Политика за поверителност

1. Кой обработва вашите лични данни (администратор)

Администратор на личните данни по смисъла на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни (ЗЗЛД) е:

Дружеството не е задължено по закон да назначи Длъжностно лице по защита на данните (DPO), но всички въпроси, свързани с поверителност, се обработват приоритетно от посочения имейл.

2. Обхват на политиката

Тази политика описва как обработваме лични данни, когато използвате уебсайта cyberninjas.ai, нашата SaaS платформа, AI Студиото, видео уроците, общността и свързаните Telegram интеграции. Тя не покрива външни уебсайтове или услуги, към които препращаме.

3. Какви категории лични данни обработваме

• Идентификационни данни: име, имейл адрес, аватар (когато е свързан Google профил).
• Данни за акаунта: криптирана парола, статус на двуфакторна защита, MFA фактори, свързани OAuth профили (Google), съгласие за имейл маркетинг.
• Финансови и платежни данни: данни за плащания (последни 4 цифри на карта, държава), номера на абонаменти и фактури, ДДС / VAT номер за фирмени акаунти, фирмено име, адрес. Пълните данни на картите се обработват изцяло от Stripe и не се съхраняват от нас.
• Съдържание, генерирано от потребителя: промптове, изображения, видеа, наръчници, чат сесии с AI Архитектите, метаданни на генерациите, public/private статус, форкове, харесвания.
• Технически данни: IP адрес (за rate-limiting и сигурност), потребителски агент, тип браузър, операционна система, езикови предпочитания, времеви печати на действията.
• Данни за прогрес в обучението: гледани видеоуроци, докъде сте стигнали в курсовете, отзиви.
• Telegram данни: Telegram chat ID, име в Telegram (когато доброволно свържете акаунта си с бота), статус на членство в платената група, предпочитания за известия.
• Данни от онбординга: ниво на опит с AI, индустрия, интереси и цел – съхраняват се за персонализация и могат да бъдат променяни по всяко време.
• Имейл кореспонденция: съдържанието на писмата, които ни изпращате на адресите за поддръжка.

4. Цели, правни основания и срокове на съхранение

Обработваме личните ви данни за конкретни и легитимни цели, всяка с ясно определено правно основание по чл. 6 от GDPR и срок на съхранение, съобразен с целта или законовите изисквания.

5. Доставчици на услуги (под-обработващи)

За да предоставим платформата, използваме доверени трети страни (под-обработващи), всички от които са обвързани с договори за обработка на данни (DPA) и подходящи технически и организационни мерки. Никой от тях не продава вашите данни.

При промяна в списъка на под-обработващите ще актуализираме тази таблица и датата в горната част на страницата.

6. Международни трансфери на данни

Част от описаните по-горе доставчици се намират извън Европейското икономическо пространство (ЕИП). За тези трансфери прилагаме допустими по GDPR гаранции:

• Стандартни договорни клаузи (SCCs): сключени с всички доставчици в САЩ (Stripe, Vercel, Google, OpenAI, xAI, Mux, Resend, Kling AI и др.).
• EU-U.S. Data Privacy Framework (където доставчикът е сертифициран) – допълнителна гаранция за адекватност съгласно Решение за изпълнение на ЕК (ЕС) 2023/1795.
• Минимизация на данните: към AI доставчиците изпращаме само промптовете и референтните файлове, необходими за конкретната генерация – без идентификационни данни на потребителя.
• Технически мерки: всички трансфери се извършват по криптирани канали (TLS 1.2+) и кратко-живи токени.

Telegram: свързването на Telegram акаунт е изцяло доброволно. Telegram е базиран извън ЕИП и САЩ, поради което изпратените към него данни (chat ID, име, известия) се обработват по правилата на Telegram. Можете по всяко време да отвържете Telegram акаунта от настройките.

