Политика за поверителност

1. Администратор на лични данни

Администраторът на Вашите лични данни е PIKAP2 EOOD, търгуващо като PickUp2, с адрес: ул. Стара Планина 1, 7900 Омуртаг, Община Омуртаг, Област Търговище, България, ДДС номер: BG207937426. За повече информация, моля, вижте нашето Правно известие.

2. Длъжностно лице по защита на данните

Нашето назначено Длъжностно лице по защита на данните (ДЛЗД) е Dobromir Ivanov. ДЛЗД осигурява спазването на разпоредбите за защита на данните и е на разположение да отговори на всички въпроси относно Вашите лични данни. Можете да се свържете с нашето ДЛЗД на:

1. Имейл: [email protected]
2. Адрес: ул. Стара Планина 1, Омуртаг, 7900, Община Омуртаг, Област Търговище, България

3. Лични данни, които събираме

Ние събираме следните категории лични данни в зависимост от начина, по който взаимодействате с нашата Платформа: (а) Данни за регистрация на акаунт: имейл адрес, парола (съхранена само като bcrypt хеш — никога не съхраняваме пароли в четим вид), име, фамилия, телефонен номер, обръщение, тип потребител (товародател, превозвач или спедитор) и датата, на която сте се съгласили с нашите условия. (б) Фирмени данни: име на фирма, ДДС номер, държава, адрес, пощенски код, град, телефонен номер и тип дейност на фирмата. (в) Данни за верификация: резултати от валидиране на ДДС (чрез EU VIES и, за компании от Обединеното кралство, UK Companies House), качени документи (удостоверения за регистрация на фирма, ДДС сертификати, транспортни лицензи, застрахователни сертификати), име на собственик и резултати от AI-подпомогнат анализ на документи. Еднократно верификационно плащане от 1 EUR се обработва чрез Stripe. (г) Данни за използване на услугата: товарни поръчки (места за натоварване/разтоварване, включително GPS координати, дати, часове, описания на товар, тегло, размери, изисквания за превозни средства, цени, лица за контакт), оферти за автопарк, наддавания и оферти, записи за сделки и регистрации на превозни средства (включително регистрационни номера). (д) Данни за комуникация: чат съобщения, разменени между потребители, прикачени файлове, ценови оферти, потвърждения за прочитане и индикатори за писане. (е) Данни за оценки и отзиви: оценки със звезди (1-5), коментари и оценки на статус на плащане. Оценките са видими за всички регистрирани потребители. (ж) Данни за плащания и транзакции: статус на абонамент, име на план, история на транзакции, суми на плащания, валута, тип метод на плащане и референции към фактури от Stripe. Ние не съхраняваме номера на кредитни карти или данни за платежни карти — цялата обработка на карти се извършва от Stripe. (з) Технически данни: IP адреси, тип и версия на браузъра, операционна система, тип устройство, платформа (уеб, iOS или Android), времеви маркери за влизане и приблизително географско местоположение на базата на IP адрес. (и) Данни за служители и екип: когато собствениците на компании канят служители — имейл адрес, присвоена роля, длъжност и настройки за разрешения. (й) Данни за обратна връзка: тип обратна връзка, текст на съобщение, имейл за контакт (по избор) и екранни снимки (по избор). (к) Биометрични данни (само за мобилни устройства): ако активирате биометрично влизане (Face ID или Touch ID) на поддържано мобилно устройство, биометричната автентикация се обработва изцяло на Вашето устройство чрез защитения анклав на устройството. Ние не получаваме, предаваме или съхраняваме биометрични шаблони. (л) Данни за бюлетин: имейл адрес, дата на абонамент, времеви маркер на съгласие и езикови предпочитания.

