Данни и поверителност
Последно обновено 30 Apr 2026
Политика за поверителност
Тази Политика за поверителност обяснява как "Martial Labs" Ltd., търгуващо като KORENA, обработва вашите лични данни, когато посещавате korena.eu, правите поръчка, свързвате се с нас или иначе взаимодействате с нашите услуги. Тя е написана, за да изпълни Общия регламент относно защитата на данните на ЕС (Регламент (ЕС) 2016/679, "GDPR"), Директива 2002/58/ЕО за ePrivacy и българския Закон за защита на личните данни.
1. Кой е администраторът
Администраторът на вашите лични данни е:
"Martial Labs" Ltd. ( Маршъл Лабс ЕООД )
UIC/ЕИК 207453941 · VAT BG207453941
8A Yordan Badev Str., 1700 Sofia, Bulgaria
Manager: Pavel Danielov Nikolov
Data Protection Contact: office@korena.eu
Всички искания, свързани с поверителност и права на субекти на данни, трябва да се насочват към office@korena.eu.
За пълна идентификация на дружеството зад KORENA вижте Правна информация / импринт.
2. Длъжностно лице по защита на данните
Не сме назначили длъжностно лице по защита на данните (DPO), защото обработването ни не попада в нито едно от задължителните основания по GDPR член 37(1):
- Не сме публичен орган;
- Основните ни дейности не се състоят в редовно и систематично наблюдение на субекти на данни в голям мащаб;
- Не обработваме специални категории данни (чл. 9) или данни за присъди и нарушения (чл. 10) в голям мащаб.
Нашата DPO оценка (датирана 2026-04-30, следващ преглед 2027-04-30 или по-рано при основание) разглежда мащаба на субектите на данни, систематичния и мащабен характер на обработването, специалните категории и данните за присъди, както и ролята ни като независим администратор. Оценката заключава, че DPO не е необходим. Поддържаме определен координатор по поверителността на данните на office@korena.eu за текущ надзор и можем да предоставим тази оценка на надзорни органи при поискване.
Ще преразгледаме тази оценка винаги когато мащабът или естеството на обработването ни се промени съществено (по-специално ако пуснем EUDR compliance SaaS продукт или функционалност за мащабна аналитика или scoring).
За всички въпроси и искания относно поверителност се свържете с office@korena.eu.
2.1. iOS приложението KORENA Capture (вътрешен инструмент на оператора)
KORENA Capture е метрологично приложение, използвано вътрешно от служители на KORENA и оператори на партньорски складове за измерване и снимане на плочи от твърда дървесина за обяви в пазара. Приложението работи на устройството на оператора и не събира, съхранява или предава лични данни от посетители на сайта или купувачи. Приложението не е публикувано в Apple App Store и не се използва за цел, различна от вътрешно измерване и документиране на плочи. Приложението не обработва идентификатори на крайни потребители или данни за проследяване. За повече подробности как се обработват снимки на плочи и измервателни данни, вижте §3.6 (Capture Bundles) по-долу и отделната Политика за произход на дървесината.
3. Какво обработваме, защо и на какво правно основание
Този раздел свързва всяка категория лични данни, които обработваме, с целта, законното основание по GDPR чл. 6 и срока на съхранение.
