Политика за поверителност (GDPR)
Последна актуализация: 16.07.2026 г.
1. Обща информация
Настоящата политика описва как събираме, използваме и защитаваме лични данни във връзка с използването на този уебсайт съгласно Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни. Политиката се прилага както за регистрираните и нерегистрираните потребители на платформата, така и за други физически лица, чиито лични данни се въвеждат, съдържат или обработват в договори, чернови, подписани документи, покани за подписване, audit log записи или друга функционалност на платформата, включително насрещни страни по договори, представители, подписващи лица, свидетели и получатели.
2. Какви данни събираме
Може да събираме следните категории данни, в зависимост от начина, по който се използва платформата и от конкретните функционалности:
- Име и фамилия
- Имейл адрес
- Данни за плащане (обработвани чрез външен доставчик)
- IP адрес
- Идентификатор на устройство (device fingerprint) — за защита от злоупотреба (anti-abuse)
- Данни за използване на сайта
2.1. Данни на трети лица
При използване на платформата потребителят може да въведе лични данни за други физически лица, които не са регистрирани потребители на платформата. Това може да включва насрещни страни по договор, представители, подписващи лица, свидетели, получатели на документи или други лица, посочени в договор или приложение към него. В зависимост от вида на договора и попълнените полета тези данни може да включват:
- имена; адрес; имейл адрес; телефонен номер; ЕГН, ЛНЧ или друг идентификационен номер; данни от документ за самоличност, когато са необходими за конкретния документ; дата на раждане; гражданство; роля или качество по договора;
- данни за имущество; регистрационни данни за МПС или недвижим имот;
- финансови данни като IBAN или банкова сметка;
- договорни параметри като цена, наем, депозит, срокове, задължения и плащания;
- електронен подпис;
- IP адрес; информация за браузър/устройство; и времеви маркери за преглед, изпращане или подписване на документа.
Потребителят следва да въвежда само лични данни, които са необходими за съответния договор или функционалност на платформата, и да не въвежда прекомерни, неточни или ненужни данни.
Свободни текстови полета: Потребителят следва да не въвежда или качва лични данни, които не са необходими за съответния документ. Свободният текст може да съдържа лични данни или специални категории лични данни; те се обработват само за целите на създаване, съхранение, изпращане, подписване и управление на съответния документ.
3. Плащания
Плащанията се обработват от Stripe. Ние не съхраняваме данни за банкови карти.
Stripe може да събира и обработва лични данни съгласно собствената си политика за поверителност: stripe.com/privacy.
4. Цел на обработката
Данните на потребителите и трети лица се използват за:
- предоставяне на услугата, включително съхранение на договорни шаблони и чернови
- обработка на плащания
- подобряване на потребителското изживяване
- комуникация с потребители
- предотвратяване на злоупотреби (напр. многократни безплатни изтегляния или регистрации от едно устройство/IP)
- измерване и оптимизация на реклами (Google Ads) — само при съгласие за маркетинг бисквитки
Данни, свързани с преглед и подписване на документи: Когато документ се изпраща, преглежда, приема или подписва чрез платформата, обработваме технически и транзакционни данни, необходими за удостоверяване на действията и доказване на целостта на процеса. Тези данни може да включват име и имейл на изпращач и получател, статус на документа, дата и час на изпращане, отваряне, преглед, приемане или подписване, IP адрес, информация за браузър/устройство, user agent, идентификатор на документа, история на действията и електронен подпис или свързани с него данни.
Данните на трети лица, въведени в договори или свързани с подписването им, се обработват за генериране, попълване и визуализиране на договорни шаблони; създаване и съхранение на чернови; изпращане на документи за преглед или подписване; удостоверяване на действия по преглед, приемане или подписване; съхранение на подписани документи и свързаната audit log информация; предоставяне на техническа поддръжка; предотвратяване на злоупотреби и защита на сигурността на платформата; изпълнение на законови задължения; и установяване, упражняване или защита на правни претенции.
5. Правно основание
Обработваме данни на основание:
- изпълнение на договор - за регистрация, предоставяне на услугата, генериране на документи, поддръжка на профил и обработване на плащания, когато това е необходимо за отношенията ни с потребителя;
- законово задължение - за счетоводни, данъчни, регулаторни и други задължения, когато приложимото право изисква съхранение или предоставяне на определени данни;
- легитимен интерес - за сигурност, предотвратяване на злоупотреби, техническа поддръжка, доказване на изпращане, преглед, приемане или подписване на документи, съхранение на audit log записи и установяване, упражняване или защита на правни претенции, при условие че интересите и основните права на съответните субекти на данни не надделяват.
