Политика за поверителност

1. Кой е администраторът на данните

Лакартелайв ООД (Lacartelive Ltd.) е независим администратор на лични данни (Controller) по смисъла на чл. 4(7) от Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни (ЗЗЛД).

Данни за идентификация:

Наименование: Лакартелайв ООД
ЕИК: XXXXXXXXX
Седалище: [град, адрес]
Имейл: hello@lacarte.live
Уебсайт: https://lacarte.live

2. Длъжностно лице по защита на данните (DPO)

За въпроси, свързани с обработката на лични данни, упражняване на права или подаване на оплаквания, можете да се свържете с Длъжностното лице по защита на данните:

Име: [име на DPO — ще бъде попълнено]
Имейл: hello@lacarte.live (с тема „GDPR заявка“)

3. Данни, които събираме

3.1 Данни на бизнес клиенти (собственици на акаунти)

Категория	Конкретни данни	Източник
Идентификация	Имена, имейл, телефон (по желание), име на заведение	Регистрационна форма
Фирмени данни	Фирмено име, ЕИК, ДДС №, седалище, МОЛ	Преди първото плащане
Удостоверяване	Парола (хеширана), Google OAuth ID, имейл потвърждение	Регистрация / вход
Плащания	Последни 4 цифри на картата, billing адрес, история на транзакции	Stripe (PCI-DSS compliant) — пълните данни на картата НИКОГА не достигат до нашите сървъри
Поведение	IP адрес, тип браузър, операционна система, време на достъп	Сървърни логове
Поддръжка	Кореспонденция с екипа за поддръжка	Имейл / форма за контакт

3.2 Данни на под-потребители (Account Admins)

Категория	Конкретни данни
Идентификация	Име, имейл, позиция/длъжност
Достъп	Права за достъп до различни модули на платформата
Удостоверяване	Парола (хеширана), статус на имейл потвърждение

3.3 Данни на крайни клиенти (посетители на менютата)

Когато физическо лице сканира QR код и достъпва публичното меню на даден ресторант:

Категория	Данни	Цел
Технически данни	IP адрес (анонимизиран), device ID (генериран случаен идентификатор), език на браузъра	Аналитика, оптимизация
Поведение	Кои ястия са разгледани, дадени оценки (рейтинги, анонимни)	Подобряване на менюто
Бисквитки	Виж Политика за бисквитки	Функционалност, аналитика, реклама (с ваше съгласие)

Крайните клиенти не са длъжни да създават акаунт или да предоставят лична информация, за да разгледат меню.

3.4 Данни на купувачи в онлайн магазина

При поръчка чрез e-commerce модула събираме: имена, телефон, държава, град, пощенски код, адрес за доставка, по желание — бележка.

4. Цели на обработката

Предоставяне на услугата: регистрация, автентикация, управление на абонамент, генериране на AI съдържание, изпращане на нотификации.
Обработка на плащания: чрез Stripe — за абонаменти и e-commerce поръчки.
Комуникация: отговори на запитвания, поддръжка, важни известия за услугата.
Аналитика: разбиране как клиентите ползват платформата за подобряване на услугата.
Маркетинг: само със ваше изрично съгласие — изпращане на новини, оферти.
Изпълнение на правни задължения: данъчно/счетоводно отчитане, отговор на запитвания на държавни органи.
Защита на интереси: предотвратяване на измами, правни спорове.

5. Правни основания (чл. 6 GDPR)

Основание	Приложимост
чл. 6(1)(b) GDPR — изпълнение на договор	Регистрация, абонамент, e-commerce поръчки, основни функционалности
чл. 6(1)(a) GDPR — съгласие	Маркетингови имейли, аналитични/маркетингови бисквитки
чл. 6(1)(c) GDPR — правно задължение	Счетоводна документация, фактуриране
чл. 6(1)(f) GDPR — легитимен интерес	Сигурност на платформата, предотвратяване на измами, основна аналитика без проследяване между сайтове

6. Срокове на съхранение

Тип данни	Срок	Основание
Активни акаунти	Докато акаунтът съществува + 30 дни grace period след прекратяване	Договорно
Финансови документи (фактури, плащания)	10 години	Закон за счетоводството (чл. 12)
Stripe payment records	До 7 години в Stripe (по техните условия)	Договорно/PCI-DSS
Сървърни логове	12 месеца	Сигурност (легитимен интерес)
Аналитика на менюта (анонимизирани)	26 месеца (GA4 retention)	Съгласие / легитимен интерес
Имейл кореспонденция (поддръжка)	3 години след последния контакт	Легитимен интерес
Consent логове (доказателство за съгласие)	3 години след оттегляне на съгласието	GDPR доказателствена тежест (чл. 7)
Маркетингова листа	До оттегляне на съгласието	Съгласие

