Privacy Policy

This Privacy Policy explains how Trufflepoint — the Bulgarian truffle marketplace — collects, uses and protects your personal data, what your rights are under GDPR, and how to contact us with any privacy questions.

Last Updated: April 17, 2026
Effective Date: April 17, 2026

Политика за поверителност


Последна актуализация: 18 април 2026 г.


1. Администратор на лични данни


Администратор на личните данни е Trufflepoint (по-долу "ние", "нас", "нашата платформа").


  • Уебсайт: trufflepoint.com
  • Електронна поща за контакт: [email protected]

Ние обработваме Вашите лични данни в съответствие с Регламент (ЕС) 2016/679 (GDPR), Закона за защита на личните данни (ЗЗЛД) на Република България и Закона за електронните съобщения (ЗЕС).


2. Какви лични данни събираме


2.1. Данни, предоставени от Вас при регистрация

  • Потребителско име, име и фамилия
  • Електронна поща (имейл адрес)
  • Телефонен номер
  • Парола (съхранявана само в криптиран вид чрез BCrypt)

2.2. Данни, предоставени при поръчка

  • Адрес за доставка (адрес, град, област, пощенски код, държава)
  • Имена на получателя, имейл и телефон за връзка
  • Данни за плащане (обработвани изцяло от Stripe -- ние НЕ съхраняваме номера на карти)

2.3. Данни, събирани автоматично

  • IP адрес (за сигурност и предотвратяване на злоупотреби)
  • Данни за сесията (SessionId) -- необходими за функционирането на сайта
  • Дата и час на последно влизане в акаунта
  • Информация за браузъра и устройството (User-Agent) -- за одитен дневник

2.4. Данни от комуникация

  • Съобщения в чата между Купувачи и Продавачи
  • Съобщения в интерпретациите (inquiry chat) между Купувачи и Продавачи за конкретни продукти
  • Оценки и коментари за Продавачи и Купувачи

3. Правно основание за обработка


Обработваме личните Ви данни на следните правни основания (чл. 6, пар. 1 от GDPR):


| Цел | Правно основание |

|-----|-----------------|

| Регистрация и управление на акаунт | Договор (чл. 6(1)(б)) |

| Обработка на поръчки и плащания | Договор (чл. 6(1)(б)) |

| Комуникация между Купувачи и Продавачи (чат) | Договор (чл. 6(1)(б)) |

| Интерпретация (inquiry chat) -- събиране на съобщения за одит, спорове и съответствие с GDPR | Легитимен интерес (чл. 6(1)(е)) и Съответствие със законодателството |

| Защита от измами, бот-атаки и злоупотреби | Легитимен интерес (чл. 6(1)(е)) |

| Одитен дневник (audit log) | Легитимен интерес (чл. 6(1)(е)) |

| Изпращане на транзакционни имейли (потвърждение на поръчка и др.) | Договор (чл. 6(1)(б)) |

| Бисквитки за функциониране на сайта | Легитимен интерес (чл. 6(1)(е)) |

| Аналитични и маркетингови бисквитки | Съгласие (чл. 6(1)(а)) |


4. С кого споделяме Вашите данни


Ние предоставяме лични данни на следните трети страни (обработващи данни):


  • Stripe, Inc. -- обработка на плащания (данни за транзакции). Stripe е сертифициран по PCI DSS Level 1. Политика за поверителност: https://stripe.com/privacy
  • Resend, Inc. -- изпращане на транзакционни имейли (имейл адрес на получателя). Политика за поверителност: https://resend.com/legal/privacy-policy
  • Cloudflare, Inc. -- DNS и CDN услуги (IP адрес, данни за заявки). Политика за поверителност: https://www.cloudflare.com/privacypolicy/
  • Хостинг доставчик -- сървърна инфраструктура, на която се съхраняват данните

С всеки от горните доставчици имаме сключено Споразумение за обработка на данни (DPA) съгласно чл. 28 от GDPR.


Ние НЕ продаваме и НЕ споделяме Вашите лични данни за маркетингови цели на трети страни.


5. Трансфер на данни извън ЕИП


Stripe, Inc. и Resend, Inc. са базирани в САЩ. Трансферът на данни се осъществява при спазване на Стандартните договорни клаузи (SCC) съгласно Решение за изпълнение (ЕС) 2021/914 на Европейската комисия и/или въз основа на EU-U.S. Data Privacy Framework. Cloudflare обработва данни в рамките на своята глобална мрежа при спазване на SCC. Всички основни данни се съхраняват на сървъри в рамките на Европейското икономическо пространство (ЕИП).


6. Срокове за съхранение на данни


| Категория данни | Срок на съхранение |

|----------------|-------------------|

| Данни за потребителски акаунт | До поискване на изтриване от потребителя |

| Данни за поръчки и фактури | 5 години след годината на поръчката (Закон за счетоводството, чл. 12; ЗДДС, чл. 121) |

| Съобщения в интерпретациите (inquiry chat) | 5 години (за юридически и одит цели, в съответствие с GDPR и българското законодателство) |

| Одитен дневник (audit log) | 3 години |

| Чат съобщения | До поискване на изтриване или изтриване на акаунта |

| IP адреси в журнал за сигурност | 6 месеца |

| Оценки и коментари | До поискване на изтриване или анонимизиране |


7. Вашите права


Съгласно GDPR и ЗЗЛД, Вие имате следните права:


7.1. Право на достъп (чл. 15 GDPR)

Имате право да поискате информация за личните данни, които обработваме за Вас.


