Политика за поверителност

Последна актуализация: 21 май 2026 г.

⚠️ Преглежда се от юрист. Това е работна версия на политиката за поверителност. Преди официално стартиране ще бъде прегледана от лицензиран адвокат за съответствие с GDPR (Регламент (ЕС) 2016/679), ЗЗЛД и българското законодателство.

📋 Съдържание

Накратко
Кой е администраторът на данни
Какви данни събираме
Защо ги събираме (цели и правно основание)
С кого ги споделяме
Колко дълго ги пазим
Бисквитки (cookies) и проследяване
Твоите права
Сигурност на данните
Деца под 16 г.
Промени в тази политика
Контакт

1. Накратко

Alex Finance е образователна платформа за финансова грамотност. Събираме минимума данни, нужен за да ти доставим услугата:

Имейл — за вход и възстановяване на достъп
Прогрес в обучението — за да помним кои уроци си завършил
Анонимна аналитика — за да подобряваме платформата

Не продаваме данни на трети страни. Не правим целево рекламно профилиране. Имаш право да видиш, поправиш или изтриеш всичко, което имаме за теб — по всяко време.

2. Кой е администраторът на данни

Alex Finance

Имейл за въпроси относно данните: privacy@alex-finance.com

(Юридическа форма + адрес + ЕИК ще бъдат добавени при формалното регистриране на дружеството преди официалния launch.)

3. Какви данни събираме

Данни, които ти ни даваш доброволно

Имейл адрес — при регистрация и вход
Име (по избор) — от Google OAuth, ако ползваш Google login
Снимка (по избор) — от Google OAuth
Цел в инвестирането — избор от 6 опции при онбординг (напр. „победи инфлацията")
Отговори в уроци и упражнения — твоите избори в симулациите, отговори в quiz-овете
Финансов профил (по избор) — самооценка на риск толерантност, инвеститорски тип, цели

Данни, които генерираме автоматично

Прогрес в обучението — кои модули си завършил, кога, какъв резултат
XP и постижения — gamification напредък
Streak (поредни дни) — за мотивация
Времеви маркери — кога си посетил конкретна страница (за персонализиране на съдържанието)

Технически данни

IP адрес — за защита от злоупотреби, не за идентификация
User-Agent — типа браузър, за съвместимост
Регион/език — БГ по подразбиране

Данни, които НЕ събираме

❌ Финансови сметки, банкови данни, кредитни карти
❌ Точна локация (GPS координати)
❌ Социални медии профили (освен ако сам ги свържеш)
❌ Данни за здравословно състояние
❌ Биометрични данни

4. Защо ги събираме (цели и правно основание)

Обработваме данните ти на следните правни основания (Чл. 6, Регламент (ЕС) 2016/679):

а) Изпълнение на договор (Чл. 6, ал. 1, б. „б")

За да ти доставим образователната услуга — да помним кой си, какво си учил, и да ти показваме персонализирано съдържание.

б) Легитимен интерес (Чл. 6, ал. 1, б. „е")

За да защитим платформата от злоупотреби (rate limiting, защита от ботове), да анализираме как се ползва (анонимна агрегирана статистика), и да я подобряваме.

в) Съгласие (Чл. 6, ал. 1, б. „а")

За маркетингови имейли (седмичен бюлетин), бисквитки за маркетинг (ако активираш analytics в cookie banner-а). Можеш да оттеглиш съгласието си по всяко време.

г) Законово задължение (Чл. 6, ал. 1, б. „в")

За съхранение на счетоводни данни (ако извършиш плащане — данъчно законодателство).

5. С кого ги споделяме

Използваме следните доставчици като обработващи лични данни (Чл. 28, GDPR). Те имат правен ангажимент да защитават данните ти:

Доставчик	За какво	Регион
Supabase	Auth + база данни	ЕС (Франкфурт)
Render	Хостинг на приложението	ЕС (Франкфурт)
Google	OAuth login (само ако избереш Google вход)	САЩ (адекватно решение по DPF)
Anthropic (Claude)	AI асистент Алекс (само текста, който му пращаш)	САЩ (DPF)
Resend	Доставка на имейли (waitlist, седмичен бюлетин)	ЕС
Google Analytics 4	Анонимна аналитика (само със съгласие)	САЩ (DPF)

Прехвърляне извън ЕС: някои доставчици са в САЩ. Те участват в EU-US Data Privacy Framework (DPF) — адекватно ниво на защита по решение на Европейската комисия от юли 2023 г.