7. Получатели и трансфери

Не продаваме лични данни. Споделяме данни само с обработващи (processors), които ни помагат да предоставим услугата:

Получател	Цел	Местоположение	Гаранции
Google LLC (Firebase, Cloud Functions, Gemini AI, OAuth)	Хостинг, удостоверяване, AI обработка	САЩ + EU регион	Standard Contractual Clauses (SCCs), Data Processing Addendum
Stripe Payments Europe Ltd.	Обработка на плащания	Ирландия + САЩ	PCI-DSS Level 1, SCCs
Resend Inc.	Изпращане на транзакционни имейли	САЩ	SCCs, DPA
Namecheap (Email Forwarding)	Бизнес имейл инфраструктура	САЩ	DPA
Google Analytics 4 / Google Tag Manager / Facebook Pixel	Маркетингова аналитика — само със съгласие	САЩ	SCCs; IP anonymization активна

Трансфери извън ЕИП се извършват въз основа на стандартни договорни клаузи (Standard Contractual Clauses), одобрени от Европейската комисия, и/или допълнителни технически мерки за защита.

8. Сигурност на данните

Прилагаме технически и организационни мерки за защита, включително:

Криптиране на данни при пренос (TLS 1.2+) и при съхранение (Firebase encryption-at-rest);
Хеширане на пароли с PBKDF2 (Firebase Auth стандарт);
Многофакторно удостоверяване за административни акаунти;
Принцип на минималния необходим достъп (least privilege);
Регулярни одити и обновяване на dependencies;
Логване на достъпа до чувствителна информация;
Процедури за реакция при инциденти със сигурността.

В случай на пробив в сигурността, водещ до висок риск за правата и свободите на субектите, ще ви уведомим в съответствие с чл. 33-34 GDPR в срок до 72 часа.

9. Вашите права по GDPR

В зависимост от обстоятелствата, имате следните права:

Право на достъп (чл. 15) — да получите копие на данните, които съхраняваме за вас;
Право на корекция (чл. 16) — да поискате коригиране на неточни данни;
Право на изтриване (чл. 17, „право да бъдеш забравен“) — при определени условия;
Право на ограничаване (чл. 18) — да ограничите обработката при оспорване;
Право на преносимост (чл. 20) — да получите данните си в структуриран машинно-четим формат (JSON);
Право на възражение (чл. 21) — срещу обработка на основание легитимен интерес;
Право да оттеглите съгласието си — по всяко време, без това да засяга законосъобразността на предходна обработка;
Право да не бъдете обект на автоматизирани решения (чл. 22) — ние не вземаме изцяло автоматизирани решения със значимо въздействие.

Как да упражните правата си:

Чрез интерфейса в OwnerView → Настройки → „Защита на данните“ (експорт и заявка за изтриване);
Чрез имейл до hello@lacarte.live с тема „GDPR заявка“.

Ще отговорим в срок до 30 дни. При сложни заявки можем да удължим срока с още 60 дни, като ще ви уведомим. Услугата е безплатна, освен при явно неоснователни или прекомерни заявки.

10. Бисквитки и подобни технологии

Платформата използва бисквитки и подобни технологии за функционалност, аналитика и маркетинг. Подробен списък, цели и срокове ще намерите в нашата Политика за бисквитки. Можете да управлявате съгласието си по всяко време чрез банера или линка „Управление на бисквитки“ във футера.

11. Данни на деца

Платформата е насочена към бизнес клиенти (търговци) и не е предназначена за лица под 18 години. Не събираме съзнателно данни на деца. Ако установим, че сме събрали такива, ще ги изтрием незабавно.

12. Промени в политиката

Можем периодично да актуализираме настоящата Политика. При съществени промени ще уведомим активните потребители по имейл или с известие в платформата поне 14 дни преди влизането в сила.

13. Подаване на жалба

Ако смятате, че обработката на данните ви нарушава GDPR, имате право да подадете жалба до:

Комисия за защита на личните данни (КЗЛД)
Адрес: гр. София 1592, бул. „Цветан Лазаров“ № 2
Имейл: kzld@cpdp.bg
Уебсайт: www.cpdp.bg

Преди да подадете жалба, ви насърчаваме да се свържете първо с нас, за да опитаме да разрешим въпроса.