Когато обработването се основава на съгласие, включително за маркетинг бисквитки или имейл маркетинг, съгласието може да бъде оттеглено по всяко време, без това да засяга законосъобразността на обработването преди оттеглянето.
6. Съхранение на данни
Личните данни се съхраняват само за периода, необходим за постигане на целите, за които са събрани, или за срока, изискван от приложимото законодателство. Конкретните срокове за отделните категории данни са, както следва:
- Профилни данни (име, email, парола) се съхраняват, докато съществува потребителският акаунт. След изтриване на акаунта тези данни се заличават в срок до 30 дни.
- Чернови договори (drafts) се съхраняват за срок от 30 дни след първоначалното им изтриване от Потребителя (soft-delete), след което се заличават окончателно (hard-delete) чрез автоматизиран ежедневен процес.
- Подписани договори (signed PDFs) се съхраняват за срок от минимум 5 години за обикновените документи и 10 години за данъчно-значимите документи, в съответствие с чл. 38 от Данъчно-осигурителния процесуален кодекс (ДОПК) и Закона за счетоводството.
- Одитната следа (Audit log) на подписите(IP адрес, информация за използвания браузър/устройство (user agent) и времеви маркер на подписването от получателя(timestamp)) се съхранява заедно със съответния подписан документ за целия срок на неговото съхранение.
- Anti-abuse записи (безплатни гост-изтегляния, регистрационни отпечатъци): IP се използва за 30-дневен прозорец срещу злоупотреба; идентификаторът на устройство (бисквитка
cgbg_did) — до 5 години.
- Административният одитен дневник (admin audit log) се съхранява за срок от 2 години за целите на сигурността, разследването на инциденти и съответствието (forensic/compliance).
- Логовете на сесиите за вход (auth_sessions) се изтриват автоматично след изтичане на тяхната валидност (30 дни).
- Платежна история (orders) се съхранява за счетоводни и данъчни цели за приложимия законоустановен срок на съхранение.
Данните на трети лица, съдържащи се в чернови договори, подписани договори и audit log записи, се съхраняват за същите срокове като съответния документ или запис. Когато трето лице упражни право на изтриване, ограничаване или възражение, ще разгледаме искането съобразно приложимите основания за обработване, необходимостта от съхраняване на договора, правата и интересите на страните по него и законовите ни задължения. Възможно е да не можем да изтрием определени данни, ако те са необходими за доказване на сключен или подписан документ, за изпълнение на законово задължение или за установяване, упражняване или защита на правни претенции.
7. Трети страни (Data Processors)
За предоставянето на услугата ангажираме внимателно подбрани трети страни, които обработват лични данни от наше име в качеството на обработващи данни и са обвързани с договорни задължения за поверителност и сигурност, включително споразумения за обработване на данни съгласно чл. 28 GDPR, когато е приложимо). Използваме доставчици само когато това е необходимо за предоставяне, сигурност, плащания, комуникация, съхранение или поддръжка на услугата. Данните се предават на следните получатели:
- Stripe Inc. (САЩ) обработва плащанията. Предаваните данни включват имейл адрес, име и IP адрес. Stripe осигурява съответствие с GDPR въз основа на Стандартни договорни клаузи (SCC) на Европейската комисия. Повече информация: stripe.com/privacy
- Google LLC (САЩ) осигурява вход чрез Google (OAuth) и експортиране на документи към Google Drive, само ако Потребителят използва тези функции. Предаването на данни се извършва въз основа на Стандартни договорни клаузи (SCC). Повече информация: policies.google.com/privacy
- SMTP сървър (mail.cgbg.bg) се използва за изпращане на електронни съобщения. Съдържанието на съобщенията и адресът на получателя се записват в логовете на пощенския сървър за потвърждаване на доставката.
- Cloudflare (production) предоставя услуги за DNS и мрежа за доставка на съдържание (CDN). За целите на маршрутирането на трафика е възможно да обработва IP адреси и данни за използвания браузър/устройство (user agent).
Когато данни се прехвърлят извън Европейския съюз/Европейското икономическо пространство (ЕС/ЕИП), прехвърлянето се извършва само при наличие на подходящи гаранции съгласно Глава V от GDPR — Стандартни договорни клаузи (SCC) на Европейската комисия и/или решение за адекватно ниво на защита. При оценката на трансферите отчитаме вида на данните, целта на обработването, държавата на получателя и приложимите договорни и технически гаранции.
