Данни и поверителност

Последно обновено 30 Apr 2026

<!-- MACHINE-TRANSLATED DRAFT — requires legal review before publish -->

Политика за поверителност

Тази Политика за поверителност обяснява как "Martial Labs" Ltd., търгуващо като KORENA, обработва вашите лични данни, когато посещавате korena.eu, правите поръчка, свързвате се с нас или иначе взаимодействате с нашите услуги. Тя е написана, за да изпълни Общия регламент относно защитата на данните на ЕС (Регламент (ЕС) 2016/679, "GDPR"), Директива 2002/58/ЕО за ePrivacy и българския Закон за защита на личните данни.


1. Кой е администраторът

Администраторът на вашите лични данни е:

"Martial Labs" Ltd. ( Маршъл Лабс ЕООД )
UIC/ЕИК 207453941 · VAT BG207453941
8A Yordan Badev Str., 1700 Sofia, Bulgaria
Manager: Pavel Danielov Nikolov
Data Protection Contact: office@korena.eu

Всички искания, свързани с поверителност и права на субекти на данни, трябва да се насочват към office@korena.eu.

За пълна идентификация на дружеството зад KORENA вижте Правна информация / импринт.

2. Длъжностно лице по защита на данните

Не сме назначили длъжностно лице по защита на данните (DPO), защото обработването ни не попада в нито едно от задължителните основания по GDPR член 37(1):

  • Не сме публичен орган;
  • Основните ни дейности не се състоят в редовно и систематично наблюдение на субекти на данни в голям мащаб;
  • Не обработваме специални категории данни (чл. 9) или данни за присъди и нарушения (чл. 10) в голям мащаб.

Нашата DPO оценка (датирана 2026-04-30, следващ преглед 2027-04-30 или по-рано при основание) разглежда мащаба на субектите на данни, систематичния и мащабен характер на обработването, специалните категории и данните за присъди, както и ролята ни като независим администратор. Оценката заключава, че DPO не е необходим. Поддържаме определен координатор по поверителността на данните на office@korena.eu за текущ надзор и можем да предоставим тази оценка на надзорни органи при поискване.

Ще преразгледаме тази оценка винаги когато мащабът или естеството на обработването ни се промени съществено (по-специално ако пуснем EUDR compliance SaaS продукт или функционалност за мащабна аналитика или scoring).

За всички въпроси и искания относно поверителност се свържете с office@korena.eu.

2.1. iOS приложението KORENA Capture (вътрешен инструмент на оператора)

KORENA Capture е метрологично приложение, използвано вътрешно от служители на KORENA и оператори на партньорски складове за измерване и снимане на плочи от твърда дървесина за обяви в пазара. Приложението работи на устройството на оператора и не събира, съхранява или предава лични данни от посетители на сайта или купувачи. Приложението не е публикувано в Apple App Store и не се използва за цел, различна от вътрешно измерване и документиране на плочи. Приложението не обработва идентификатори на крайни потребители или данни за проследяване. За повече подробности как се обработват снимки на плочи и измервателни данни, вижте §3.6 (Capture Bundles) по-долу и отделната Политика за произход на дървесината.

3. Какво обработваме, защо и на какво правно основание

Този раздел свързва всяка категория лични данни, които обработваме, с целта, законното основание по GDPR чл. 6 и срока на съхранение.

3.1. Посетители на сайта (без профил, без поръчка)

Какво събирамеЦелПравно основаниеСъхранение
IP адрес, user agent, referrer, разгледани страници (server access logs)Сигурност на сайта, откриване на злоупотреби, основна оперативна диагностикаЧл. 6(1)(f): легитимен интерес да поддържаме Сайта сигурен и работещ (документирана оценка на легитимния интерес е налична при поискване)90 дни, след това изтриване или анонимизация
Бисквитки и подобни технологии, когато сте дали съгласие (аналитика, предпочитания)Измерване на представяне, езиково предпочитаниеЧл. 6(1)(a): съгласие (събрано чрез банера за съгласие) и Директива за ePrivacyКакто е посочено в Политиката за бисквитки
Строго необходими бисквитки (сесия, количка, CSRF)За да работи СайтътНе се изисква съгласие (ePrivacy изключение "строго необходими"); не се съхраняват като лични данни отвъд сесията, освен ако влезетеПродължителност на сесията