3.1. Посетители на сайта (без профил, без поръчка)
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| IP адрес, user agent, referrer, разгледани страници (server access logs) | Сигурност на сайта, откриване на злоупотреби, основна оперативна диагностика | Чл. 6(1)(f): легитимен интерес да поддържаме Сайта сигурен и работещ (документирана оценка на легитимния интерес е налична при поискване) | 90 дни, след това изтриване или анонимизация |
| Бисквитки и подобни технологии, когато сте дали съгласие (аналитика, предпочитания) | Измерване на представяне, езиково предпочитание | Чл. 6(1)(a): съгласие (събрано чрез банера за съгласие) и Директива за ePrivacy | Както е посочено в Политиката за бисквитки |
| Строго необходими бисквитки (сесия, количка, CSRF) | За да работи Сайтът | Не се изисква съгласие (ePrivacy изключение "строго необходими"); не се съхраняват като лични данни отвъд сесията, освен ако влезете | Продължителност на сесията |
3.2. Притежатели на профил
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| Име, имейл, хеш на парола | Създаване на профил, удостоверяване | Чл. 6(1)(b): изпълнение на потребителските условия / договор | Докато профилът е активен + 12 месеца след закриване |
| Телефон за контакт (по желание) | Обновления за поръчка, координация на доставка | Чл. 6(1)(b): изпълнение на договора | Както по-горе |
| Запазени адреси | По-бързо плащане | Чл. 6(1)(b): изпълнение на договора | Както по-горе |
| Видима за потребителя история на поръчките в профила | Функция на профила, поддръжка, връщания | Чл. 6(1)(b): изпълнение на договора | Докато профилът е активен + 12 месеца след закриване |
| Подлежащи фактурни и поръчкови записи | Правно задължение за фактуриране, счетоводство, ДДС съответствие | Чл. 6(1)(c): правно задължение за фактуриране / данъчни записи | 10 години от края на годината на издаване (българско счетоводно право) |
3.3. Данни за поръчки (притежатели на профил и guest checkout)
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| Име и адрес за фактуриране, име и адрес за доставка, имейл, телефон, VAT ID (бизнес купувачи) | Изпълнение на поръчка, фактуриране, доставка, връщания, предотвратяване на измами | Чл. 6(1)(b): изпълнение на договора; чл. 6(1)(c): правно задължение (ДДС, фактуриране) | 10 години от края на годината на издаване, според българското счетоводно право |
| Тип платежен метод, последни четири цифри на карта, резултат от плащане (ние не съхраняваме пълни номера на карти; Stripe ги държи като отделен администратор) | Обработка на поръчки, възстановявания, решаване на спорове | Чл. 6(1)(b): изпълнение на договора | 10 години (финансови записи) |
| Артикули в поръчка, размери на закупени плочи, допълнителна обработка | Изпълнение на поръчка, следпродажбена поддръжка, връщания | Чл. 6(1)(b): изпълнение на договора | 10 години |
| Номер за проследяване от превозвач | Доставка, решаване на спорове | Чл. 6(1)(b): изпълнение на договора | 24 месеца |
3.4. Клиентска поддръжка и комуникации
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| Имейли до поддръжката, приложения, снимки, изпратени от вас (напр. снимка за претенция за повреда) | Разглеждане на запитването ви, решаване на спорове | Чл. 6(1)(b): изпълнение на договора; чл. 6(1)(f): легитимен интерес за подобряване на услугата | 24 месеца от последния контакт, по-дълго ако е свързано с финансов запис |
| WhatsApp / чат разговори, свързани с поръчка | Координация на поръчка | Чл. 6(1)(b): изпълнение на договора | Както по-горе |
| Чат на живо в Сайта: вашите съобщения, имейл адрес (ако предоставите такъв за препис), IP адрес, приблизително местоположение (град и държава), информация за браузъра и устройството, както и страниците, които посещавате по време на разговора | Отговор на запитването ви, предотвратяване на злоупотреби и спам, качество на поддръжката | Чл. 6(1)(b): изпълнение на договора (преддоговорни запитвания); чл. 6(1)(f): легитимен интерес за предотвратяване на злоупотреби | IP адрес, местоположение и информация за устройството: 90 дни. Съдържание на разговора: 24 месеца от последния контакт или до искане за изтриване |
3.5. Маркетинг
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| Имейл адрес с изричен opt-in за бюлетин | Изпращане на бюлетина | Чл. 6(1)(a): съгласие | Докато се отпишете |
| Имейл адрес на съществуващ клиент за съобщения за подобни продукти | Soft opt-in маркетинг по Директива за ePrivacy чл. 13(2) и българския Закон за електронната търговия чл. 6 | Чл. 6(1)(f): легитимен интерес, с opt-out, предложен в момента на събиране на имейла (checkout), и ясна връзка за отписване във всеки имейл | Докато се отпишете |
| Данни за ангажираност от имейл кампании (отваряне, клик) | Измерване на ефективността на кампании, без индивидуално профилиране, извеждане на интереси или решения за допустимост | Чл. 6(1)(f): легитимен интерес | 6 месеца след края на кампанията (макс. 12 месеца) |
3.6. Персонал на партньорски складове и B2B контактни данни
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| Имена, бизнес имейл и телефон на контактни лица в партньорски складове и B2B купувачи | Изпълнение на консигнационния / търговския договор | Чл. 6(1)(b): изпълнение на договора; чл. 6(1)(f): легитимен интерес за поддържане на бизнес отношения | Продължителност на отношенията + 24 месеца |
3.7. AI/ML и Text and Data Mining (TDM)
Лични данни на потребители НЕ се използват за обучение на AI/ML модели. KORENA не използва вашите лични данни (име, имейл, адреси, история на поръчки, engagement metrics) за обучение на изкуствен интелект, системи за машинно обучение или за text and data mining цели. Когато използваме AI/ML технология (напр. SAM сегментацията в приложението KORENA Capture за анализ на изображения на плочи), тя работи само върху image data от страна на оператора и не обработва лични данни на купувачи или крайни потребители. Имате право да възразите срещу всяка TDM употреба на вашите данни по DSM Directive чл. 4. Свържете се с office@korena.eu, за да упражните това право.
3.8. Предотвратяване на измами и сигурност
| Какво събираме | Цел | Правно основание | Съхранение |
|---|---|---|---|
| Модели на поръчки, IP, данни за устройство, Stripe risk signals | Откриване и предотвратяване на измами, злоупотреба с chargeback и превземане на профили | Чл. 6(1)(f): легитимен интерес за предотвратяване на измами, балансиран срещу ограничения и целеви характер на обработването | 24 месеца от свързаната поръчка |
Не извършваме изцяло автоматизирано вземане на решения, което поражда правни или сходно значими последици (GDPR чл. 22), освен това, което системата Stripe Radar извършва като част от оторизацията на плащане. Stripe Radar използва автоматизирано вземане на решения за оценка на платежния риск. Ако плащане бъде отказано:
- (a) Ще видите ясно съобщение в момента на отказа;
- (b) Имате право, безплатно, на човешки преглед и обяснение. Свържете се с office@korena.eu с данните за поръчката и ще ескалираме към Stripe и ще предоставим обяснение на оценените рискови фактори и мерките, които можете да предприемете (напр. използване на друг платежен метод или контакт с издателя на картата);
- (c) Ще отговорим в рамките на един календарен месец.
Обработването по чл. 22 е необходимо за изпълнение на договора за продажба по GDPR чл. 22(2)(a). Без него не можем разумно да приемаме онлайн плащания.
4. Източници на данни
Почти всички данни, които обработваме, се събират директно от вас. Две изключения:
- Stripe ни изпраща данни за резултат от плащане, последните четири цифри на картата и risk signals, когато плащате. Не виждаме пълния номер на картата.
- Speedy и Econt (и други превозвачи) ни изпращат събития за проследяване на пратки.
5. С кого споделяме данни
Споделяме лични данни със следните категории получатели. Всеки получател обработва данните само за описаната функция и е обвързан с подходящи договорни гаранции.
| Получател | Какво получава | Роля | Къде обработва | Гаранция |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. (и Stripe Inc., САЩ) | Данни на картодържател, адрес за фактуриране, IP, сума | Обработващ за платежните записи на KORENA; отделен независим администратор за fraud monitoring (Stripe Radar) | Ирландия + Съединени щати | Data Processing Addendum на Stripe (stripe.com/legal/dpa); активна EU–US Data Privacy Framework сертификация на Stripe Inc., включително UK Extension и Swiss–US DPF (проверено 2026-05-03 на dataprivacyframework.gov, participant ID 6436); EU SCCs като резерв |
| Speedy AD | Име на получател, адрес, телефон, данни за пратка | Отделен независим администратор за логистика на доставки; обработващ за метаданни за управление на пратки | България, ЕС | Условия и уведомление за поверителност на Speedy; обработване в ЕС |
| Econt Express AD | Име на получател, адрес, телефон, данни за пратка и палет | Отделен независим администратор за логистика на доставки; обработващ за метаданни за управление на пратки | България, ЕС | Условия и уведомление за поверителност на Econt; обработване в ЕС |
| EU pallet freight forwarder (TBC при старта) | Име на получател, адрес, телефон, freight data | Обработващ за трансграничен товарен транспорт | ЕС | Стандартен договор с freight forwarder; обработване в ЕС |
| Resend, Inc. | Имейл адрес, съдържание на имейли (транзакционни и маркетингови) | Обработващ за доставка на имейли | Съединени щати | DPA на Resend; активна EU–US Data Privacy Framework сертификация на Resend, Inc., включително UK Extension към EU–US DPF (проверено 2026-05-03 на dataprivacyframework.gov спрямо активния списък с участници); EU SCCs като резерв |
| Supabase, Inc. | Данни за профили, поръчки, поддръжка (база данни и удостоверяване) | Обработващ за hosted database и authentication | EU region (Frankfurt), където е поддържано, иначе САЩ | Supabase DPA; SCCs за всяко обработване извън ЕС |
| Hosting / CDN provider (Vercel или еквивалент, потвърждение при старта) | Всички site data in transit | Обработващ за hosting и delivery | EU edge nodes; част от control-plane в САЩ | DPA + SCCs |
| Български счетоводител | Фактури, ДДС записи | Обработващ за счетоводно и данъчно съответствие | България | Писмен договор; правно задължение |
| Данъчни и компетентни органи | Фактури, ДДС и данъчни записи | Независими администратори | България, ЕС | Правно задължение по чл. 6(1)(c) |
| Правни съветници, когато са ангажирани | Само данните, необходими за въпроса | Обработващ (или независим администратор, според ангажимента) | ЕС | Професионална тайна + писмен договор |
Не продаваме личните ви данни и не ги споделяме с рекламни мрежи за cross-site поведенческа реклама.
Списъкът по-горе ще се обновява при добавяне, промяна или премахване на подизпълнител. Съществени промени ще бъдат съобщавани на Сайта поне тридесет (30) дни предварително за абонати за бюлетин и притежатели на профили.
6. Международни трансфери
Някои получатели обработват данни извън Европейското икономическо пространство (ЕИП), по-специално Stripe (елементи в САЩ) и Resend (САЩ). За всеки такъв трансфер разчитаме на:
- Стандартни договорни клаузи (SCCs), одобрени от Европейската комисия, когато се изискват; и/или
- Решения за адекватност, когато са приложими (напр. EU–US Data Privacy Framework, когато получателят е сертифициран).
Ако искате копие от гаранциите за конкретен трансфер, свържете се с office@korena.eu.
6.1. Оценки на въздействието на трансфера
Когато обработващ разчита на EU SCCs или други гаранции за трансфери към държави без адекватност, поддържаме или държим Transfer Impact Assessment (TIA) по GDPR чл. 46 и насоките на EDPB (01/2020). Тези оценки са налични за надзорните органи при поискване. За трансфери, подкрепени от Data Privacy Framework сертификация, ще проверяваме повторно статуса на сертификация при всеки цикъл на публикуване и ще обновяваме §5 (С кого споделяме данни) съответно.
7. Вашите права
По GDPR имате следните права, които можете да упражните безплатно, като пишете на office@korena.eu:
-
Достъп (чл. 15): потвърждение дали обработваме данни за вас и копие от тези данни в структуриран, широко използван, машинночетим формат (CSV или JSON). Предоставяме това безплатно. Ако искането е явно неоснователно или прекомерно, можем да начислим разумна административна такса. Доставката е чрез защитен имейл или криптирана връзка за изтегляне.
-
Корекция (чл. 16): поправка на неточни данни.
