EU AI Act - 2 авг. 2026 Проверете безплатно
18 мин

Политика за защита на личните данни

Единна политика за защита на личните данни на ЦНТС ООД, обхващаща kazva.bg, AI Readiness Audit и EU AI Act Wizard, в съответствие с GDPR.

I. Администратор на лични данни

ЦНТС ООД (CNTS Ltd.) е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 (GDPR).

  • ЕИК: 206255746
  • ДДС номер: BG206255746
  • Седалище: ул. Дунав 44, ет. 3, 1202 София, България
  • МОЛ: Христина Тодорова Панайотова
  • Имейл за защита на данните: [email protected]

II. Обхват на политиката

Настоящата политика обхваща обработката на лични данни при използване на следните продукти и услуги на ЦНТС ООД:

  1. kazva.bg - безплатна платформа за обратна връзка и аналитика (проучвания, NPS).
  2. AI Readiness Audit (cnts.bg/audit) - платен цифров продукт за оценка на AI готовността на бизнеса.
  3. EU AI Act Wizard (cnts.bg/ai-act) - платен продукт за генериране на документи за съответствие с Регламента за изкуствения интелект на ЕС.

III. Приложимо законодателство

Тази политика е изготвена в съответствие с:

  • Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Общ регламент относно защитата на данните - GDPR);
  • Закона за защита на личните данни (ЗЗЛД) на Република България;
  • Регламент (ЕС) 2024/1689 (Регламент за изкуствения интелект - AI Act) - в частта за прозрачност;
  • Закона за предоставяне на цифрово съдържание и цифрови услуги и Закона за защита на потребителите - относно правото на отказ при дистанционна продажба.

IV. Роли при обработката на данни

ЦНТС ООД действа като администратор на лични данни за всички три продукта.

За платформата kazva.bg организациите и компаниите, които събират обратна връзка, могат да действат като съвместни администратори или обработващи лични данни единствено когато потребителят изрично е дал съгласие данните му да бъдат споделени с конкретна организация.

Когато се прилага съвместно администриране, съответните отговорности се определят с договор между ЦНТС ООД и организацията. Същността на това споразумение е достъпна за субектите на данни при поискване.

За продуктите AI Readiness Audit и EU AI Act Wizard ЦНТС ООД е единствен администратор на данните.

V. Видове лични данни по продукт

5.1. kazva.bg

  • Данни за контакт: имейл адрес, предоставен при регистрация.
  • Демографски данни: година на раждане, пол и населено място - предоставяни доброволно.
  • Данни от профила: допълнителна информация, която потребителят доброволно добавя.
  • Данни от използването: отговори на въпросници, оценки, предпочитания и настройки.

Потребителите въвеждат данни единствено за себе си. Платформата не предвижда и не позволява въвеждане на лични данни на трети лица.

Свободните текстови отговори в kazva.bg могат по инициатива на потребителя да съдържат данни от специални категории по смисъла на чл. 9 от GDPR (напр. данни за здравословно състояние, политически възгледи, религиозни убеждения). ЦНТС ООД не изисква и не насърчава предоставянето на такива данни. Ако потребителят доброволно въведе такава информация, обработването ѝ се основава на изричното му съгласие (чл. 9, ал. 2, б. „а" от GDPR), изразено чрез доброволното въвеждане. Препоръчваме на потребителите да не включват чувствителни лични данни в отговорите си, освен ако изрично не желаят това.

5.2. AI Readiness Audit (cnts.bg/audit)

  • Имейл адрес: за доставка на резултатите от одита.
  • URL адрес на уебсайт: обект на техническия анализ.
  • Платежни данни: обработвани изцяло от Stripe; ЦНТС ООД не съхранява номера на карти.
  • Генерирано съдържание: резултати от одита, llms.txt файл, JSON-LD маркъп и персонализирани препоръки.

5.3. EU AI Act Wizard (cnts.bg/ai-act)

  • Имейл адрес: за доставка на документите за съответствие.
  • Бизнес информация: описание на дейността, сектор, използвани AI системи - необходими за оценка на риска съгласно AI Act.
  • Платежни данни: обработвани изцяло от Stripe; ЦНТС ООД не съхранява номера на карти.
  • Генерирани документи: документи за съответствие с AI Act, оценки на риска и препоръки.

VI. Ограничение по възраст

Платформата kazva.bg не е предназначена за лица под 14 години (чл. 25б от ЗЗЛД). За AI Readiness Audit и EU AI Act Wizard услугите не са предназначени за лица под 18 години, тъй като представляват платени бизнес услуги. Ако установим, че са събрани данни на лице под съответната възрастова граница, те ще бъдат незабавно изтрити.