4. Доставчици на услуги — трети страни

Ние ангажираме следните доставчици на услуги — трети страни, които обработват лични данни от наше име съгласно Споразумения за обработка на данни: (а) Stripe (stripe.com) — Обработка на плащания. Stripe обработва Вашите данни за платежни карти по сигурен начин. Ние получаваме само потвърждения за транзакции и не съхраняваме данни за карти. Поверителност: https://stripe.com/privacy (б) Amazon Web Services (AWS) — Облачна инфраструктура, съхранение на файлове (S3) и доставка на имейли (SES). Данните се съхраняват в региони на ЕС (eu-north-1, Стокхолм). Поверителност: https://aws.amazon.com/privacy (в) Sentry (sentry.io) — Мониторинг на грешки и проследяване на производителността. Възпроизвеждането на сесии се активира само след Вашето съгласие за Статистически бисквитки. Поверителност: https://sentry.io/privacy (г) Google Analytics — Анализ на уебсайта (само след съгласие за Статистика чрез Cookiebot). Използваме Google Analytics 4 с Google Consent Mode v2. IP адресите са анонимизирани. Поверителност: https://policies.google.com/privacy (д) Meta Pixel (Facebook) — Проследяване на конверсии (само след съгласие за Маркетинг). Поверителност: https://www.facebook.com/privacy (е) Cookiebot (Cybot A/S) — Управление на съгласието за бисквитки в съответствие с GDPR. Поверителност: https://www.cookiebot.com/en/privacy-policy (ж) OpenAI Inc. — AI-подпомогнат анализ на документи за верификация на компании. Извлеченият текст от документи (име на фирма, адрес, ДДС номер, имена на директори) се обработва за проверка на бизнес регистрации. Поверителност: https://openai.com/privacy (з) DeepL SE — Машинен превод на генерирано от потребители съдържание (товарни поръчки, оферти за автопарк, наддавания, съобщения, оценки) в подкрепа на нашата многоезична платформа. Данните се обработват в Германия (ЕС). Поверителност: https://www.deepl.com/privacy (и) IPInfo Inc. — IP геолокация за предоставяне на локализирано съдържание и разпознаване на езика. Поверителност: https://ipinfo.io/privacy (й) Google Maps (Google LLC) — Автодовършване на адреси и геокодиране за търсене на местоположения. Поверителност: https://policies.google.com/privacy (к) Apple Push Notification Service (APNs) — Push известия за мобилното приложение за iOS. (л) Cloudflare Inc. — CDN, DDoS защита и DNS услуги. Поверителност: https://www.cloudflare.com/privacypolicy/ (м) Google Firebase Storage — Доставка на видео съдържание на нашия уебсайт. Поверителност: https://firebase.google.com/support/privacy

5. Автоматично събиране на данни

Когато посещавате нашия уебсайт или използвате нашите приложения, ние автоматично събираме: (а) Техническа информация: IP адрес, тип/версия на браузъра, операционна система, тип устройство, резолюция на екрана и езикови предпочитания. (б) Данни за използване: посетени страници, прекарано време на страници, модели на кликване и източници на препращане. (в) Данни за местоположение: приблизително географско местоположение на базата на IP адрес (чрез услугата IPInfo) за предоставяне на локализирано съдържание. Тези данни се събират за законни интереси, включително осигуряване на сигурността на уебсайта, предотвратяване на измами, подобряване на потребителското изживяване и поддържане на качеството на услугата. Правното основание за тази обработка е член 6(1)(f) от GDPR.

6. Форми за контакт и заявки за услуги

Когато използвате нашата форма за контакт, форма за заявка за транспорт или се абонирате за нашия бюлетин, ние събираме: (а) Форма за контакт: име, имейл, телефон (по избор), тип запитване и съдържание на съобщението. Тези данни се обработват, за да отговорим на Вашето запитване (правно основание: член 6(1)(б) от GDPR — преддоговорни мерки). (б) Форма за заявка за транспорт: пълно име, имейл, телефон, държава, места за натоварване/разтоварване, описание на стоките, тегло, размери и предпочитани дати. Тези данни се използват, за да Ви предоставим оферти за транспорт и да Ви свържем с подходящи превозвачи или спедитори. (в) Бюлетин: имейл адрес и езикови предпочитания. Изпращаме бюлетини само с Вашето изрично съгласие (член 6(1)(а) от GDPR). Можете да се отпишете по всяко време, като използвате връзката във всеки имейл от бюлетина.

7. Споделяне на данни с потребители на платформата

Като платформа за товарна логистика, определени данни се споделят между потребителите за осигуряване на услугата: (а) Когато публикувате товарна поръчка или оферта за автопарк, името на Вашата компания, името на лицето за контакт и детайлите на обявата са видими за други регистрирани потребители. (б) Когато подавате ценова оферта чрез чат, данните за Вашата компания и условията на офертата се споделят с получателя. (в) Чат съобщенията са видими само за участниците в разговора. (г) Оценките и отзивите са видими за всички регистрирани потребители. (д) Статусът на верификация на компанията (верифицирана/неверифицирана) се показва на другите потребители. Ние не продаваме лични данни на трети страни. Споделянето на данни с други потребители е от съществено значение за основната функционалност на платформата (правно основание: член 6(1)(б) от GDPR — изпълнение на договор).