8. Права на субектите на данни
Всеки субект на лични данни, включително регистриран потребител, нерегистрирам посетител, насрещна страна по договор, подписващо лице, представител, свидетел или друго лице, чиито лични данни се обработват през платформата, разполага със следните права съгласно Глава III от Общия регламент относно защитата на данните (GDPR), доколкото са приложими в конкретния случай:
- Право на достъп (чл. 15) — субектът на данни има право да получи информация дали обработваме негови лични данни и какви лични данни съхраняваме за него. За регистрирани потребители част от тази информация е достъпна директно в раздел /profile/account. Информация за лица, чиито данни не сме получили директно от тях: В някои случаи получаваме лични данни за физически лица от потребител на платформата, например когато потребителят въвежда данни за насрещна страна по договор или изпраща документ за преглед или подписване. В тези случаи източникът на данните е потребителят, който създава, попълва или изпраща документа. Когато разполагаме с данни за контакт на съответното лице и това е практически възможно, предоставяме информация за обработването чрез настоящата политика и/или чрез линк към нея при първата комуникация с лицето, например в имейл за преглед или подписване на документ. Когато нямаме пряк канал за комуникация с лицето, информацията е достъпна чрез настоящата политика, а потребителят, който въвежда данните, следва да информира съответното лице, че негови лични данни ще бъдат въведени и обработени чрез платформата за целите на съответния договор.
- Право на преносимост (чл. 20) — когато са налице условията по GDPR, субектът на данни има право да получи свои данни в структуриран, широко използван и машинночетим формат. Регистрираните потребители могат да използват бутона „Изтегли всичките си данни“ в раздел /profile/account → "Изтегли всичките си данни".
- Право на коригиране (чл. 16) — субектът на данни има право да поиска коригиране на неточни или непълни свои данни. Регистрираните потребители могат да редактират профилните си данни в раздел /profile/account.
- Право на изтриване („право да бъдеш забравен“, чл. 17) — субектът на данни може да поиска изтриване на свои лични данни, когато са налице условията по GDPR. Регистрираните потребители могат самостоятелно да поискат изтриване на профила си чрез функцията „Изтрий профила“ в раздел /profile/account → "Изтрий профила". След потвърждение по имейл профилът се изтрива в срок до 24 часа. Подписаните договори се запазват за срока на законоустановеното съхранение.
- Право на ограничаване на обработването (чл. 18) — субектът на данни може да поиска временно ограничаване (блокиране) на обработването, като изпрати искане на contact@cgbg.bg за временно блокиране.
- Право на възражение (чл. 21) — субектът на данни има право да възрази срещу обработването на личните си данни, като изпрати искане на contact@cgbg.bg.
- Право на оттегляне на съгласие (чл. 7) — когато обработването се основава на съгласие, субектът на данни може да го оттегли по всяко време, без това да засяга законосъобразността на обработването преди оттеглянето; за бисквитките вижте /legal/cookies, а за имейл маркетинга — връзката за отписване (unsubscribe) във всяко съобщение.
- Право на жалба до надзорен орган (чл. 77) — субектът на данни има право да подаде жалба до Комисията за защита на личните данни (КЗЛД), с адрес гр. София и уебсайт cpdp.bg.
9. Информация за лица, чиито данни не сме получили директно от тях
В някои случаи получаваме лични данни за физически лица от потребител на платформата, например когато потребителят въвежда данни за насрещна страна по договор или изпраща документ за преглед или подписване. В тези случаи източникът на данните е потребителят, който създава, попълва или изпраща документа.
Уведомление към получатели и подписващи лица: Когато изпращаме документ за преглед или подписване, може да включим кратко уведомление, че получателят е посочен като страна, представител, получател или подписващо лице по документ, създаден чрез платформата, и че обработваме данните, необходими за преглед, подписване, удостоверяване и съхранение на документа, включително данните в самия документ и технически данни като IP адрес, устройство/браузър и времеви маркер.
10. Бисквитки
Подробен списък на всички бисквитки и тяхното предназначение: /legal/cookies.
Бисквитки или сходни технологии, които не са необходими за функционирането на сайта, включително маркетинг или рекламни бисквитки, се използват само при наличие на валидно съгласие. Данни, съдържащи се в договори или въведени за насрещни страни, не се използват за маркетингови бисквитки или рекламно таргетиране.
11. Контакт (Data Protection Officer)
За всякакви въпроси относно личните данни:
Версия на политиката: 2026.1.0 ·
Последна актуализация: 3 юли 2026 г.