VII. Цели и правни основания за обработка

Обработваме лични данни на следните правни основания по смисъла на чл. 6, ал. 1 от GDPR:

  • Изпълнение на договор (б. „б"): обработката е необходима за предоставяне на услугите - регистрация и използване на kazva.bg, доставка на платени одити и документи за съответствие.
  • Съгласие (б. „а"): когато потребителят доброволно предоставя допълнителни данни или дава съгласие за споделяне на информация с конкретна организация (kazva.bg).
  • Законово задължение (б. „в"): за спазване на данъчно и счетоводно законодателство, както и изискванията на AI Act.
  • Легитимен интерес (б. „е"): за поддържане на сигурността на платформите, предотвратяване на злоупотреби и подобряване на услугите.

ЦНТС ООД е извършило оценка на баланса на интересите, която заключи, че посочените интереси не засягат по непропорционален начин правата и свободите на субектите на данни. Копие от оценката е достъпно при поискване на [email protected].

VIII. Как събираме данни

  • Регистрация: при създаване на профил в kazva.bg.
  • Поръчка: при покупка на AI Readiness Audit или EU AI Act Wizard.
  • Използване на платформата: данни, генерирани при взаимодействието с продуктите.
  • Автоматично сканиране: техническо сканиране на посочения уебсайт (AI Readiness Audit) - събира се само публично достъпна информация.
  • Непряко събиране от сканирани уебсайтове: Когато AI Readiness Audit сканира уебсайт по заявка на клиент, може да бъде обработена публично достъпна информация, свързана с оператора на уебсайта (напр. имена на служители, данни за контакт, снимки, публикувани на сайта). Тази информация се събира от публичния уебсайт (източник по смисъла на чл. 14, ал. 2, б. „е" от GDPR) и се обработва на основание легитимен интерес на клиента за техническа оценка на AI видимостта (чл. 6, ал. 1, б. „е"). Данните се обработват единствено за целите на генериране на одита и не се съхраняват извън генерирания доклад. Операторите на сканирани уебсайтове могат да упражнят правата си по раздел XVI, като се свържат с нас на [email protected].
  • Комуникация: когато се свържете с нас по имейл или чрез контактна форма.

Предоставянето на имейл адрес е договорно изискване, необходимо за създаване на профил в kazva.bg или за доставка на закупени продукти. Без тези данни не е възможно предоставянето на съответната услуга. Предоставянето на демографски данни е изцяло доброволно и отказът не ограничава достъпа до услугите.

IX. Предоставяне на данни на трети страни

Обратната връзка от kazva.bg се предава на организациите клиенти в агрегиран и псевдонимизиран вид по подразбиране, при който отделните отговори не могат да бъдат свързани с конкретен потребител без допълнителна информация, съхранявана единствено от ЦНТС ООД. Лични данни се разкриват на конкретна организация само при изричното съгласие на потребителя.

За изпълнението на услугите използваме следните подизпълнители (обработващи лични данни):

  • Hetzner Online GmbH (Германия, ЕС) - хостинг на kazva.bg.
  • Supabase Inc. (САЩ; данните се съхраняват в ЕС/Франкфурт, SCCs) - база данни за AI Readiness Audit и EU AI Act Wizard.
  • Vercel Inc. (САЩ; данните се обработват в ЕС/Франкфурт, SCCs) - хостинг на платформата за AI Readiness Audit.
  • Stripe Inc. (САЩ, стандартни договорни клаузи - SCCs) - обработка на плащания.
  • Anthropic PBC (САЩ, SCCs) - генериране на съдържание чрез изкуствен интелект за AI Readiness Audit и EU AI Act Wizard.
  • Firecrawl (САЩ, SCCs) - техническо сканиране на уебсайтове за целите на AI Readiness Audit.
  • Google LLC (САЩ, SCCs) - Google Places API за обогатяване на бизнес информация.
  • Resend Inc. (САЩ, SCCs) - доставка на транзакционни имейли.
  • Plausible Analytics (ЕС) - уеб аналитика без бисквитки за cnts.bg.
  • Cloudflare Inc. (САЩ; мрежа за доставка на съдържание с обработка в ЕС, SCCs) - хостинг, CDN и изпълнение на сървърни функции за cnts.bg.

ЦНТС ООД е сключило Споразумения за обработка на лични данни (DPA) в съответствие с чл. 28 от GDPR с всички изброени подизпълнители. Тези споразумения гарантират, че подизпълнителите обработват лични данни само по наши документирани указания и прилагат подходящи технически и организационни мерки. Копие от приложимите DPA може да бъде получено при поискване на [email protected].

Не продаваме, отдаваме под наем или споделяме лични данни с трети страни за маркетингови цели.

Можем да разкрием лични данни, когато това се изисква от закон, съдебно решение или задължително искане на компетентен орган. Ще уведомим субекта на данни, когато това е законово допустимо.

