Политика за поверителност
Последна актуализация: 30 май 2026 г.
Преводът е предоставен за улеснение. При несъответствие с английската версия, английският текст има предимство.
1. Кои сме ние
OneScan ("ние", "нас", "наш") се оперира от OneScan, дружество, регистрирано във Варна, България (фирма / ЕИК и ДДС номер на разположение при поискване). Ние сме администратор на личните данни на притежателите на акаунти, обработвани чрез платформата OneScan на onescan.menu ("Услугата").
За въпроси относно настоящата Политика за поверителност или Вашите лични данни, свържете се с нас на onescan.menu@outlook.com. Не сме назначили Длъжностно лице по защита на данните, тъй като не сме правно задължени да го сторим съгласно чл. 37 от GDPR (не сме публичен орган, основните ни дейности не се състоят в широкомащабно систематично наблюдение и не обработваме данни от специални категории в голям мащаб).
2. Нашата роля и Вашата роля
За притежателите на акаунти (Вие): ние действаме като администратор на личните данни, описани в член 3, защото ние определяме защо и как ги обработваме (управление на акаунта, таксуване, сигурност, клиентска поддръжка).
За съдържанието, което публикувате: менютата, описанията на артикули, изображенията и бизнес информацията, които качвате, са Ваше съдържание. Ако решите да включите лични данни на трети лица в това съдържание (например да назовете служител в меню или да качите снимка на разпознаваемо лице), Вие сте администратор на тези лични данни и ние действаме само като обработващ от Ваше име, съхранявайки и показвайки ги съгласно указанията. Вие сте отговорни за наличието на правно основание да публикувате такива данни. Бизнес клиенти, които изискват писмено Споразумение за обработване на данни (DPA) по чл. 28 от GDPR, могат да го заявят на onescan.menu@outlook.com.
За посетителите, сканиращи QR меню: умишлено не събираме лични данни от посетителите. Прегледите на страниците се регистрират само като брояч, без IP адрес, идентификатор на устройство, бисквитки или какъвто и да е друг идентификатор.
3. Какви данни събираме
Събираме следните категории лични данни:
Данни за акаунта
- Име, имейл адрес и хеширана парола (или данни от профил в Google OAuth)
- Статус на потвърждение на имейла
- Предпочитания на акаунта (език, тема, план)
Бизнес съдържание
- Имена на бизнеса, описания и местоположения, които въвеждате
- Имена на менюта, артикули, цени, категории и описания
- Изображения, които качвате за артикули от менюто (EXIF метаданните се премахват при качване)
- Преводи, които предоставяте за съдържанието на менюто
Технически данни
- IP адрес и user-agent низ (събират се автоматично при влизане за сигурност на сесията и предотвратяване на злоупотреби)
- Токени за сесия (съхранявани в httpOnly, secure бисквитка)
- Сървърни логове, съдържащи горните данни, за кратък период на съхранение
Платежни данни
- Stripe ID на клиент и ID на абонамент (съхранявани на нашия сървър)
- Данните на платежната карта се събират и обработват изцяло от Stripe - ние никога не виждаме и не съхраняваме номера на картата
Данни за използване
- Анонимни броячи на прегледи за публични менюта (регистрираме, че е имало преглед, но не кой го е направил - не съхраняваме IP, бисквитка или данни за устройство за прегледите)
4. Как използваме данните Ви
| Цел | Правно основание (чл. 6 GDPR) |
|---|---|
| Предоставяне и работа на Услугата (управление на акаунти, хостване на менюта, QR кодове) | Изпълнение на договор |
| Обработка на плащания и управление на абонаменти | Изпълнение на договор |
| Изпращане на транзакционни имейли (добре дошли, нулиране на парола, потвърждение на имейл, известия за таксуване) | Изпълнение на договор |
| Поддържане на сигурността на сесиите и предотвратяване на злоупотреби (IP адрес, user-agent, ограничаване на честотата) | Легитимен интерес (сигурност) |
| Показване на анонимни броячи на прегледи в таблото | Легитимен интерес (анализ) |
| Подобряване на Услугата и разработване на нови функции чрез обобщени и анонимизирани данни, които не могат да бъдат свързани обратно с Вас | Легитимен интерес (развитие на продукта) |
| Реферирате името на Вашия бизнес или публичната страница с меню като пример за клиент, освен ако се откажете чрез имейл | Легитимен интерес (маркетинг) |
| Спазване на правни задължения (данъчни регистри, предотвратяване на измами, законни искания) | Правно задължение |
Не извършваме автоматизирано вземане на решения или профилиране, които пораждат правни или подобни значими последици за Вас по смисъла на чл. 22 от GDPR.
5. Услуги на трети лица (подобработващи)
Споделяме лични данни със следните услуги на трети лица единствено за предоставянето на Услугата:
| Услуга | Цел | Местоположение на данните |
|---|---|---|
| Hetzner Online GmbH | Сървърен хостинг, база данни, съхранение на изображения | Германия (ЕС) |
| Stripe Payments Europe Ltd. | Обработка на плащания, таксуване на абонаменти | ЕС / САЩ (със стандартни договорни клаузи на ЕС) |
| Resend, Inc. | Доставка на транзакционни имейли | САЩ (със стандартни договорни клаузи на ЕС) |
| Google LLC (OAuth, по избор) | Вход през Google, ако изберете този метод | САЩ (със стандартни договорни клаузи на ЕС) |
Не продаваме, не отдаваме под наем и не търгуваме с Вашите лични данни. Не използваме реклами или анализи от трети лица. С развитието на Услугата можем да ангажираме допълнителни подобработващи лица; актуален списък се предоставя при поискване, като няма да ангажираме подобработващо лице, което не предлага еквивалентни гаранции за защита на данните. Не споделяме данни с никакви други страни, освен по закон или съдебно разпореждане.