8. Покани за служители и управление на екипа

Собствениците и администраторите на компании могат да канят служители да се присъединят към техния фирмен акаунт в PickUp2. При покана на служител ние събираме: имейл адрес, присвоена роля, длъжност и настройки за разрешения. Имейлите с покани съдържат сигурни, ограничени във времето токени. Акаунтите на служителите са свързани с фирмения акаунт и администраторите на компанията могат да управляват разрешенията на служителите за достъп до товарни поръчки, оферти за автопарк, сделки, чат, оценки и управление на автопарка. Ако служител напусне компанията, неговият акаунт може да бъде деактивиран от администратора на компанията.

9. Бисквитки и технологии за проследяване

Ние използваме бисквитки и подобни технологии в съответствие с Вашите предпочитания за съгласие. Категории бисквитки: (а) Строго необходими бисквитки: Съществени за функционалността на уебсайта, включително токени за автентикация (JWT в HTTP-only бисквитка), езикови предпочитания (i18n_redirected), състояние на съгласието на Cookiebot и функции за сигурност. Те не изискват съгласие. (б) Бисквитки за предпочитания: Съхраняват Вашите настройки като режим на темата (тъмен/светъл) и запазени филтри за търсене. Активират се с Вашето съгласие за Предпочитания. (в) Статистически бисквитки: Проследяване на Google Analytics и възпроизвеждане на сесии от Sentry за разбиране на поведението на потребителите и подобряване на нашите услуги. Активират се само с Вашето съгласие за Статистика чрез Cookiebot. (г) Маркетингови бисквитки: Meta Pixel за измерване на реклами. Активират се само с Вашето съгласие за Маркетинг. Ние прилагаме Google Consent Mode v2, което означава, че цялото проследяване за анализ и маркетинг е блокирано по подразбиране, докато не предоставите съгласие. Можете да управлявате предпочитанията си за бисквитки по всяко време, като кликнете върху връзката за настройки на бисквитките в долната част на нашия уебсайт. Ние също използваме localStorage на браузъра за функционални цели: езикови предпочитания, настройка на тема и памет за филтри за търсене. Те не Ви проследяват между уебсайтове.

10. Бюлетин и маркетингови комуникации

Когато се абонирате за нашия бюлетин, ние съхраняваме Вашия имейл адрес, дата на абонамент, времеви маркер на съгласието и езикови предпочитания. Използваме тези данни, за да Ви изпращаме актуализации за нашите услуги, новини от индустрията и функции на платформата. Правно основание: Вашето изрично съгласие (член 6(1)(а) от GDPR). Можете да оттеглите съгласието си и да се отпишете по всяко време чрез: (1) кликване върху връзката за отписване във всеки имейл от бюлетина, (2) свързване с нас на [email protected] или (3) управление на предпочитанията си в настройките на акаунта Ви. След отписване ние запазваме запис на Вашия имейл адрес в нашия списък за потискане, за да гарантираме, че няма да се свързваме с Вас отново, освен ако не се абонирате повторно.

11. Анализ и мониторинг на грешки

Ние използваме следните инструменти за анализ и мониторинг: (а) Google Analytics 4: Проследява използването на уебсайта, включително прегледи на страници, потребителски пътувания и събития за конверсия. Внедрили сме Google Consent Mode v2, което означава, че проследяването започва едва след като предоставите съгласие за Статистика. IP адресите са анонимизирани. Данните се съхраняват 14 месеца. (б) Sentry: Следи грешки в приложението и проблеми с производителността. За проследяване на грешки (от съществено значение за стабилността на услугата) разчитаме на законен интерес. За възпроизвеждане на сесии (записване на потребителски взаимодействия за разбиране на бъгове) изискваме Вашето съгласие за Статистика. Чувствителни данни (пароли, токени, данни за плащания) се филтрират автоматично преди изпращане на данни към Sentry. (в) Meta Pixel: Проследява събития за конверсия за оптимизация на рекламите. Активира се само след съгласие за Маркетинг. Можете да се откажете по всяко време, като оттеглите съгласието си чрез настройките за бисквитки.