3.2. Притежатели на профил

Какво събирамеЦелПравно основаниеСъхранение
Име, имейл, хеш на паролаСъздаване на профил, удостоверяванеЧл. 6(1)(b): изпълнение на потребителските условия / договорДокато профилът е активен + 12 месеца след закриване
Телефон за контакт (по желание)Обновления за поръчка, координация на доставкаЧл. 6(1)(b): изпълнение на договораКакто по-горе
Запазени адресиПо-бързо плащанеЧл. 6(1)(b): изпълнение на договораКакто по-горе
Видима за потребителя история на поръчките в профилаФункция на профила, поддръжка, връщанияЧл. 6(1)(b): изпълнение на договораДокато профилът е активен + 12 месеца след закриване
Подлежащи фактурни и поръчкови записиПравно задължение за фактуриране, счетоводство, ДДС съответствиеЧл. 6(1)(c): правно задължение за фактуриране / данъчни записи10 години от края на годината на издаване (българско счетоводно право)

3.3. Данни за поръчки (притежатели на профил и guest checkout)

Какво събирамеЦелПравно основаниеСъхранение
Име и адрес за фактуриране, име и адрес за доставка, имейл, телефон, VAT ID (бизнес купувачи)Изпълнение на поръчка, фактуриране, доставка, връщания, предотвратяване на измамиЧл. 6(1)(b): изпълнение на договора; чл. 6(1)(c): правно задължение (ДДС, фактуриране)10 години от края на годината на издаване, според българското счетоводно право
Тип платежен метод, последни четири цифри на карта, резултат от плащане (ние не съхраняваме пълни номера на карти; Stripe ги държи като отделен администратор)Обработка на поръчки, възстановявания, решаване на споровеЧл. 6(1)(b): изпълнение на договора10 години (финансови записи)
Артикули в поръчка, размери на закупени плочи, допълнителна обработкаИзпълнение на поръчка, следпродажбена поддръжка, връщанияЧл. 6(1)(b): изпълнение на договора10 години
Номер за проследяване от превозвачДоставка, решаване на споровеЧл. 6(1)(b): изпълнение на договора24 месеца

3.4. Клиентска поддръжка и комуникации

Какво събирамеЦелПравно основаниеСъхранение
Имейли до поддръжката, приложения, снимки, изпратени от вас (напр. снимка за претенция за повреда)Разглеждане на запитването ви, решаване на споровеЧл. 6(1)(b): изпълнение на договора; чл. 6(1)(f): легитимен интерес за подобряване на услугата24 месеца от последния контакт, по-дълго ако е свързано с финансов запис
WhatsApp / чат разговори, свързани с поръчкаКоординация на поръчкаЧл. 6(1)(b): изпълнение на договораКакто по-горе
Чат на живо в Сайта: вашите съобщения, имейл адрес (ако предоставите такъв за препис), IP адрес, приблизително местоположение (град и държава), информация за браузъра и устройството, както и страниците, които посещавате по време на разговораОтговор на запитването ви, предотвратяване на злоупотреби и спам, качество на поддръжкатаЧл. 6(1)(b): изпълнение на договора (преддоговорни запитвания); чл. 6(1)(f): легитимен интерес за предотвратяване на злоупотребиIP адрес, местоположение и информация за устройството: 90 дни. Съдържание на разговора: 24 месеца от последния контакт или до искане за изтриване

3.5. Маркетинг

Какво събирамеЦелПравно основаниеСъхранение
Имейл адрес с изричен opt-in за бюлетинИзпращане на бюлетинаЧл. 6(1)(a): съгласиеДокато се отпишете
Имейл адрес на съществуващ клиент за съобщения за подобни продуктиSoft opt-in маркетинг по Директива за ePrivacy чл. 13(2) и българския Закон за електронната търговия чл. 6Чл. 6(1)(f): легитимен интерес, с opt-out, предложен в момента на събиране на имейла (checkout), и ясна връзка за отписване във всеки имейлДокато се отпишете
Данни за ангажираност от имейл кампании (отваряне, клик)Измерване на ефективността на кампании, без индивидуално профилиране, извеждане на интереси или решения за допустимостЧл. 6(1)(f): легитимен интерес6 месеца след края на кампанията (макс. 12 месеца)

3.6. Персонал на партньорски складове и B2B контактни данни

Какво събирамеЦелПравно основаниеСъхранение
Имена, бизнес имейл и телефон на контактни лица в партньорски складове и B2B купувачиИзпълнение на консигнационния / търговския договорЧл. 6(1)(b): изпълнение на договора; чл. 6(1)(f): легитимен интерес за поддържане на бизнес отношенияПродължителност на отношенията + 24 месеца

3.7. AI/ML и Text and Data Mining (TDM)

Лични данни на потребители НЕ се използват за обучение на AI/ML модели. KORENA не използва вашите лични данни (име, имейл, адреси, история на поръчки, engagement metrics) за обучение на изкуствен интелект, системи за машинно обучение или за text and data mining цели. Когато използваме AI/ML технология (напр. SAM сегментацията в приложението KORENA Capture за анализ на изображения на плочи), тя работи само върху image data от страна на оператора и не обработва лични данни на купувачи или крайни потребители. Имате право да възразите срещу всяка TDM употреба на вашите данни по DSM Directive чл. 4. Свържете се с office@korena.eu, за да упражните това право.

3.8. Предотвратяване на измами и сигурност

Какво събирамеЦелПравно основаниеСъхранение
Модели на поръчки, IP, данни за устройство, Stripe risk signalsОткриване и предотвратяване на измами, злоупотреба с chargeback и превземане на профилиЧл. 6(1)(f): легитимен интерес за предотвратяване на измами, балансиран срещу ограничения и целеви характер на обработването24 месеца от свързаната поръчка

Не извършваме изцяло автоматизирано вземане на решения, което поражда правни или сходно значими последици (GDPR чл. 22), освен това, което системата Stripe Radar извършва като част от оторизацията на плащане. Stripe Radar използва автоматизирано вземане на решения за оценка на платежния риск. Ако плащане бъде отказано:

  • (a) Ще видите ясно съобщение в момента на отказа;
  • (b) Имате право, безплатно, на човешки преглед и обяснение. Свържете се с office@korena.eu с данните за поръчката и ще ескалираме към Stripe и ще предоставим обяснение на оценените рискови фактори и мерките, които можете да предприемете (напр. използване на друг платежен метод или контакт с издателя на картата);
  • (c) Ще отговорим в рамките на един календарен месец.

Обработването по чл. 22 е необходимо за изпълнение на договора за продажба по GDPR чл. 22(2)(a). Без него не можем разумно да приемаме онлайн плащания.

4. Източници на данни

Почти всички данни, които обработваме, се събират директно от вас. Две изключения:

  • Stripe ни изпраща данни за резултат от плащане, последните четири цифри на картата и risk signals, когато плащате. Не виждаме пълния номер на картата.
  • Speedy и Econt (и други превозвачи) ни изпращат събития за проследяване на пратки.

5. С кого споделяме данни

Споделяме лични данни със следните категории получатели. Всеки получател обработва данните само за описаната функция и е обвързан с подходящи договорни гаранции.

