GDPR · Поверителност

Политика за поверителност

Последна актуализация: 28 май 2026 г.  ·  Влиза в сила от: 28 май 2026 г.

Настоящата политика описва как ДиДжи Стор ЕООД събира, обработва и защитава личните Ви данни при използване на платформата VendingTrack. Спазваме Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни.

1. Администратор на лични данни

ДиДжи Стор ЕООД
ЕИК: 207177934
Седалище: гр. Варна, ж.к. Чайка, бл. 186, ет. 4, ап. 20, България
Имейл: privacy@vendingtrack.com

За въпроси, свързани с обработката на лични данни, можете да се свържете с нас на посочения имейл адрес.

2. Категории лични данни, които събираме

2.1 Данни за регистрация и акаунт

  • Пълно име
  • Имейл адрес
  • Парола (съхранявана в криптиран вид с bcrypt алгоритъм)
  • Наименование на фирмата
  • Роля в системата (собственик / мениджър / служител)
  • Дата и час на регистрация

2.2 Данни за активност на служителите

  • Кой служител е обслужил коя машина и кога (дата и час)
  • Инкасирани суми (банкноти, монети, карта) по служител
  • Заредени и отписани количества продукти
  • История на редакциите — кой, кога и какви данни е изменил

2.3 Локационни данни

  • Физически адрес на вендинг машините
  • GPS координати на машините (географска ширина и дължина)
  • Местоположение на мобилното устройство — събира се само при изграждане на маршрут, временно и не се съхранява в базата данни

2.4 Технически данни

  • IP адрес (записван в сървърни логове, не се съхранява трайно)
  • Токен за удостоверяване (съхраняван локално на устройството)

2.5 Финансови и оперативни данни

  • Приходи от машини (суми по периоди)
  • Покупни цени и себестойност на продукти
  • Складови наличности и история на покупките
  • Абонаментен план и конфигурация на ценообразуване

3. Цели и правно основание за обработка

Цел на обработката Правно основание
Предоставяне на услугата (управление на машини, сесии, складове) Изпълнение на договор (чл. 6(1)(б) GDPR)
Регистрация и управление на акаунт Изпълнение на договор (чл. 6(1)(б) GDPR)
Ползване на местоположение за маршрут Съгласие (чл. 6(1)(а) GDPR) — може да се оттегли
Одитна следа и история на редакциите Законен интерес (чл. 6(1)(е) GDPR) — прозрачност и отчетност
Статистики и анализи за бизнеса Законен интерес (чл. 6(1)(е) GDPR)
Сигурност и защита от злоупотреби Законен интерес (чл. 6(1)(е) GDPR)
Спазване на законови задължения Законово задължение (чл. 6(1)(в) GDPR)

4. Трети страни, с които споделяме данни

4.1 Google Maps

Адресите на машините и GPS координатите се изпращат до Google LLC за геокодиране (превод на адрес в координати) и изграждане на маршрути. Google обработва тези данни съгласно собствената си политика за поверителност.

При изграждане на маршрут текущото местоположение на устройството се предава на Google Directions API. Тези данни не се съхраняват от нас.

4.2 Stripe

При платен абонамент (Pro план) плащанията се обработват от Stripe, Inc. — доставчик на платежни услуги, базиран в САЩ. Stripe обработва данни за платежна карта и фактуриране съгласно собствената си политика за поверителност и стандарта PCI DSS. Ние не съхраняваме данни за платежни карти.

4.3 Resend

Трансакционните имейли (покани за служители, нулиране на парола, системни известия) се изпращат чрез Resend, Inc. Resend обработва имейл адресите само за целите на доставката на съобщенията.

4.4 Хостинг и инфраструктура

Данните се съхраняват в облачна MongoDB база данни. Доставчикът на хостинг услуги действа като обработващ данните въз основа на сключен договор за обработка на данни.

Не продаваме, наемаме или предоставяме лични данни на трети страни за маркетингови цели.

5. Международен трансфер на данни

Услугите на Google Maps, Stripe и Resend са базирани в САЩ. Трансферът на данни към тези доставчици се осъществява въз основа на Стандартни договорни клаузи, одобрени от Европейската комисия, или на решения за адекватност.

6. Срок на съхранение на данните

Категория данни Срок на съхранение
Данни за акаунт (потребителски профил) До прекратяване на акаунта + 30 дни
Сервизни сесии и финансови записи 5 години (законово изискване за счетоводни документи)
История на редакции (одитна следа) 5 години
Местоположение на устройство при маршрут Не се съхранява (само за текущата сесия)
IP адреси в сървърни логове До 30 дни

7. Права на субектите на данни

В съответствие с GDPR имате следните права:

Право на достъп
Можете да поискате копие от личните данни, които съхраняваме за Вас.
Право на коригиране
Можете да поискате коригиране на неточни или непълни данни.
Право на изтриване
Можете да поискате изтриване на данните Ви, освен когато обработката е необходима по закон.
Право на ограничаване
Можете да поискате ограничаване на обработката при определени обстоятелства.
Право на преносимост
Можете да получите данните си в машинночетим формат.
Право на възражение
Можете да възразите срещу обработка, основана на законен интерес.
Оттегляне на съгласие
Можете по всяко време да оттеглите съгласието си за ползване на местоположение.
Право на жалба
Можете да подадете жалба до КЗЛД (Комисия за защита на личните данни).

За упражняване на правата си изпратете заявка на: privacy@vendingtrack.com. Ще отговорим в срок от 30 дни.

Надзорен орган в България: Комисия за защита на личните данни (КЗЛД), гр. София, бул. „Проф. Цветан Лазаров" № 2, тел. 02/91-53-518, www.cpdp.bg

8. Мерки за сигурност

Прилагаме следните технически и организационни мерки за защита на данните:

  • Криптиране на пароли — bcrypt алгоритъм (индустриален стандарт)
  • HTTPS/TLS — всички данни се предават по криптирана връзка
  • Токени за удостоверяване — кратък живот (7 дни), без съхранение на сървъра
  • Защитни HTTP заглавия — предпазват от Cross-Site Scripting и подобни атаки
  • Ограничение на опитите за вход — 10 опита на 15 минути
  • Изолация на данните — всяка компания вижда само своите данни
  • Ролеви достъп — служителите имат достъп само до назначените им машини

При установяване на нарушение на сигурността на данните ще уведомим засегнатите лица и КЗЛД в законово установения срок от 72 часа.

9. Локално съхранение

VendingTrack не използва бисквитки (cookies) за проследяване или маркетинг.

В мобилното приложение използваме локалното хранилище на устройството единствено за съхранение на:

  • Токен за удостоверяване
  • Основни данни за профила (имe, имейл, роля) за офлайн достъп

Тези данни се изтриват автоматично при изход от профила.

10. Деца

Услугата VendingTrack е предназначена изключително за бизнес употреба от лица над 18 години. Не събираме съзнателно данни за деца под 16 години.

11. Промени в Политиката за поверителност

При съществени промени ще уведомим регистрираните потребители по имейл минимум 14 дни преди влизането им в сила. Актуалната версия е винаги достъпна на vendingtrack.com/privacy.html.

12. Контакт

ДиДжи Стор ЕООД
Отговорник по защита на данните
Имейл: privacy@vendingtrack.com
Адрес: гр. Варна, ж.к. Чайка, бл. 186, ет. 4, ап. 20