12. Интеграция със социални медии

Ние поддържаме профили в LinkedIn, Facebook, Instagram и X (Twitter). Когато взаимодействате с нас чрез тези платформи: (а) Връзки към социални медии: Кликването върху връзки към нашите профили в социалните медии може да прехвърли Вашия IP адрес към платформата. (б) Функции за споделяне: Използването на бутони за споделяне на статии от блога създава връзка със съответната платформа. (в) Поверителност на платформата: Всяка платформа има своя собствена политика за поверителност. Препоръчваме Ви да прегледате: Facebook (https://www.facebook.com/privacy), LinkedIn (https://www.linkedin.com/legal/privacy-policy), Instagram (https://help.instagram.com/519522125107875), X/Twitter (https://twitter.com/en/privacy).

13. Вашите права за защита на данните

Съгласно GDPR, UK GDPR и швейцарския FADP Вие имате следните права по отношение на Вашите лични данни:

1. Право на достъп (член 15 от GDPR): Да поискате копие на личните данни, които съхраняваме за Вас
2. Право на коригиране (член 16): Да поискате коригиране на неточни или непълни данни. Можете да актуализирате повечето данни директно в настройките на акаунта си
3. Право на изтриване (член 17): Да поискате изтриване на Вашите данни. Можете да изтриете акаунта си от Настройки > Опасна зона, което задейства 30-дневен гратисен период, последван от окончателно изтриване
4. Право на ограничаване на обработването (член 18): Да поискате ограничаване на начина, по който обработваме Вашите данни при определени обстоятелства
5. Право на преносимост на данните (член 20): Да поискате Вашите данни в структуриран, машинночетим формат
6. Право на възражение (член 21): Да възразите срещу обработване, основано на законни интереси или за директен маркетинг. Можете да се отпишете от бюлетини по всяко време

За да упражните тези права, моля, свържете се с нас на [email protected]. Ще отговорим в рамките на 30 дни. Вие също имате право да подадете жалба до Вашия местен орган за защита на данните. За България: Комисия за защита на личните данни (КЗЛД) — https://www.cpdp.bg. За Обединеното кралство: Information Commissioner's Office (ICO) — https://ico.org.uk. За Швейцария: Федерален комисар по защита на данните и информацията (FDPIC) — https://www.edoeb.admin.ch. [email protected]

14. Мерки за сигурност на данните

Ние прилагаме следните мерки за сигурност, за да защитим Вашите данни: (а) Криптиране при предаване: Всички данни, предавани между Вашето устройство и нашите сървъри, използват TLS/SSL криптиране (HTTPS). (б) Сигурност на паролите: Паролите се хешират с bcrypt с 10 кръга на солиране преди съхранение. Никога не съхраняваме пароли в четим вид. (в) Контрол на достъпа: Разрешения, базирани на роли, с четири предварително зададени нива плюс персонализирани конфигурации. (г) Автентикация: Краткотрайни JWT токени за достъп (30 минути) с HTTP-only, secure, SameSite=strict бисквитки за опресняващи токени (7 дни). Опресняващите токени могат да бъдат индивидуално анулирани. (д) Сигурност на OTP: Еднократните пароли за верификация на имейл и нулиране на парола се хешират и изтичат след 15 минути с максимум 3 опита. (е) Сигурност на файловете: Качените документи се съхраняват в AWS S3 с частен контрол на достъпа и ограничени във времето предварително подписани URL адреси. Документите за верификация имат воден знак. (ж) Сигурност на плащанията: Ние сме PCI-DSS съвместими чрез Stripe — никога не съхраняваме, обработваме или предаваме данни за кредитни карти на нашите сървъри. (з) Мобилна сигурност: На iOS устройства чувствителни идентификационни данни се съхраняват в хардуерно защитения iOS Keychain. (и) Засичане на злоупотреби: Автоматизиран мониторинг за опити за груба сила при влизане, подозрителни модели на достъп и ограничаване на заявките на множество нива. (й) Заключване при вход: Нарастващи периоди на заключване след неуспешни опити за влизане.