6. Международни трансфери на данни
Данните Ви се съхраняват главно на сървъри в Германия (ЕС). Когато данни се прехвърлят към обработващи лица извън ЕС/ЕИП (Stripe, Resend, Google), ние разчитаме на Стандартните договорни клаузи (СДК) на Европейската комисия (Решение 2021/914) като механизъм за прехвърляне, заедно с техническите и организационни гаранции, наложени на тези обработващи лица. Копие на действащите СДК с всеки обработващ се предоставя при поискване.
7. Бисквитки
OneScan използва само строго необходими бисквитки:
- Бисквитка за сесия (httpOnly, secure), която поддържа Вашата сесия до 7 дни.
- Бисквитка за предпочитание на тема, която запомня тъмен/светъл режим до 1 година.
Не използваме бисквитки за проследяване, реклама или анализ. Тъй като всички бисквитки са строго необходими за функционирането на Услугата, не се изисква банер за съгласие за бисквитки съгласно Директивата за е-неприкосновеност (2002/58/EО, чл. 5.3).
8. Срок на съхранение на данните
- Данни за акаунта и съдържание: съхраняват се, докато акаунтът е активен. Можем да изтрием неактивни безплатни акаунти и свързаното с тях съдържание след 12 месеца неактивност с предварително уведомление по имейл. Изтриват се в срок до 30 дни след валидна заявка за изтриване на акаунта, освен когато съхранението се изисква от закона.
- Данни от сесия (IP, user-agent): съхраняват се за времетраенето на сесията (до 7 дни). Сървърните логове за достъп, съдържащи IP адреси, се съхраняват до 90 дни с цел сигурност и предотвратяване на злоупотреби.
- Платежни записи: Stripe ID на клиент и абонамент, фактури и свързаните с тях записи се съхраняват за толкова, колкото изискват данъчните и счетоводните закони (обикновено 10 години съгласно българското право).
- Анонимни броячи на прегледи и обобщени анализи: се съхраняват безсрочно (към прегледите не са свързани лични данни).
- Резервни копия: данните може да останат в криптирани резервни копия до 30 дни след изтриването им от живата система, след което се изтриват при ротация.
9. Вашите права (GDPR)
Като субект на данни съгласно Общия регламент за защита на данните (GDPR) имате следните права:
- Право на достъп: да поискате копие на личните данни, които съхраняваме за Вас.
- Право на коригиране: да коригирате неточни данни (можете да промените името и имейла си директно в приложението).
- Право на изтриване: да поискате изтриване на акаунта си и всички свързани данни, при спазване на правните задължения за запазване.
- Право на преносимост на данните: да поискате експорт на данните си в структуриран, машинно четим формат.
- Право на ограничаване на обработването: да поискате да ограничим начина, по който използваме данните Ви, докато тече жалба или корекция.
- Право на възражение: срещу обработване, основано на легитимен интерес, включително маркетинговото използване на името на Вашия бизнес (вж. член 4).
- Право да оттеглите съгласието си: когато обработването се основава на съгласие, можете да го оттеглите по всяко време, без това да засяга законността на предходното обработване.
- Право да подадете жалба: можете да подадете жалба пред Комисията за защита на личните данни (КЗЛД, www.cpdp.bg) или пред местния надзорен орган в ЕС.
За да упражните което и да е от тези права, свържете се с нас на onescan.menu@outlook.com. Ще отговорим в срок до един месец (с възможност за удължаване с още два месеца за сложни заявки съгласно чл. 12(3) от GDPR). Може да поискаме да потвърдите самоличността си, преди да изпълним заявка, и може да откажем или да наложим разумна такса за явно неоснователни или прекомерни заявки.
10. Сигурност на данните и уведомление за нарушение
Прилагаме подходящи технически и организационни мерки за защита на личните Ви данни, включително: криптирани връзки (TLS/HTTPS) за всички данни при пренос; хеширани пароли (никога не се съхраняват в чист текст); httpOnly, secure бисквитки за сесия; база данни, хоствана в дата центрове в ЕС с контрол на достъпа; ограничаване на честотата и наблюдение за злоупотреби; както и редовни актуализации за сигурност на нашата инфраструктура. Никоя система не е 100% сигурна, но предприемаме разумни предпазни мерки за защита на данните Ви.
В случай на нарушение на сигурността на личните данни, което вероятно ще доведе до риск за правата и свободите Ви, ще уведомим българската КЗЛД в срок до 72 часа от узнаването, когато е приложимо, и ще информираме засегнатите потребители без необосновано забавяне, когато нарушението вероятно ще доведе до висок риск, в съответствие с членове 33 и 34 от GDPR.
11. Деца
Услугата не е насочена към лица под 18-годишна възраст и е предназначена за бизнес употреба. Не събираме съзнателно лични данни от деца. Ако смятате, че дете ни е предоставило лични данни, моля свържете се с нас и ще ги изтрием своевременно.
12. Промени в настоящата Политика
Можем да актуализираме настоящата Политика за поверителност от време на време. Ще Ви уведомим за съществени промени по имейл или с видимо съобщение в Услугата. Датата на "Последна актуализация" в горната част отразява най-скорошната редакция. Несъществени промени (уточнения, форматиране, актуализации на списъка на подобработващите) могат да се извършват без предварително уведомление.