6. Бисквитки и проследяващи технологии
Използваме следните категории бисквитки:
6.1. Строго необходими (без съгласие)
Session cookies for authentication and maintaining the user session.
CSRF protection cookies (form security).
Cookies for remembering language preferences.
6.2. Аналитички (със съгласие)
Google Analytics -- for traffic and visitor behavior analysis.
Internal analytics -- for improving the user experience.
6.3. Управување на бисквитки
Можете да управлявате бисквитките чрез настройките на браузъра си или чрез банера за бисквитки при първото посещение. Деактивирането на строго необходимите бисквитки може да наруши функционалността на Платформата.
7. Период на съхранение на данните
Съхраняваме лични данни само докато е необходимо за целта, за която са събрани:
Account data -- until subscription termination plus 30 days for data export.
Client business data -- until contract termination plus 30 days for export, after which it is permanently deleted.
Accounting documents -- 10 years pursuant to the Accounting Act.
Security logs -- up to 12 months.
Marketing consent -- until withdrawal by the data subject.
Contact form data -- up to 6 months after the inquiry is resolved.
Backups -- up to 90 days, after which they are automatically overwritten.
После изтичане на сроковете данните се изтриват или анонимизират необратимо. При спор или правна претенция данните може да бъдат съхранявани до окончателното приключване на производството.
8. Споделување на данни с трети страни
Не продаваме, не отдаваме под наем и не търгуваме с лични данни. Споделяме данни само в следните случаи:
8.1. Подобработващи лични данни
Използваме доверени доставчици за предоставяне на услугата, с които имаме сключени споразумения по чл. 28 от GDPR:
Hosting and infrastructure -- for storing data on EU servers.
Payment services (Stripe) -- for processing subscription payments.
Email services -- for sending system and transactional emails.
AI processing (OpenAI) -- for intelligent document recognition (see section 12).
Monitoring and error tracking -- for ensuring service stability.
8.2. Законови изисквания
Може да разкрием лични данни, когато това се изисква от:
Applicable legislation or regulatory act.
Court order or act of a competent authority.
Protection of the rights, property, or safety of Construction Hub, its users, or the public.
9. Помеѓународен трансфер на данни
Вашите данни се съхраняват на сървъри в Европейския съюз.
When transfer outside the EEA is necessary (e.g., to sub-processors in the USA), we ensure an adequate level of protection through Standard Contractual Clauses (SCC) approved by the European Commission (Decision 2021/914).
AI processing (OpenAI) may involve transfer to the USA. OpenAI is certified under the EU-US Data Privacy Framework and applies additional technical protection measures.
Before each transfer, we conduct a Transfer Impact Assessment (TIA) in accordance with EDPB guidelines.
A list of sub-processors and their locations is available upon request at info@constructionhub.bg.
10. Вашите права по GDPR
Съгласно Регламент (ЕС) 2016/679 имате следните права:
Право на достъп (чл. 15)
Имате право да получите потвърждение дали се обработват ваши лични данни, достъп до тях и информация за целите, категориите данни, получателите и срока на съхранение.
Право на коригиране (чл. 16)
Имате право да поискате коригиране на неточни лични данни или допъденане на непълни данни без неоправдано забавяне.
Право на изтриване (чл. 17)
Имате право да поискате изтриване на вашите лични данни, когато: данните вече не са необходими за целта; оттеглите съгласието си; възразите срещу обработването; данните са обработвани незаконосъобразно. Правото не се прилага, когато обработването е необходимо за изпълнение на законово задължение.
Право на ограничаване (чл. 18)
Имате право да поискате ограничаване на обработката, когато оспорвате точността на данните, обработването е неправомерно, или сте възразили срещу обработването в очакване на проверка.
Право на преносимост (чл. 20)
Имате право да получите вашите данни в структуриран, широко използван и машинно четим формат (JSON, CSV) и да ги прехвърлите на друг администратор. Платформата предоставя функция за експорт на данни от потребителския панел.
Право на възражение (чл. 21)
Имате право да възразите срещу обработката на данни на основание легитимен интерес. При възражение прекратяваме обработването, освен ако докажем убедителни законни основания, които имат предимство. Срещу обработка за директен маркетинг можете да възразите по всяко време безусловно.
Право да не бъдете обект на автоматизирано решение (чл. 22)
Имате право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последствия за вас. Construction Hub не взема автоматизирани решения с правни последствия без човешка намеса.
11. Упражняване на правата
За да упражните някое от правата си, можете да се свържете с нас по следните начини:
Through the contact form at constructionhub.bg/contact.
By letter to the address specified in section 17.
За вашата защита може да поискаме потвърждение на самоличността ви преди изпълнение на заявката.
Одговаряме на всяко искане в срок до 30 дни. При сложност или множество заявки срокът може да бъде удължен с до 60 дни, за което ще бъдете уведомени.
Упражняването на правата е безплатно. При явно неоснователни или прекомерни заявки (особено поради повторяемост) можем да наложим разумна такса или да откажем да предприемем действие.