X. Международен трансфер на данни

Основната обработка на данни се извършва в рамките на Европейския съюз. За подизпълнители, установени в САЩ (Supabase, Vercel, Stripe, Anthropic, Firecrawl, Google, Resend), трансферът на данни се осъществява въз основа на стандартни договорни клаузи (SCCs), одобрени от Европейската комисия, в съответствие с чл. 46, ал. 2, б. „в" от GDPR.

XI. Срок на съхранение

11.1. kazva.bg

Личните данни се съхраняват за срока на активния потребителски профил. След изтриване на профила данните се запазват за допълнителен период от 180 дни, след което се изтриват окончателно.

11.2. AI Readiness Audit

Резултатите от одита са достъпни за клиента за период от 6 месеца от датата на покупка. След изтичане на този период достъпът се прекратява, а данните се изтриват в срок до 30 дни, освен ако клиентът не поиска по-ранно изтриване.

11.3. EU AI Act Wizard

Генерираните документи за съответствие са достъпни за период от 6 месеца от датата на покупка. Бизнес информацията, предоставена за оценка на риска, се изтрива заедно с документите.

11.4. Финансови и счетоводни данни

Данни, необходими за данъчни и счетоводни цели (фактури, платежни потвърждения), се съхраняват за срок от 10 години съгласно Закона за счетоводството.

11.5. Анонимизирани данни

Анонимизираните и агрегирани данни нямат срок на съхранение, тъй като не представляват лични данни.

XII. Използване на изкуствен интелект (AI) - Прозрачност

В съответствие с изискванията за прозрачност на Регламент (ЕС) 2024/1689 (AI Act) оповестяваме следното:

12.1. Кои продукти използват AI

  • AI Readiness Audit (платени планове) - използва изкуствен интелект за генериране на llms.txt файл, JSON-LD маркъп, персонализирани препоръки и ръководства за подобрение.
  • EU AI Act Wizard - използва изкуствен интелект за генериране на документи за съответствие, оценки на риска и препоръки за привеждане в съответствие.

12.2. Какво прави AI

  • Анализира публично достъпна информация от уебсайта на клиента.
  • Генерира текстово съдържание: технически файлове (llms.txt), структурирани данни (JSON-LD), препоръки и документи за съответствие.
  • Предоставя персонализирани ръководства за подобрение на базата на анализа.

12.3. Какво НЕ прави AI

  • Оценяването (scoring) е изцяло детерминистично - базира се на обективни технически проверки, без участие на AI модел.
  • Безплатният одит (free tier) на AI Readiness Audit не използва AI - резултатите се изчисляват алгоритмично.
  • Платформата kazva.bg не използва AI за обработка на обратна връзка или лични данни.

12.4. Използван модел

За генериране на съдържание се използва Anthropic Claude (модел Opus), предоставен от Anthropic PBC.

12.5. Данни за обучение

Данните на клиентите не се използват за обучение на AI модели. Договорът ни с Anthropic PBC изрично забранява използването на входните и изходните данни за обучение.

12.6. Човешки контрол

Генерираното от AI съдържание се предоставя като изходен материал. Клиентите носят отговорност за прегледа, адаптирането и крайното използване на генерираните документи и препоръки. ЦНТС ООД препоръчва всички генерирани материали да бъдат прегледани от компетентно лице преди приложението им.

12.7. Класификация на риска

Съгласно Приложение III към Регламент (ЕС) 2024/1689, AI компонентите на AI Readiness Audit и EU AI Act Wizard не попадат в категорията системи с висок риск. Те са класифицирани като системи с ограничен риск (Дял IV), за които се прилагат задълженията за прозрачност по чл. 50.

XIII. Сигурност и уведомяване при нарушение

Прилагаме подходящи технически и организационни мерки за защита на личните данни:

  • Данните се съхраняват на сървъри в Европейския съюз (Германия и Франкфурт).
  • Комуникацията е защитена чрез SSL/TLS криптиране.
  • Данните в покой са криптирани.
  • Платежните данни се обработват изцяло от Stripe в съответствие с PCI DSS.
  • Достъпът до данните е ограничен на принципа „необходимост да знаеш" (need-to-know).

ЦНТС ООД е извършило Оценка на въздействието върху защитата на данните (DPIA) по чл. 35 от GDPR за своите AI-базирани продукти. Оценката заключи, че приложените технически и организационни мерки адекватно намаляват идентифицираните рискове.

В случай на нарушение на сигурността на личните данни, ЦНТС ООД ще уведоми Комисията за защита на личните данни (КЗЛД) в срок до 72 часа от установяването му, както и засегнатите лица, когато е приложимо.

