Политика за поверителност
Настоящата Политика за поверителност описва как Фондация Сай Хай (“Фондацията”, “ние”) събира, използва, съхранява и защитава личните данни на потребителите на публичния сайт sci-high.org и на платформата за управление на фестивали, достъпна чрез същия домейн (“Платформата”). Двата канала се покриват от един и същ документ, тъй като потребителите се движат между тях и подлежат на единен режим на защита на данните.
Обработваме лични данни в съответствие с Регламент (ЕС) 2016/679 (“ОРЗД” / GDPR), Закона за защита на личните данни (“ЗЗЛД”) и приложимото българско законодателство.
1. Администратор на лични данни
Фондация Сай Хай гр. София, бул. Черни връх 70-72, България ЕИК: {{TODO — попълни ЕИК / Булстат на Фондацията}} Имейл: [email protected]
Длъжностно лице по защита на данните (DPO): {{TODO — попълни данните на DPO или потвърди, че няма законово задължение за назначаване}}
Регистрация в Комисията за защита на личните данни (КЗЛД): {{TODO — впиши регистрационен номер или потвърди, че Фондацията не подлежи на регистрация}}
2. Какви лични данни обработваме
В зависимост от ролята ви и канала, чрез който взаимодействате с нас, обработваме следните категории:
Акаунт и профил на Платформата
- Имена, имейл адрес, предпочитан език
- Профилна снимка (аватар) и кратко представяне (по избор)
- Роля във Фестивала (организатор, жури, доброволец, посетител, ментор, ръководител или представител на отбор)
Данни за участие във Фестивала
- Регистрация на отбори, включително списък с ученици (име, пол и по избор кратко представяне)
- Информация за училище, категория, ментор
- Качено съдържание (видео, описания, връзки към външни ресурси)
Гласуване
- Връзка между посетител и отбор, за който е подаден глас
- Време на подаване на гласа
Кореспонденция и подкрепа
- Съдържание на изпратени съобщения чрез контактните форми (училище, ментор, партньор, родител, общи запитвания)
- Имейл, телефон (ако е предоставен) и контекст на запитването
Дарения
- Минимална информация, необходима за маршрутизиране на дарението (име, имейл, сума)
- Данни за плащане се обработват директно от съответния доставчик на платежни услуги — ние не виждаме и не съхраняваме номера на банкови карти
Журнал на действията (audit log)
- Кой потребител каква операция е извършил във Платформата и кога — за цели на сигурност, отстраняване на нередности и съответствие
Технически данни
- IP адрес, тип браузър, езикови настройки, време на достъп — събират се от хостинг доставчика за защита от злоупотреби и стабилност на услугата
3. Цели и правни основания
| Цел | Правно основание (чл. 6 ОРЗД) |
|---|---|
| Регистрация и поддръжка на акаунт | Сключване и изпълнение на договор (чл. 6, ал. 1, б. “б”) |
| Участие във Фестивала (отбори, гласуване, жури) | Сключване и изпълнение на договор (чл. 6, ал. 1, б. “б”) |
| Обработка на запитвания през контактните форми | Легитимен интерес (чл. 6, ал. 1, б. “е”) и съгласие |
| Изпращане на транзакционни имейли (покани, известия) | Сключване и изпълнение на договор |
| Журнал на действията и сигурност | Легитимен интерес (защита на Платформата и потребителите) |
| Обработка на дарения и счетоводна отчетност | Законово задължение (чл. 6, ал. 1, б. “в”) — Закон за счетоводството |
| Подобряване на услугата | Легитимен интерес |
Специален режим за непълнолетни (чл. 8 ОРЗД)
Платформата позволява регистрация на отбори, в които участват непълнолетни ученици. Тяхното лично участие НЕ преминава през директна регистрация — данните на учениците (име, пол, по избор кратко представяне) се въвеждат от ръководителя на отбора (учител или назначен координатор) или от училището, които с приемането на Условията за ползване декларират и гарантират, че:
- Са получили надлежно съгласие от родителите или законните представители на всеки ученик в съответствие с чл. 8 ОРЗД и ЗЗЛД,
- Са информирали родителите и учениците за обхвата на данните, които ще се обработват от Фондацията,
- Носят отговорност за основанието и обхвата на обработката на тези данни до момента на постъпване във Фондацията.
Фондацията обработва данните на непълнолетните на основание тази декларация и гаранция, без да изисква индивидуална проверка на родителското съгласие за всеки ученик. При оттегляне на съгласие или искане за заличаване от родител, ръководителят на отбора е длъжен незабавно да уведоми Фондацията на [email protected].