12. AI обработка и автоматизирано вземане на решения
Платформата използва изкуствен интелект (AI) за следните цели:
Automatic recognition and extraction of data from scanned documents (invoices, quantity surveys, protocols).
Intelligent matching of nomenclature items through semantic vectors (embeddings).
Suggestions for document categorization and classification.
Гаранции при AI обработка
AI results are always suggestions -- the final decision rests with the user, who reviews and approves/rejects the results.
No automated decisions with legal or significant effects are made without human intervention.
Documents sent for AI processing are processed in real-time and are not stored by the AI provider for model training.
AI processing may involve data transfer to a sub-processor (OpenAI) as described in section 9.
You have the right to request human intervention or to refuse AI processing at any time.
13. Защита на данните при проектиране и по подразбиране
В съответствие с чл. 25 от GDPR, прилагаме принципите на защита на данните при проектиране (Privacy by Design) и по подразбиране (Privacy by Default):
Data minimization -- we collect only data necessary for the specific purpose.
Data isolation (multi-tenancy) -- each Client's data is strictly isolated at the database level. No Client can access another Client's data.
Role-based access control (RBAC) -- each user accesses only the data for which they have permission, as determined by the Account Administrator.
Encryption by default -- all data is encrypted in transit (TLS 1.3) and at rest.
Audit trail -- every user action is logged for traceability and accountability.
Pseudonymization -- where possible, we use internal identifiers instead of direct personal data.
14. Технички и организационни мерки за сигурност
Прилагаме следните мерки съгласно чл. 32 от GDPR:
14.1. Технички мерки
Data encryption in transit via TLS 1.3 and HSTS.
Data encryption at rest (AES-256) for databases and backups.
Multi-factor authentication (MFA) for administrative access.
Web Application Firewall (WAF) and DDoS protection.
Automatic anomaly and suspicious activity detection.
Regular vulnerability scanning and penetration testing.
Regular automated backups with geographic replication.
14.2. Организационни мерки
Principle of least privilege for employee access.
Staff training on data protection.
Personal data incident management policy.
Regular review and update of security measures.
Confidentiality agreements with all employees and subcontractors.
15. Уведомяване при нарушение на сигурността
В случай на нарушение на сигурността на личните данни:
We notify the Commission for Personal Data Protection (CPDP) within 72 hours of becoming aware, when the breach is likely to result in a risk to the rights and freedoms of natural persons (Art. 33 GDPR).
We notify affected data subjects without undue delay when the breach is likely to result in a high risk (Art. 34 GDPR).
We document every breach, including the facts, consequences, and corrective measures taken.
When Construction Hub acts as a processor, we notify the Client (controller) without undue delay so they can fulfill their notification obligations.
16. Позицијано лице по защита на данните (DPO)
За всички въпроси, свързани със защитата на личните данни, можете да се свържете с нашето Позицијано лице по защита на данните:
Email: info@constructionhub.bg
Subject: "DPO / Data Protection"
The DPO reviews all inquiries and requests related to personal data processing and coordinates the fulfillment of data subjects' rights.
17. Право на жалба и контакт с надзорния орган
Ако считате, че обработката на вашите лични данни нарушава GDPR, имате право да подадете жалба до надзорния орган:
Комисия за защита на личните данни (КЗЛД)
Адреса: бул. "Проф. Цветан Лазаров" No 2, София 1592
Телефон: 02/91-53-518
Е-пошта: kzld@cpdp.bg
Веб-страница: www.cpdp.bg
Препорачуваме първо да се свържете с нас на info@constructionhub.bg, за да разрешим въпроса директно.
18. Данни на деца
Construction Hub е B2B платформа, предназначена за юридически лица и техните служители. Не събираме съзнателно лични данни на лица под 16 години. Ако установим, че сме събрали данни на дете, ще ги изтрием незабавно. Ако считате, че дете е предоставило лични данни чрез Платформата, моля свържете се с нас на info@constructionhub.bg.
19. Промени в Политиката за поверителност
Запазваме правото да актуализираме настоящата Политика при:
Changes in applicable legislation or supervisory authority guidance.
Changes in services, features, or sub-processors.
Technological changes requiring adaptation of protection measures.
Recommendations from audits or impact assessments.
При съществени промени ще ви уведомим чрез е-пошта и/или известие в Платформата поне 30 дни предварително. Продолжувањето на използването на Платформата след влизане в сила на промените означава приемане на актуализираната Политика.
20. Приложимо право и контактна информация
Настоящата Политика за поверителност се подчинява на Регламент (ЕС) 2016/679 (GDPR), Закона за защита на личните данни на Република България и приложимото европейско и национално законодателство.
Контакт за въпроси относно защитата на данните:
Email: info@constructionhub.bg
Website: constructionhub.bg
Subject: "Personal Data Protection"
Користиме колачиња за да обезбедиме правилно функционирање на платформата и да го подобриме вашето искуство. Дознајте повеќе за колачињата