XIV. Бисквитки и аналитика

14.1. kazva.bg

Платформата използва единствена бисквитка - kazvabg_cookie. Тази бисквитка е криптирана и служи за:

  • Разпознаване на потребителя при повторно посещение;
  • Запазване на предпочитания и функционалност;
  • Съхраняване на история на взаимодействието;
  • Предотвратяване на злоупотреби.

14.2. cnts.bg (включително /audit и /ai-act)

Уебсайтът cnts.bg използва Plausible Analytics - система за уеб аналитика, която не използва бисквитки, не събира лични данни и е в пълно съответствие с GDPR. Не се използват маркетингови бисквитки, рекламни пиксели или инструменти за проследяване.

За повече информация вижте нашата Политика за бисквитки.

XV. Право на отказ при дистанционна продажба

За платените продукти AI Readiness Audit и EU AI Act Wizard имате право да се откажете от покупката в срок от 14 дни от датата на покупка, без да посочвате причина, съгласно Закона за защита на потребителите (транспониращ Директива 2011/83/ЕС за правата на потребителите).

За упражняване на правото на отказ изпратете заявление на [email protected]. Възстановяването на сумата се извършва по първоначалния метод на плащане в срок до 14 дни от получаване на заявлението.

Забележка: Ако цифровото съдържание е било напълно доставено и вие изрично сте се съгласили с незабавното му предоставяне, като сте потвърдили, че губите правото си на отказ, възстановяване на сумата може да не бъде възможно.

XVI. Права на субектите на данни

Съгласно GDPR имате следните права по отношение на личните си данни:

  • Право на достъп (чл. 15): да получите информация дали и какви ваши данни обработваме.
  • Право на коригиране (чл. 16): да поискате коригиране на неточни данни.
  • Право на изтриване (чл. 17): да поискате изтриване на данните си („право да бъдеш забравен").
  • Право на ограничаване (чл. 18): да поискате ограничаване на обработката.
  • Право на възражение (чл. 21): да възразите срещу обработка, основана на легитимен интерес.
  • Право на преносимост (чл. 20): да получите данните си в структуриран, машинно четим формат.
  • Право на оттегляне на съгласие: когато обработката се основава на съгласие, можете да го оттеглите по всяко време, без това да засяга законосъобразността на обработката преди оттеглянето.
  • Право да не бъдете обект на автоматизирано вземане на решения (чл. 22): включително профилиране с правни последици. Нашите AI продукти не вземат автоматизирани решения с правни последици - те генерират съдържание за преглед от човек.

XVII. Как да упражните правата си

Можете да упражните правата си по следните начини:

  • Самостоятелно: чрез функцията за изтриване на профил в kazva.bg.
  • По имейл: като изпратите заявление до [email protected].
  • По пощата: до адрес: ЦНТС ООД, ул. Дунав 44, ет. 3, 1202 София, България.

Ще отговорим на вашето заявление в срок до 1 месец от получаването му. При необходимост този срок може да бъде удължен с допълнителни 2 месеца при сложни или множествени заявки, за което ще бъдете уведомени.

XVIII. Маркетингови съобщения

ЦНТС ООД не изпраща непоискани маркетингови съобщения. Комуникацията с потребителите е ограничена до:

  • Технически и системни уведомления;
  • Доставка на поръчани продукти (одити, документи за съответствие);
  • Съобщения, свързани с поддръжката на платформите;
  • Отговори на потребителски запитвания.

XIX. Версия и промени

ЦНТС ООД си запазва правото да актуализира настоящата политика. При съществени промени ще публикуваме актуализираната версия на cnts.bg и kazva.bg. При промени, засягащи съществено правата на потребителите, ще уведомим засегнатите лица по имейл.

Последна актуализация: 16.03.2026 г.

XX. Право на жалба

Ако считате, че обработката на личните ви данни нарушава вашите права, имате право да подадете жалба до:

Комисия за защита на личните данни (КЗЛД)
бул. „Проф. Цветан Лазаров" 2, 1592 София
www.cpdp.bg

Преди да подадете жалба, ви насърчаваме да се свържете с нас на [email protected], за да се опитаме да разрешим въпроса.

XXI. Длъжностно лице по защита на данните

След оценка на нашите дейности по обработване съгласно чл. 37 от GDPR, определихме, че назначаването на Длъжностно лице по защита на данните не е задължително. Независимо от това, запитвания относно защитата на данни могат да бъдат отправяни към [email protected].

XXII. Контакт

За въпроси относно тази политика за защита на личните данни:

  • Дружество: ЦНТС ООД (CNTS Ltd.)
  • ЕИК: 206255746
  • Адрес: ул. Дунав 44, ет. 3, 1202 София, България
  • Имейл: [email protected]

© 2026 ЦНТС ООД. Всички права запазени.

Имате въпроси относно личните си данни?

Свържете се с нас на [email protected] - отговаряме в рамките на 1 работен ден.

Пишете ни