ПолучателКакво получаваРоляКъде обработваГаранция
Stripe Payments Europe Ltd. (и Stripe Inc., САЩ)Данни на картодържател, адрес за фактуриране, IP, сумаОбработващ за платежните записи на KORENA; отделен независим администратор за fraud monitoring (Stripe Radar)Ирландия + Съединени щатиData Processing Addendum на Stripe (stripe.com/legal/dpa); активна EU–US Data Privacy Framework сертификация на Stripe Inc., включително UK Extension и Swiss–US DPF (проверено 2026-05-03 на dataprivacyframework.gov, participant ID 6436); EU SCCs като резерв
Speedy ADИме на получател, адрес, телефон, данни за праткаОтделен независим администратор за логистика на доставки; обработващ за метаданни за управление на праткиБългария, ЕСУсловия и уведомление за поверителност на Speedy; обработване в ЕС
Econt Express ADИме на получател, адрес, телефон, данни за пратка и палетОтделен независим администратор за логистика на доставки; обработващ за метаданни за управление на праткиБългария, ЕСУсловия и уведомление за поверителност на Econt; обработване в ЕС
EU pallet freight forwarder (TBC при старта)Име на получател, адрес, телефон, freight dataОбработващ за трансграничен товарен транспортЕССтандартен договор с freight forwarder; обработване в ЕС
Resend, Inc.Имейл адрес, съдържание на имейли (транзакционни и маркетингови)Обработващ за доставка на имейлиСъединени щатиDPA на Resend; активна EU–US Data Privacy Framework сертификация на Resend, Inc., включително UK Extension към EU–US DPF (проверено 2026-05-03 на dataprivacyframework.gov спрямо активния списък с участници); EU SCCs като резерв
Supabase, Inc.Данни за профили, поръчки, поддръжка (база данни и удостоверяване)Обработващ за hosted database и authenticationEU region (Frankfurt), където е поддържано, иначе САЩSupabase DPA; SCCs за всяко обработване извън ЕС
Hosting / CDN provider (Vercel или еквивалент, потвърждение при старта)Всички site data in transitОбработващ за hosting и deliveryEU edge nodes; част от control-plane в САЩDPA + SCCs
Български счетоводителФактури, ДДС записиОбработващ за счетоводно и данъчно съответствиеБългарияПисмен договор; правно задължение
Данъчни и компетентни органиФактури, ДДС и данъчни записиНезависими администраториБългария, ЕСПравно задължение по чл. 6(1)(c)
Правни съветници, когато са ангажираниСамо данните, необходими за въпросаОбработващ (или независим администратор, според ангажимента)ЕСПрофесионална тайна + писмен договор

Не продаваме личните ви данни и не ги споделяме с рекламни мрежи за cross-site поведенческа реклама.

Списъкът по-горе ще се обновява при добавяне, промяна или премахване на подизпълнител. Съществени промени ще бъдат съобщавани на Сайта поне тридесет (30) дни предварително за абонати за бюлетин и притежатели на профили.

6. Международни трансфери

Някои получатели обработват данни извън Европейското икономическо пространство (ЕИП), по-специално Stripe (елементи в САЩ) и Resend (САЩ). За всеки такъв трансфер разчитаме на:

  • Стандартни договорни клаузи (SCCs), одобрени от Европейската комисия, когато се изискват; и/или
  • Решения за адекватност, когато са приложими (напр. EU–US Data Privacy Framework, когато получателят е сертифициран).

Ако искате копие от гаранциите за конкретен трансфер, свържете се с office@korena.eu.

6.1. Оценки на въздействието на трансфера

Когато обработващ разчита на EU SCCs или други гаранции за трансфери към държави без адекватност, поддържаме или държим Transfer Impact Assessment (TIA) по GDPR чл. 46 и насоките на EDPB (01/2020). Тези оценки са налични за надзорните органи при поискване. За трансфери, подкрепени от Data Privacy Framework сертификация, ще проверяваме повторно статуса на сертификация при всеки цикъл на публикуване и ще обновяваме §5 (С кого споделяме данни) съответно.

7. Вашите права

По GDPR имате следните права, които можете да упражните безплатно, като пишете на office@korena.eu:

  • Достъп (чл. 15): потвърждение дали обработваме данни за вас и копие от тези данни в структуриран, широко използван, машинночетим формат (CSV или JSON). Предоставяме това безплатно. Ако искането е явно неоснователно или прекомерно, можем да начислим разумна административна такса. Доставката е чрез защитен имейл или криптирана връзка за изтегляне.

  • Корекция (чл. 16): поправка на неточни данни.

