← Начало

Политика за поверителност

1. Администратор на лични данни

Администратор на личните данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 (GDPR) е Атлаз ЕООД (ЕИК: 204803183), със седалище и адрес на управление: гр. София, п.к. 1612, р-н Красно село, ж.к. Лагера, ул. "Кюстенджа" № 6, ет. 5, ап. 9.

За контакт: contact@tripvault.bg

2. Категории обработвани данни

При използване на Trip Vault обработваме следните категории данни:

  • Данни за идентификация — имена, имейл адрес, телефонен номер на служители на туристическата агенция
  • Данни на клиенти — имена, ЕГН/ЛНЧ, паспортни данни, адрес, телефон, имейл на пътуващите лица
  • Данни за пътувания — дестинации, дати, хотели, превоз, допълнителни услуги
  • Финансови данни — фактури, плащания, цени, валути, банкови преводи

3. Правно основание за обработка

Обработката на личните данни се извършва на следните правни основания съгласно чл. 6, ал. 1 от Регламент (ЕС) 2016/679 (GDPR):

  • Буква "б" — изпълнение на договор: Данните се обработват във връзка с изпълнението на договорните отношения между туристическата агенция и нейните клиенти, както и между Атлаз ЕООД и агенцията
  • Буква "в" — законово задължение: Съхранение на фактури и счетоводни документи съгласно Закона за счетоводството (чл. 12) и Данъчно-осигурителния процесуален кодекс
  • Буква "е" — легитимен интерес: Осигуряване на сигурността на Системата, предотвратяване на неоторизиран достъп и измами

4. Обработващи лични данни (трети страни)

За предоставяне на услугата използваме следните подизпълнители (обработващи лични данни по смисъла на чл. 28 от GDPR):

  • Clerk (Clerk, Inc., САЩ) — автентикация и управление на потребителски акаунти
  • Supabase (Supabase, Inc., САЩ) — база данни и съхранение
  • Vercel (Vercel, Inc., САЩ) — хостинг на приложението

Всички подизпълнители са обвързани с договори за обработка на данни (DPA) съгласно чл. 28 от GDPR и прилагат подходящи технически и организационни мерки за защита на данните.

5. Предаване на данни извън ЕИП

Посочените по-горе подизпълнители са установени в Съединените американски щати. Предаването на лични данни към САЩ се осъществява въз основа на:

  • Рамката за защита на данните ЕС—САЩ (EU-US Data Privacy Framework) — решение за адекватност на Европейската комисия от 10 юли 2023 г., съгласно чл. 45 от GDPR
  • Стандартни договорни клаузи (SCCs) — одобрени от Европейската комисия съгласно чл. 46, ал. 2, б. "в" от GDPR, като допълнителна гаранция

При промяна на правната рамка за трансфер на данни към САЩ, Атлаз ЕООД ще предприеме необходимите мерки за осигуряване на съответствие с приложимото законодателство.

6. Права на субектите на данни

Съгласно Глава III от Регламент (ЕС) 2016/679 имате право на:

  • Достъп (чл. 15) — да получите информация за обработваните Ваши данни
  • Коригиране (чл. 16) — да поискате поправка на неточни данни
  • Изтриване (чл. 17) — да поискате заличаване на данните Ви ("право да бъдеш забравен"), когато няма законово основание за продължаване на обработката
  • Преносимост (чл. 20) — да получите данните си в структуриран, машинно четим формат
  • Възражение (чл. 21) — да възразите срещу обработката на данните Ви
  • Ограничаване (чл. 18) — да поискате ограничаване на обработката

За упражняване на правата си, моля свържете се с нас на contact@tripvault.bg. Ще отговорим в срок от 30 дни съгласно чл. 12, ал. 3 от GDPR.

7. Срокове за съхранение

  • Фактури и счетоводни документи — 10 години съгласно чл. 12 от Закона за счетоводството
  • Данни за резервации — до 5 години след приключване на пътуването (давностен срок по ЗЗД)
  • Потребителски акаунти — до прекратяване на договорните отношения с агенцията

След изтичане на сроковете данните се изтриват или анонимизират по сигурен начин.

8. Технически и организационни мерки за сигурност

Съгласно чл. 32 от GDPR прилагаме подходящи мерки за защита на личните данни, включително:

  • Криптиране на данните при пренос (TLS/SSL) и в покой (encryption at rest)
  • Контрол на достъпа чрез автентикация и ролеви разрешения (RBAC)
  • Редовни актуализации на софтуера и инфраструктурата
  • Автоматични резервни копия на базата данни
  • Мониторинг и логиране на достъпа до системата

9. Уведомяване при нарушение на сигурността на данните

В случай на нарушение на сигурността на личните данни, Атлаз ЕООД ще:

  • Уведоми Комисията за защита на личните данни (КЗЛД) в срок до 72 часа съгласно чл. 33 от GDPR
  • Уведоми засегнатите субекти на данни без неоправдано забавяне, когато нарушението е вероятно да породи висок риск за техните права и свободи, съгласно чл. 34 от GDPR
  • Документира всяко нарушение и предприетите коригиращи действия

10. Бисквитки (Cookies)

Trip Vault използва само строго необходими бисквитки за автентикация и сигурност на сесията. Не използваме бисквитки за маркетинг, профилиране или проследяване. Тези бисквитки не изискват съгласие съгласно чл. 5, ал. 3 от Директива 2002/58/ЕО (ePrivacy Directive).

11. Надзорен орган

Имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД) съгласно чл. 77 от GDPR:

Адрес: гр. София 1592, бул. "Проф. Цветан Лазаров" № 2
Уебсайт: www.cpdp.bg

12. Общи условия

Настоящата Политика за поверителност е неразделна част от Общите условия за използване на Trip Vault.

Последна актуализация: 26.02.2026 г.