15. Съхранение на данни

Ние съхраняваме Вашите данни за следните периоди: (а) Данни за акаунта: Съхраняват се за срока на Вашия акаунт. След заявка за изтриване акаунтът Ви влиза в 30-дневен гратисен период за възстановяване, след което данните Ви се изтриват окончателно. (б) Записи за транзакции: Записите за плащания се съхраняват 7 години за данъчни и счетоводни цели, както се изисква от закона. (в) Съобщения в чата: Съхраняват се за срока на Вашия акаунт. Изтритите съобщения са меко изтрити (маркирани като изтрити, но запазени за разрешаване на спорове по време на живота на акаунта). (г) Оценки: Съхраняват се за срока на Вашия акаунт. Изтриват се при окончателно премахване на акаунта Ви. (д) Сървърни логове: Техническите логове се съхраняват до 90 дни за мониторинг на сигурността. (е) Данни за сесии: Опресняващите токени изтичат след 7 дни. Сесиите се изтриват при излизане от системата или при изтичане на токена. (ж) Абонамент за бюлетин: Имейл адресът се съхранява, докато не се отпишете, след което се премества в списък за потискане. (з) Подавания чрез формата за контакт: Съхраняват се до 2 години, след което се изтриват. (и) Документи за верификация: Съхраняват се за срока на Вашия акаунт. (й) Записи за съгласие за бисквитки: 12 месеца (управлявани от Cookiebot). След 30-дневния гратисен период за изтриване на акаунт, окончателното изтриване обхваща: потребителски профил, сесии, съобщения, оценки, товарни поръчки, оферти за автопарк, наддавания, чат стаи, фирмени документи, данни за верификация на фирмата и превозни средства. Записите за плащания и историята на транзакциите се запазват за правно съответствие.

16. Международни трансфери на данни

Вашите данни могат да бъдат прехвърлени и обработени в държави извън Европейското икономическо пространство (ЕИП), Обединеното кралство или Швейцария. Ние осигуряваме подходящи предпазни мерки чрез: (а) Рамка за поверителност на данните ЕС-САЩ: Stripe. (б) Стандартни договорни клаузи (СДК): Google (Analytics, Maps, Firebase), Meta, OpenAI, IPInfo, Apple (APNs), Cloudflare. (в) Обработка в ЕС (не се изисква трансфер): AWS (eu-north-1, Стокхолм), Sentry (de.sentry.io, Германия), DeepL (Германия), Cookiebot (Дания). Ние сме сключили Споразумения за обработка на данни (DPA) с всички обработващи данни, изброени в Раздел 4.

16.1 Автоматизирано вземане на решения

Нашият процес на верификация на компании използва AI-подпомогнат анализ на документи (задвижван от OpenAI) за извличане и сравняване на информация от качени документи за верификация с Вашите регистрационни данни. Този автоматизиран анализ дава оценка за съвпадение, която влияе на статуса Ви на верификация. Въпреки това никое напълно автоматизирано решение не води до отхвърляне на акаунт без човешки преглед. Нашият екип разглежда всички подадени заявки за верификация. Имате право да поискате човешки преглед на всяка автоматизирана оценка, да изразите Вашата гледна точка и да оспорите решението, като се свържете с нас на [email protected].

16.2 Политики за поверителност на трети страни

За подробна информация относно това как нашите доставчици на услуги обработват Вашите данни, моля, прегледайте техните политики за поверителност:

1. Facebook: https://www.facebook.com/about/privacy
2. Instagram: https://help.instagram.com/519522125107875
3. X (Twitter): https://twitter.com/en/privacy
4. YouTube: https://policies.google.com/privacy
5. LinkedIn: https://www.linkedin.com/legal/privacy-policy

17. Данни на деца и промени в тази Политика

Нашата Платформа е B2B услуга за бизнеси в сектора на товарната логистика. Ние не събираме съзнателно лични данни от лица под 18-годишна възраст. Ако научим, че сме събрали лични данни от лице под 18 години, ние ще ги изтрием незабавно. Ние можем да актуализираме тази Политика за поверителност, за да отразим промени в нашите практики, правни изисквания или услуги. При съществени промени ние ще: (1) Актуализираме датата „Последна актуализация" в началото на тази политика. (2) Уведомим регистрираните потребители по имейл за значителни промени. (3) Покажем забележимо известие на нашия уебсайт. Продължаването на използването на Платформата след влизане в сила на промените означава приемане на актуализираната политика.

Ако имате въпроси относно тази Политика за поверителност или нашите практики за данни, моля, свържете се с нас на [email protected] или пишете на: PIKAP2 EOOD, ул. Стара Планина 1, 7900 Омуртаг, България.