4. Получатели и обработващи
Личните данни могат да бъдат предоставяни на следните категории получатели:
Доставчици на технически услуги (обработващи лични данни)
| Доставчик | Услуга | Локация |
|---|---|---|
| Supabase Inc. | База данни, удостоверяване, файлово хранилище, edge функции | САЩ / ЕС |
| Cloudflare Inc. | Хостинг, CDN, защита от ботове (Turnstile) | САЩ / ЕС (edge) |
| Resend Inc. | Изпращане на транзакционни имейли | САЩ |
| Google LLC | Карти и геолокация (Maps JavaScript API, Maps Static API) | САЩ / ЕС |
| Stripe, Inc. | Обработка на онлайн дарения (когато тази функционалност е активна) | САЩ / ЕС |
| GlobalGiving Foundation | Маршрутизиране на дарения чрез корпоративни програми за съфинансиране | САЩ |
| Benevity, Inc. | Маршрутизиране на дарения чрез корпоративни програми за съфинансиране | Канада |
С всички доставчици, които обработват лични данни от наше име, имаме сключени договори за обработка на данни (DPA) съгласно чл. 28 ОРЗД.
Други категории получатели
- Държавни органи — при наличие на законово основание и при писмено искане
- Счетоводители и одитори на Фондацията — в обхват, необходим за изпълнение на счетоводните задължения
- Партньори на конкретен Фестивал — само в случаите, когато участието ви предполага това (например връчване на специална награда), и в обхват, оповестен предварително
5. Трансфер извън ЕИП
Някои от обработващите оперират извън Европейското икономическо пространство (ЕИП). Прехвърлянето на лични данни към тези доставчици се извършва на основание Стандартни договорни клаузи (SCCs) по Решение за изпълнение (ЕС) 2021/914 на Европейската комисия, или на основание решение за адекватно ниво на защита (където е приложимо).
6. Срокове за съхранение
| Категория данни | Срок за съхранение |
|---|---|
| Акаунт и профил | До изтриване на акаунта от потребителя или след 24 месеца неактивност |
| Участие във Фестивал (отбори, ученици, ментори) | За срока на Фестивала + 12 месеца за справки и архив |
| Гласове на посетители | За срока на Фестивала + 6 месеца |
| Кореспонденция през контактни форми | До 12 месеца от датата на последен контакт |
| Транзакционни имейли (изпратени) | До 30 дни в опашката за изпращане |
| Журнал на действията (audit log) | До 24 месеца |
| Данни за дарения и счетоводна документация | До 10 години (Закон за счетоводството) |
| Технически логове на хостинг доставчика | До 30 дни |
След изтичането на тези срокове данните се заличават или анонимизират, освен ако друг закон не изисква по-дълъг период на съхранение.
7. Вашите права
Като субект на лични данни имате следните права съгласно ОРЗД и ЗЗЛД:
- Право на достъп — да получите потвърждение и копие на личните данни, които обработваме за вас
- Право на коригиране — да поискате коригиране на неточни или непълни данни
- Право на изтриване (“правото да бъдеш забравен”) — при условията на чл. 17 ОРЗД
- Право на ограничаване — на обработката при условията на чл. 18 ОРЗД
- Право на преносимост — да получите данните си в структуриран, машинно четим формат
- Право на възражение — срещу обработка на основание легитимен интерес
- Право да оттеглите съгласието си — където обработката е на основание съгласие, без това да засяга законосъобразността на предишната обработка
- Право да не бъдете обект на автоматизирано вземане на решения — Платформата не извършва автоматизирано вземане на решения с правни последици за вас
За упражняване на тези права, моля изпратете заявка на [email protected] от имейл адреса, асоцииран с акаунта ви. Отговаряме в рамките на 30 дни от получаване на заявката.
Жалба до надзорен орган
Имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД):
- Адрес: гр. София, бул. „Проф. Цветан Лазаров” 2
- Имейл: [email protected]
- Уебсайт: https://www.cpdp.bg
8. Бисквитки и сходни технологии
Платформата използва строго ограничен набор от бисквитки:
- Сесийна бисквитка за удостоверяване — необходима за поддържане на влязла сесия в Платформата
- Cloudflare Turnstile — необходима за защита на контактните форми от автоматизирани злоупотреби (ботове)
Не използваме инструменти за маркетингов анализ, профилиране или ретаргетинг. Не предаваме данни към рекламни мрежи или социални платформи.
9. Сигурност
Прилагаме технически и организационни мерки за защита на личните данни, включително:
- Криптиране на трафика (HTTPS / TLS)
- Контрол на достъпа на ниво база данни (Row Level Security)
- Журналиране на действията на потребителите
- Периодичен преглед на оторизациите
- Защитени резервни копия на базата данни
Въпреки полаганите усилия, нито един метод за предаване или съхранение в интернет не е абсолютно сигурен. При установяване на нарушение на сигурността, което може да представлява висок риск за правата ви, ще ви уведомим в съответствие с чл. 34 ОРЗД.
10. Промени в Политиката
Запазваме правото да актуализираме настоящата Политика за поверителност. Текущата версия и датата на влизане в сила се публикуват в горната част на тази страница. Хронологията на промените се поддържа в публичното хранилище на проекта (Git). При съществени промени, които засягат правата ви, ще ви уведомим чрез имейл или известие в Платформата.
11. Контакт
За въпроси, свързани с тази Политика или с обработката на личните ви данни:
Фондация Сай Хай гр. София, бул. Черни връх 70-72 [email protected]