-
Изтриване (чл. 17): изтриване на данни, при спазване на нашите правни задължения за съхранение. Правни изключения включват: (a) фактури и ДДС записи, съхранявани 10 години по българското счетоводно право; (b) имейли до поддръжката и снимки по спорове, съхранявани до решаване на спора плюс 2 години; (c) данни за профил, съхранявани 12 месеца след закриване, освен ако са свързани с висящ въпрос; (d) IP адреси и access logs, съхранявани 90 дни, освен ако са свързани със security incident.
-
Ограничаване (чл. 18): ограничаване на обработването при определени обстоятелства.
-
Преносимост (чл. 20): получаване на лични данни, които сте ни предоставили (име, имейл, адреси, тип платежен метод) в структуриран, широко използван, машинночетим формат. Това право се прилага за данни, обработвани по договор (чл. 6(1)(b)) или съгласие (чл. 6(1)(a)). То не включва производни данни (engagement metrics, измервания на плочи, изчислени от нас) или данни, обработвани по правно задължение (фактури).
-
Възражение (чл. 21): срещу обработване въз основа на легитимен интерес, включително директен маркетинг (където правото на възражение е абсолютно).
-
Оттегляне на съгласие (чл. 7(3)): по всяко време, без да засяга законосъобразността на обработването преди оттеглянето.
-
Право да не бъдете обект на автоматизирано вземане на решения (чл. 22): виж §3.8 по-горе (Stripe Radar; право на човешки преглед).
Ще отговорим в рамките на един календарен месец от получаване на искане, с възможност за удължаване с още два месеца при сложни или многобройни искания (с уведомление). Ако не можем да ви идентифицираме въз основа на данните, които държим, можем да поискаме допълнителна информация за проверка на самоличността преди действие.
Можете също да подадете жалба до надзорния орган:
Комисия за защита на личните данни бул. Цветан Лазаров 2, София 1592, България cpdp.bg · kzld@cpdp.bg
Ако обичайното ви местопребиваване е в друга държава членка на ЕС, можете също да подадете жалба до органа за защита на данните в тази държава.
8. Сигурност
Прилагаме подходящи технически и организационни мерки за защита на личните данни, включително криптиране при пренос (TLS), криптиране в покой в нашата база данни, контроли за достъп, audit logs, разделение на задълженията и принципа на най-малките привилегии. Stripe държи пълните данни на платежните карти извън нашите системи и е PCI-DSS сертифициран. Въпреки разумните мерки никоя система не е напълно сигурна.
При нарушение на сигурността на личните данни ще:
- (i) Уведомим Комисията за защита на личните данни (CPDP) без ненужно забавяне и в рамките на 72 часа от откриването, когато това се изисква от GDPR чл. 33;
- (ii) Уведомим ви директно без ненужно забавяне (обичайно в рамките на 7 дни от откриването), когато нарушението вероятно води до висок риск за вашите права и свободи (GDPR чл. 34);
- (iii) В директното уведомление включим: естеството и вероятните последици от нарушението, предприетите или предложени мерки и нашата контактна точка (office@korena.eu) за допълнителна информация.
9. Деца
Сайтът не е насочен към деца под 14 години и не обработваме съзнателно лични данни на деца под 14 години без родителско съгласие или настойничество. KORENA е пазар за премиум твърда дървесина, предназначен за професионални и пълнолетни хоби потребители; не е предназначен или маркетираn към непълнолетни. Ако смятате, че дете под 14 години ни е предоставило лични данни, свържете се с office@korena.eu и ще изтрием данните.
10. Промени в тази Политика
Можем да обновяваме тази Политика от време на време. Съществени промени ще бъдат съобщавани по имейл на притежатели на профили и абонати за бюлетин и публикувани на Сайта поне тридесет (30) дни преди да влязат в сила, освен когато законът изисква промяната да влезе в сила по-рано.
Датата на версията в края на тази Политика е текущо действащата версия.
11. Езици
Тази Политика е съставена на английски, който е работният източник на истина. Преводи могат да бъдат налични на Сайта. Когато законът го изисква (по-специално за субекти на данни с местоживеене в България), българският превод е обвързващата версия.
Последен преглед: 2026-04-30 · Следващ преглед: 2027-04-30 (или по-рано при основание).