Не продаваме данни. Не предоставяме данни на брокери на данни, рекламни мрежи или трети страни за маркетингови цели.

6. Колко дълго ги пазим

Активен акаунт — докато имаш активен профил
Неактивен акаунт (без вход > 24 месеца) — изпращаме предупредителен имейл и изтриваме акаунта 30 дни по-късно, ако не реагираш
Изтрит акаунт — данните се изтриват в рамките на 30 дни
Резервни копия — могат да задържат данни до 90 дни допълнително (стандартни backup цикли)
Счетоводни данни (ако извършиш плащане) — 10 години (Закон за счетоводството)
Логове за сигурност — 12 месеца

7. Бисквитки (cookies) и проследяване

Използваме 3 категории бисквитки:

Задължителни бисquittки

Нужни за работата на платформата (вход, сесия, защита). Без тях платформата не работи. Не изискват съгласие по GDPR.

alex-academy-auth — Supabase сесия (изтича след 24 ч.)
__clerk_* — Clerk auth (при ползване на /app)
alex_completed_* — твой прогрес в обучението (localStorage)
alex_streak_v2 — streak (поредни дни)

Аналитични бисквитки (само със съгласие)

За да разберем как се ползва платформата и да я подобряваме.

Google Analytics 4 (_ga, _gid) — анонимна агрегирана статистика

Маркетингови бисквитки

Не използваме. Никакви рекламни тракери, retargeting, ad networks.

Можеш да управляваш съгласието си през cookie banner-а или в настройките на браузъра.

8. Твоите права по GDPR

Имаш следните права (Чл. 15-22, GDPR):

Право на достъп — да поискаш копие на всички твои данни (Чл. 15)
Право на корекция — ако данните са грешни (Чл. 16)
Право да бъдеш забравен — изтриване на акаунта и всички данни (Чл. 17)
Право на ограничаване — да спрем обработката, без да изтриваме (Чл. 18)
Право на преносимост — да получиш данните в машинно-четим формат (Чл. 20)
Право на възражение — срещу обработка на легитимен интерес (Чл. 21)
Право да оттеглиш съгласие — по всяко време, без последствия
Право на жалба — пред Комисията за защита на личните данни (КЗЛД)

Как да упражниш правата си

Имейл до privacy@alex-finance.com с описание на правото, което искаш да упражниш.

Или директно в платформата:

Изтегляне на данни → /platform/profile → „Изтегли данните си"
Изтриване на акаунт → /platform/profile → „Изтрий акаунта" (необратимо)

Отговаряме в рамките на 30 дни (Чл. 12, ал. 3, GDPR).

Жалба до надзорен орган

Имаш право да подадеш жалба до Комисия за защита на личните данни (КЗЛД):

📍 София, бул. „Цветан Лазаров" 2

📧 kzld@cpdp.bg

🌐 www.cpdp.bg

9. Сигурност на данните

Прилагаме технически и организационни мерки за защита:

🔒 HTTPS/TLS навсякъде — данните са криптирани при предаване
🔐 Криптиране в покой — Supabase и Render шифроват дисковите данни
🔑 Хеширани пароли — никога не пазим пароли в plaintext (използваме Supabase Auth + Clerk)
👤 Принцип на минималния достъп — само нужните за работата хора имат достъп до production данни
🛡️ Rate limiting — защита от brute force и DDoS
📝 Audit logs — записваме критични действия (вход, изтриване)

В случай на пробив в сигурността ще уведомим засегнатите потребители и КЗЛД в рамките на 72 часа (Чл. 33, GDPR).

10. Деца под 16 г.

Платформата е предназначена за лица над 16 г. Не събираме целево данни от деца. Ако установим, че сме обработили данни на дете без съгласие на родител/настойник, изтриваме ги незабавно.

Ако си родител и считаш, че твоето дете е създало акаунт без съгласие — пиши на privacy@alex-finance.com и ще изтрием акаунта в рамките на 7 дни.

11. Промени в тази политика

Можем да актуализираме политиката, когато:

Добавим нов доставчик/функционалност
Има промяна в законодателството
Подобрим практиките за защита

Ще те уведомим за съществени промени по имейл (поне 14 дни предварително). Дребни редакции (правописни, пояснения) се правят без уведомление, но датата на актуализация се обновява.

12. Контакт

За въпроси, заявки или жалби относно личните ти данни:

📧 Имейл: privacy@alex-finance.com

Отговаряме в рамките на 30 дни (обикновено до 5 работни дни).