7.2. Право на коригиране (чл. 16 GDPR)

Можете да коригирате Вашите данни по всяко време от страницата "Настройки" на Вашия акаунт.


7.3. Право на изтриване ("право да бъдеш забравен") (чл. 17 GDPR)

Можете да поискате изтриване на Вашия акаунт и лични данни от страницата "Настройки". След заявката:

  • Акаунтът Ви ще бъде деактивиран незабавно
  • Личните Ви данни ще бъдат окончателно изтрити след 30-дневен гратисен период (в който можете да отмените заявката)
  • Данни, необходими за данъчни и счетоводни цели (поръчки, фактури), ще бъдат анонимизирани, но запазени за законоустановения срок от 5 години

7.4. Право на преносимост на данни (чл. 20 GDPR)

Можете да изтеглите Вашите лични данни в машинночетим формат (JSON) от страницата "Настройки" -> "Изтегляне на данни".


7.5. Право на ограничаване на обработката (чл. 18 GDPR)

Имате право да поискате ограничаване на обработката на Вашите данни при определени обстоятелства.


7.6. Право на възражение (чл. 21 GDPR)

Имате право да възразите срещу обработката на Вашите данни, когато тя се основава на легитимен интерес.


7.7. Право на оттегляне на съгласие

Когато обработката се основава на Вашето съгласие, можете да го оттеглите по всяко време, без това да засяга законосъобразността на обработката преди оттеглянето.


7.8. Право на жалба до надзорен орган

Имате право да подадете жалба до:


Комисия за защита на личните данни (КЗЛД)

Адрес: бул. "Проф. Цветан Лазаров" No 2, 1592 София

Уебсайт: https://www.cpdp.bg

Телефон: +359 2 915 3518

Имейл: [email protected]


8. Интерпретация (Inquiry) -- Събиране и съхранение на съобщения


8.1. Собственост и контрол на съобщенията

Всички съобщения, изпратени чрез функцията за интерпретация (inquiry chat), са собственост на Платформата и служат както на Потребителите, така и на целите на Администрацията за одит и съответствие със законодателството.


8.2. Юридически основание за събиране

Събирането на съобщенията от интерпретациите се извършва в следните целях:

  • Разрешаване на спорове между Купувачи и Продавачи
  • Предотвратяване на незаконни действия и нарушения на Общите условия
  • Съответствие с GDPR и законодателството на Република България
  • Одит на Платформата и нейното функциониране
  • Защита на права и интереси на потребителите

8.3. Достъп до архивирани съобщения

  • Администраторите имат право да прегледат съобщения при разследване на оплаквания, спорове или нарушения
  • Потребителите могат да поискат копие на своите интерпретационни съобщения чрез страницата "Настройки" -> "Изтегляне на данни"
  • Съобщенията се съхраняват в защитена среда и е достъпна само на оторизиран персонал

9. Бисквитки (Cookies)


Подробна информация за бисквитките, които използваме, можете да намерите в нашата [Политика за бисквитки](/Home/CookiePolicy).


Кратко резюме:

  • Задължителни бисквитки: сесийна бисквитка, бисквитка за удостоверяване, езикова предпочитание -- необходими за функционирането на сайта
  • Аналитични бисквитки: използваме ги само с Вашето изрично съгласие

10. Защита на личните данни


Прилагаме следните мерки за защита:

  • Криптиране на пароли чрез BCrypt
  • HTTPS (TLS) криптиране на всички връзки
  • Защита от CSRF атаки (Anti-Forgery Token)
  • Ограничаване на броя заявки (Rate Limiting)
  • Засичане и блокиране на ботове
  • Одитен дневник за всички административни действия
  • Ограничен достъп до лични данни (роли и разрешения)
  • Cloudflare DDoS защита и WAF

11. Процедура при нарушение на сигурността на данните


В случай на нарушение на сигурността на личните данни:

  • Ще уведомим КЗЛД в рамките на 72 часа съгласно чл. 33 от GDPR
  • Ако нарушението създава висок риск за Вашите права и свободи, ще Ви уведомим незабавно съгласно чл. 34 от GDPR
  • Вътрешната ни процедура включва: идентифициране на нарушението, оценка на риска, ограничаване на последствията и документиране

12. Деца и непълнолетни


Нашата платформа не е предназначена за лица под 14 години. Не събираме съзнателно лични данни от деца под 14 години. Ако установим, че сме събрали данни на лице под 14 години без съгласие на родител/настойник, ще ги изтрием незабавно. Лица на възраст между 14 и 18 години могат да използват платформата само със съгласието на родител или настойник, съгласно чл. 25а от ЗЗЛД.


13. Промени в политиката за поверителност


Запазваме правото да актуализираме тази политика. При съществени промени ще Ви уведомим чрез имейл или чрез известие на сайта. Датата на последна актуализация е посочена в началото на документа.


14. Контакт


За въпроси относно тази политика или за упражняване на Вашите права, моля свържете се с нас:


  • Имейл: [email protected]
  • Чрез чат функцията на нашия сайт (за регистрирани потребители)

Related documents: Terms of Service · Cookie Policy · Home · Truffles