  • Изтриване (чл. 17): изтриване на данни, при спазване на нашите правни задължения за съхранение. Правни изключения включват: (a) фактури и ДДС записи, съхранявани 10 години по българското счетоводно право; (b) имейли до поддръжката и снимки по спорове, съхранявани до решаване на спора плюс 2 години; (c) данни за профил, съхранявани 12 месеца след закриване, освен ако са свързани с висящ въпрос; (d) IP адреси и access logs, съхранявани 90 дни, освен ако са свързани със security incident.

  • Ограничаване (чл. 18): ограничаване на обработването при определени обстоятелства.

  • Преносимост (чл. 20): получаване на лични данни, които сте ни предоставили (име, имейл, адреси, тип платежен метод) в структуриран, широко използван, машинночетим формат. Това право се прилага за данни, обработвани по договор (чл. 6(1)(b)) или съгласие (чл. 6(1)(a)). То не включва производни данни (engagement metrics, измервания на плочи, изчислени от нас) или данни, обработвани по правно задължение (фактури).

  • Възражение (чл. 21): срещу обработване въз основа на легитимен интерес, включително директен маркетинг (където правото на възражение е абсолютно).

  • Оттегляне на съгласие (чл. 7(3)): по всяко време, без да засяга законосъобразността на обработването преди оттеглянето.

  • Право да не бъдете обект на автоматизирано вземане на решения (чл. 22): виж §3.8 по-горе (Stripe Radar; право на човешки преглед).

Ще отговорим в рамките на един календарен месец от получаване на искане, с възможност за удължаване с още два месеца при сложни или многобройни искания (с уведомление). Ако не можем да ви идентифицираме въз основа на данните, които държим, можем да поискаме допълнителна информация за проверка на самоличността преди действие.

Можете също да подадете жалба до надзорния орган:

Комисия за защита на личните данни бул. Цветан Лазаров 2, София 1592, България cpdp.bg · kzld@cpdp.bg

Ако обичайното ви местопребиваване е в друга държава членка на ЕС, можете също да подадете жалба до органа за защита на данните в тази държава.

8. Сигурност

Прилагаме подходящи технически и организационни мерки за защита на личните данни, включително криптиране при пренос (TLS), криптиране в покой в нашата база данни, контроли за достъп, audit logs, разделение на задълженията и принципа на най-малките привилегии. Stripe държи пълните данни на платежните карти извън нашите системи и е PCI-DSS сертифициран. Въпреки разумните мерки никоя система не е напълно сигурна.

При нарушение на сигурността на личните данни ще:

  • (i) Уведомим Комисията за защита на личните данни (CPDP) без ненужно забавяне и в рамките на 72 часа от откриването, когато това се изисква от GDPR чл. 33;
  • (ii) Уведомим ви директно без ненужно забавяне (обичайно в рамките на 7 дни от откриването), когато нарушението вероятно води до висок риск за вашите права и свободи (GDPR чл. 34);
  • (iii) В директното уведомление включим: естеството и вероятните последици от нарушението, предприетите или предложени мерки и нашата контактна точка (office@korena.eu) за допълнителна информация.

9. Деца

Сайтът не е насочен към деца под 14 години и не обработваме съзнателно лични данни на деца под 14 години без родителско съгласие или настойничество. KORENA е пазар за премиум твърда дървесина, предназначен за професионални и пълнолетни хоби потребители; не е предназначен или маркетираn към непълнолетни. Ако смятате, че дете под 14 години ни е предоставило лични данни, свържете се с office@korena.eu и ще изтрием данните.

10. Промени в тази Политика

Можем да обновяваме тази Политика от време на време. Съществени промени ще бъдат съобщавани по имейл на притежатели на профили и абонати за бюлетин и публикувани на Сайта поне тридесет (30) дни преди да влязат в сила, освен когато законът изисква промяната да влезе в сила по-рано.

Датата на версията в края на тази Политика е текущо действащата версия.

11. Езици

Тази Политика е съставена на английски, който е работният източник на истина. Преводи могат да бъдат налични на Сайта. Когато законът го изисква (по-специално за субекти на данни с местоживеене в България), българският превод е обвързващата версия.


Последен преглед: 2026-04-30 · Следващ преглед: 2027-04-30 (или по-рано при основание).