Правни
Политика за поверителност на Котва
В сила от: 11.01.2026
1. Администратор
ГББГ13 ЕООД, ЕИК 207188441, адрес Видин, Антимово 3776, ул. Трета №32, имейл за въпроси относно данни: burnout@lpvnhealth.com.
2. Какви данни обработваме
| Категория | Примери | Чувствителност |
|---|---|---|
| Акаунт | имейл, парола (хеширана), език | обикновени |
| Плащане | сума, дата, последни 4 цифри на карта (при Stripe) | обикновени; картовите данни се обработват само от Stripe |
| Здравни данни | отговори и резултати от въпросници (BA-7D, PSS-10, WHO-5, PHQ-9, GAD-7 и др.), записи в дневника, гласови записи и транскрипциите им, разговори с AI асистента, прогрес в програмата | специална категория (чл. 9 GDPR) |
| Технически | IP адрес, тип устройство, логове за сигурност | обикновени |
| Бисквитки | вж. Политика за бисквитки | зависи от вида |
3. Цели и правни основания
| Цел | Основание |
|---|---|
| Предоставяне на програмата, акаунт, синхронизация | договор (чл. 6.1.б) |
| Обработка на въпросници, дневници, AI разговори, персонален път | изрично съгласие (чл. 9.2.а) — давате го отделно, преди първия тест/разговор; можете да го оттеглите по всяко време |
| Показване на кризисни ресурси при определени сигнали | изрично съгласие (чл. 9.2.а) |
| Плащания и счетоводство | договор + законово задължение (чл. 6.1.б, в) |
| Сигурност, предотвратяване на злоупотреби | легитимен интерес (чл. 6.1.е) |
| Имейли за продукта (актуализации) | договор; маркетинг — само с отделно съгласие |
Важно: персоналният път в програмата се определя автоматизирано въз основа на вашите отговори (профилиране). Това не поражда правни последици за вас и можете по всяко време да поискате човешки преглед или да смените пътя ръчно.
4. Кой има достъп до данните (обработващи)
- myPOS, Stripe — плащания
- Anthropic (Claude API) — обработка на разговорите с AI асистента; разговорите не се използват за обучение на модели
- [hosting доставчик + локация] — хостинг/инфраструктура
- [имейл доставчик] — изпращане на имейли
- Meta (Pixel + Conversions API), Microsoft Clarity — измерване и анализ на ползването (бисквитки)
С всички обработващи има договори по чл. 28 GDPR. При доставчици извън ЕИП (САЩ) трансферът се основава на подходящи гаранции по GDPR (напр. EU-U.S. Data Privacy Framework или стандартни договорни клаузи).
Не продаваме данни. Не споделяме съдържанието на дневниците и тестовете ви с рекламни платформи.
5. Срокове на съхранение
- Данни за акаунта и програмата: докато акаунтът е активен; изтриване до 30 дни след заявка за изтриване.
- Гласови записи: пазим транскрипцията; самият аудиозапис се изтрива до [X] дни след обработка.
- Счетоводни документи: законовите срокове (до 10 г. по ДОПК/ЗСч).
- Логове за сигурност: 12 месеца.
6. Вашите права
Достъп, коригиране, изтриване („да изтрия всичко" е достъпно и като бутон в настройките), ограничаване, преносимост (експорт в машинночетим формат), възражение, оттегляне на съгласие (без да засяга законосъобразността преди оттеглянето), жалба до Комисия за защита на личните данни (cpdp.bg, бул. „Проф. Цветан Лазаров" 2, София). Отговаряме в срок до 1 месец.
Оттеглянето на съгласието за здравни данни означава, че основните функции на програмата (тестове, асистент, дневник) спират да работят за вас; достъпът до книжното съдържание се запазва.
7. Сигурност
Прилагаме криптиране при пренос (TLS) и при съхранение, хеширане на паролите, контрол на достъпа на принципа на най-малката нужда, псевдонимизация където е възможно и регулярни резервни копия. Достъпът до здравни данни е ограничен до строго необходимото за предоставяне на услугата.
8. Деца
Услугата не е предназначена за лица под 18 години и не събираме съзнателно техни данни.