7. Автоматизирано вземане на решения и AI обработка

Платформата използва AI модели от трети страни за генериране на изображения, видеа, текстове и автоматизации. Това включва автоматизирана обработка на въведените от вас промптове. Такава обработка:

• Не води до правни последици за вас и не засяга съществено вашите права (по смисъла на чл. 22 GDPR).
• Включва автоматична модерация на промптовете преди изпращане към AI моделите. При откриване на нарушаващо съдържание заявката се блокира и кредитите се възстановяват автоматично.
• Резултатите от генерациите остават ваша собственост, доколкото това е допустимо по приложимото законодателство и условията на AI доставчика.

8. Вашите права по GDPR

Като субект на лични данни имате следните права, които можете да упражните по всяко време:

• Право на достъп (чл. 15 GDPR) – да получите потвърждение и копие на личните данни, които обработваме.
• Право на коригиране (чл. 16 GDPR) – да поправите неточни или непълни данни. Повечето полета можете да коригирате директно от настройките на профила.
• Право на изтриване „да бъдеш забравен“ (чл. 17 GDPR) – да поискате изтриване, освен в случаите, в които сме задължени по закон да запазим данните (например 10 години за фактури).
• Право на ограничаване на обработката (чл. 18 GDPR).
• Право на преносимост (чл. 20 GDPR) – да получите данните си в структуриран, машинно четим формат (JSON / CSV).
• Право на възражение (чл. 21 GDPR) – да възразите срещу обработка на основание легитимен интерес или директен маркетинг.
• Право да оттеглите съгласие (чл. 7, ал. 3 GDPR) – без да се засяга законосъобразността на предходната обработка. Маркетинговите имейли имат unsubscribe линк във всяко съобщение.

За да упражните права, които не са достъпни директно от настройките, ни пишете на privacy@cyberninjas.ai от регистрационния си имейл. Отговаряме в срок до един месец съгласно чл. 12, ал. 3 GDPR.

9. Жалби до надзорния орган

Ако считате, че обработката на вашите данни нарушава GDPR или ЗЗЛД, имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД):

Преди да подадете жалба, ви насърчаваме да се свържете с нас – в повечето случаи проблемът може да бъде решен директно.

10. Деца и непълнолетни

Платформата не е насочена към лица под 14 години (възрастта на съгласие за обработка на лични данни в Република България съгласно чл. 4а от ЗЗЛД). Не събираме съзнателно данни на деца под 14 г. без съгласието на техен родител или попечител. Ако установим, че сме събрали такива данни без надлежно съгласие, ги изтриваме незабавно. За въпроси и сигнали ни пишете на privacy@cyberninjas.ai.

11. Сигурност на данните

Прилагаме индустриални технически и организационни мерки за защита на вашите данни:

• Криптиране на трансфера (TLS 1.2+) и на чувствителните полета в покой.
• Row-Level Security (RLS) на ниво база данни – никой потребител не вижда чужди данни.
• Двуфакторна защита (TOTP) за админ панела и опционално за потребителските акаунти.
• Хеширане на паролите чрез bcrypt – никой служител не вижда действителната ви парола.
• Принцип на минимални права – служителите имат достъп само до данните, необходими за конкретна задача.
• Регулярни сигурностни одити на кода и на инфраструктурата.
• Сегрегация между production и тестови среди – реални данни никога не се ползват за разработка.

12. Уведомление при нарушение на сигурността на данните

При нарушение на сигурността, което може да доведе до риск за правата и свободите ви, ще ви уведомим в срок до 72 часа от установяване (чл. 33 и чл. 34 GDPR), включително какво се е случило, какви данни са засегнати и какви мерки сме предприели. Едновременно уведомяваме и КЗЛД в законоустановения срок.

13. Бисквитки и подобни технологии

Платформата използва задължителни и функционални бисквитки, описани подробно в нашата Политика за бисквитки.

14. Промени в политиката

Можем да актуализираме тази политика, за да отразим промени в услугите, законодателството или най-добрите практики. При съществени промени ще уведомим всички активни потребители по имейл поне 14 дни преди влизането им в сила. Датата на последна актуализация е посочена в горната част на страницата. Архив с по-стари версии се съхранява за 5 години.

15. Контакт

За всички въпроси, свързани с тази политика или с обработката на личните ви данни: