Политика за поверителност

Настоящата политика описва как „Вюар 13“ ЕООД, ЕИК 207797465 („napster“, „ние“) обработва личните данни на потребителите на услугата napster.bg. Прилага Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни.

1. Какви данни обработваме

1.1. Данни за регистрация на търговеца

• Юридическо наименование, ЕИК, ДДС номер, седалище и адрес на управление.
• Име на МОЛ.
• Имейл на собственика и имейл на счетоводителя.
• Домейн на e-commerce магазина и идентификатори от съответната платформа.

Основание: чл. 6, ал. 1, б. „б“ GDPR (изпълнение на договор).

1.2. Данни за поръчките на крайните клиенти

• Уникален номер на поръчка, дата, артикули, цени, ДДС, начин на плащане.
• Имейл на крайния клиент — за изпращане на електронния бон.

Основание: чл. 6, ал. 1, б. „в“ GDPR (изпълнение на нормативно задължение — Наредба Н-18). napster действа като обработващ лични данни; администратор на тези данни е Търговецът.

1.3. Технически данни

• IP адрес, тип браузър — съхранява се в логове за 12 месеца за целите на сигурността и злоупотреба.
• HMAC подписи от webhook-ите на e-commerce платформите — проверявани, не съхранявани.

Основание: чл. 6, ал. 1, б. „е“ GDPR (легитимен интерес — защита на услугата).

2. Цели на обработката

• Доставка на услугата (генериране на бонове и месечни XML файлове).
• Изпращане на електронни касови бележки до крайните клиенти на Търговеца.
• Изпращане на месечни XML файлове на счетоводителя на Търговеца.
• Изпращане на оперативни известия (вход с magic link, напомняне на 14-то число, рекламни известия само със съгласие).
• Сигурност, превенция на злоупотреба, отстраняване на грешки.
• Изпълнение на нормативни задължения (5-годишен архив на бонове и XML по НАП).

3. Срокове за съхранение

• Бонове и одиторски XML файлове: 5 (пет) години след издаването — изискване на Наредба Н-18.
• Данни за регистрация на Търговеца: докато съществува акаунтът + 90 дни след прекратяването.
• Логове за сигурност: 12 месеца.
• Имейли за magic link: 15 минути (срок на валидност).

4. Подпроцесори

За доставка на услугата napster използва следните подпроцесори:

• Vercel Inc. (САЩ / Европа) — хостинг на приложението. Договор по чл. 28 GDPR, EU SCC.
• Supabase Inc. (ЕС, Ирландия) — база данни (Postgres) и съхранение на одиторски файлове.
• Resend Inc. (ЕС/САЩ) — изпращане на транзакционни имейли (бонове, magic links, месечни XML).
• Stripe Payments Europe Ltd. (ЕС, Ирландия) — обработка на плащания (само за платените планове).

Актуалният списък подпроцесори се поддържа тук. При смяна на подпроцесор Търговците се уведомяват по имейл най-малко 30 дни предварително.

5. Международни трансфери

Vercel и Stripe могат да пренасят данни извън ЕС/ЕИП. Във всички случаи се прилагат Стандартни договорни клаузи на Европейската комисия (EU SCC 2021/914) и/или решение за адекватност на ниво на защита.

6. Твоите права

Като субект на лични данни имаш право да:

• Получиш достъп до данните, които обработваме за теб.
• Поискаш корекция на неточни данни.
• Поискаш изтриване на данните си — с изключение на одиторския 5-годишен архив, който задължително се пази по закон.
• Поискаш преносимост на данните си в структуриран формат (JSON или CSV).
• Възразиш срещу обработка на основание легитимен интерес.
• Подадеш жалба пред Комисията за защита на личните данни (КЗЛД).

За упражняване на правата: privacy@napster.bg. Отговаряме в 30-дневен срок.

7. Сигурност

• TLS 1.2+ за всички връзки.
• Шифроване на базата данни at rest.
• Сесии в dashboard-а с SHA-256 хеширани токени, валидни 30 дни.
• Magic links с 15-минутен срок и еднократна употреба.
• Role-based access control на ниво база данни (Supabase RLS).

8. Контакт

Въпроси: privacy@napster.bg.
Жалби пред регулатора: Комисия за защита на личните данни, гр. София, бул. „Цветан Лазаров“ № 2.