Политика за поверителност
Lex Alert / Лекс Алерт
Последна актуализация: 22 февруари 2026 г.
1. Въведение
Настоящата Политика за поверителност описва как Lex Alert („Платформата”) събира, използва, съхранява и защитава личните данни на потребителите при използване на услугата, достъпна на:
Платформата представлява онлайн система за автоматично наблюдение на публикации в Държавен вестник и изпращане на персонализирани известия.
Политиката е изготвена съгласно:
- Регламент (ЕС) 2016/679 (GDPR)
- Закона за защита на личните данни
- ePrivacy правилата относно бисквитките
- Google API Services User Data Policy
2. Администратор на лични данни
Администратор на лични данни:
- Администратор: Lex Alert — платформа, управлявана от физическо лице по смисъла на GDPR, чл. 4(7)
- Имейл: [email protected]
GDPR контакт: [email protected]
(наричан по-долу „Администраторът”)
3. Видове лични данни
3.1 Данни за акаунт и идентификация
При регистрация обработваме:
- имейл адрес
- име (по избор)
- криптирана парола (bcrypt хеш)
Вход чрез Google OAuth
При избор на вход чрез Google се получават:
- имейл адрес
- име
- профилна снимка
- Google потребителски идентификатор
Данните се използват единствено за автентикация.
Платформата използва само базови OAuth обхвати (email, profile).
Данните:
- не се продават
- не се използват за реклама
- не се използват за профилиране
- не се използват за кредитна оценка
3.2 Данни за фактуриране и плащания
Плащанията се обработват чрез Stripe, Inc.
Обработваме само:
- клиентски идентификатор в Stripe
- абонаментен план
- статус на плащане
- платежен цикъл
Платформата не съхранява данни за банкови карти.
3.3 Данни, генерирани от потребителя
Платформата съхранява:
- правила за известия (ключови думи, институции и конфигурации)
- предпочитания за известия
- съгласие за маркетингови имейли
- отбелязани публикации
- статус на прочитане
- webhook URL и webhook тайна (при Професионален план)
Webhook известията съдържат само публични данни от Държавен вестник, не лични данни на други потребители.
3.4 Технически и автоматично събирани данни
При използване на услугата могат да се обработват:
- IP адрес (одитни журнали)
- идентификатор на сесия
- JWT токени за автентикация
- действия в системата с цел сигурност
Следните данни се съхраняват само локално в браузъра и не се изпращат към сървъра:
- сесиен токен за автентикация (localStorage)
- езикови предпочитания (localStorage)
- светла/тъмна тема (localStorage)
- завършване на въвеждащия процес и обиколката (localStorage)
- филтри, странициране и състояние на навигацията (sessionStorage — изчистват се при затваряне на раздела)
3.5 Аналитични данни (само начална страница)
Аналитика се използва само на публичната начална страница, не и в потребителския панел.
Използвани услуги:
- Google Analytics 4 от Google LLC (чрез Google Tag Manager)
- Microsoft Clarity от Microsoft Corporation
Активират се само след изрично съгласие чрез банер за бисквитки с Google Consent Mode v2.
По подразбиране всички аналитични бисквитки са деактивирани.
3.6 Данни, които НЕ се събират
Платформата не събира:
- здравни данни
- биометрични данни
- GPS или локационни данни
- телефонни номера
- данни за деца
- специални категории лични данни по чл. 9 от GDPR
Минимална възраст за използване: 18 години.
4. Цели и правни основания
| Цел | Основание |
|---|---|
| Регистрация и вход | чл. 6(1)(б) от GDPR – договор |
| Предоставяне на известия | чл. 6(1)(б) от GDPR |
| Управление на абонаменти | чл. 6(1)(б) от GDPR |
| Webhook доставка | чл. 6(1)(б) от GDPR |
| Сигурност и одит | чл. 6(1)(е) от GDPR – легитимен интерес |
| Аналитика | чл. 6(1)(а) от GDPR – съгласие |
| Маркетингови имейли | чл. 6(1)(а) от GDPR – съгласие |
| Законови задължения | чл. 6(1)(в) от GDPR |
5. Бисквитки
5.1 Необходими бисквитки и локално съхранение
Използват се за:
- съхранение на съгласие за бисквитки
| Име | Цел | Срок |
|---|---|---|
| cc_cookie | съгласие за бисквитки | 1 година |
5.2 Аналитични бисквитки (по избор)
| Услуга | Бисквитки | Срок |
|---|---|---|
| Google Analytics | _ga, ga* | до 2 години |
| Microsoft Clarity | _clck, _clsk | сесия |
Не се използват рекламни бисквитки.
6. Получатели на данни (Подизпълнители)
| Доставчик | Цел | Местоположение |
|---|---|---|
| Supabase, Inc. | хостинг и база данни | AWS eu-central-1 (Германия) |
| Stripe, Inc. | плащания | ЕС/САЩ |
| Resend (Loops, Inc.) | транзакционни имейли | САЩ |
| Google LLC | OAuth + аналитика | ЕС/САЩ |
| Microsoft Corporation | Clarity | ЕС/САЩ |
| Anthropic, PBC | AI обработка на публични текстове | САЩ |
Anthropic, PBC получава само публични правителствени публикации, не лични данни.
Платформата:
- не продава лични данни
- не споделя данни с рекламни мрежи
- не използва посредници за данни
7. Международни трансфери
При трансфери извън ЕИП се прилагат:
- Стандартни договорни клаузи (СДК)
- допълнителни технически мерки
- криптиране при пренос и съхранение
8. Срокове за съхранение
| Данни | Срок |
|---|---|
| Данни за акаунт | до изтриване |
| Одитни журнали | автоматично изчистване |
| Фактурни записи | съгласно закона |
| Аналитични данни | според Google LLC / Microsoft Corporation |
9. Сигурност
Прилагат се технически и организационни мерки, включително:
- HTTPS/TLS криптиране
- криптиране в покой
- Row Level Security (RLS)
- bcrypt хеширане на пароли
- HMAC-SHA256 webhook подписване
- CORS защита
- Content Security Policy
- управление на сесии и ротация на токени
- маскиране на чувствителни данни в логове
10. Права на субектите на данни
Потребителите имат право на:
- достъп (чл. 15 от GDPR)
- коригиране (чл. 16 от GDPR)
- изтриване (чл. 17 от GDPR)
- ограничаване (чл. 18 от GDPR)
- преносимост (чл. 20 от GDPR)
- възражение (чл. 21 от GDPR)
- оттегляне на съгласие (чл. 7 от GDPR)
Част от тези функции са достъпни директно през настройките на акаунта.
Заявки: [email protected]
11. Автоматизирано вземане на решения
Платформата не извършва профилиране или автоматизирани решения по чл. 22 от GDPR.
12. Данни на деца
Услугата е професионален инструмент и не е предназначена за лица под 18 години.
13. Google OAuth съответствие
Платформата спазва Google API Services User Data Policy:
- използва само базови OAuth обхвати
- данните се използват само за вход
- не се използват за реклама
- не се продават
- не се споделят извън необходимото за автентикация
14. Жалби
Потребителите могат да подадат жалба до:
Комисия за защита на личните данни (КЗЛД) https://www.cpdp.bg
15. Промени в политиката
Политиката може да бъде актуализирана при промени в услугата или законодателството.