НавънНавън
Назад към събитията

Политика за поверителност и бисквитки

Дата на влизане в сила: 18.05.2026
Последна актуализация: 18.05.2026

1. Кои сме ние (администратор на данни)

„Навън" (Navun) е платформа за откриване на културни, спортни, развлекателни и образователни събития в България. Платформата е достъпна като уебсайт (navun.info), мобилен уебсайт и мобилни приложения за Android и iOS.

Администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 (GDPR):

  • Навън Инфо ЕООД
  • Контакт по въпроси за лични данни: dpo@navun.info
  • Уебсайт: navun.info
  • Длъжностно лице по защита на данните (DPO): не е назначено. Под чл. 37 GDPR длъжностно лице е задължително само за публични органи, систематично мащабно наблюдение или обработка на специални категории данни в голям мащаб — нито едно от тези не се прилага за Навън. Адресът dpo@navun.infoе оперативен alias, обслужван директно от управителя на дружеството.

Тази политика обяснява какви данни обработваме, на какво правно основание, за колко време ги пазим, с кого ги споделяме и какви права имате.

2. Какви данни обработваме и на какво основание

2.1. Обикновени посетители (без регистрация)

За да разглеждате събития, места и карта не е необходима регистрация. Когато посещавате платформата, обработваме следните данни:

  • Технически данни от заявката (IP адрес, версия на браузъра, операционна система, език, referer) — записват се във временни сървърни логове.
    Правно основание: законен интерес (чл. 6, ал. 1, б. „е" GDPR) — поддръжка на услугата и сигурност.
    Срок на съхранение: до 30 дни в логове.
  • Избор на град — пази се локално в браузъра (localStorage) или приложението (AsyncStorage). Не се изпраща към сървъри.
    Правно основание: необходима техническа функция (изключение от изискването за съгласие по чл. 5(3) ePrivacy).
  • Анонимен идентификатор на устройство (UUID) — генерира се само ако приемете „Функционални бисквитки" в банера. Използва се за бутон „Интересувам се", споделяне и QR кампании. Не съдържа лична информация.
    Правно основание: Ваше съгласие (чл. 6, ал. 1, б. „а" GDPR).
    Срок на съхранение: до 24 месеца от последна активност или до оттегляне на съгласието.
  • Анонимизирана уеб аналитика (само на уебсайта, не в мобилните приложения) — статистика за използване на платформата (брой посещения, устройства, езици). Зарежда се само ако приемете „Аналитични бисквитки" в банера. IP адресите са анонимизирани.
    Правно основание: Ваше съгласие (чл. 6, ал. 1, б. „а" GDPR).
    Срок на съхранение: до 14 месеца.

2.2. Собственици на заведения и администратори (с акаунт)

Ако сте оторизиран потребител (собственик на заведение, мениджър или администратор), обработваме:

  • Имейл адрес и парола (паролата се съхранява само в еднопосочно хеширан вид, никога в чист текст).
  • Роля и достъп до заведения (venue_owner / admin, асоциация с конкретни venue/room).
  • Действия в системата (създадени/редактирани събития) — във вътрешни логове за audit.

Правно основание: изпълнение на договор за услуга и преддоговорни мерки (чл. 6, ал. 1, б. „б" GDPR); законен интерес за защита от злоупотреби (чл. 6, ал. 1, б. „е" GDPR).
Срок на съхранение: докато акаунтът е активен + 12 месеца след деактивиране (audit). При изрично искане за изтриване — премахваме незабавно, освен ако има законово задължение да се пазят данните по-дълго.

2.3. Подаване на обратна връзка (/support)

Когато попълните формата за обратна връзка на /support, събираме:

  • Тема и описание на проблема — въведени от Вас.
  • Тип платформа (избран от Вас — уеб / Android / iOS).
  • Имейл (опционално) — само ако искате отговор.
  • Технически контекст, изпратен автоматично и показан прозрачно под формата: версия на браузъра/приложението, операционна система, размер на екрана, език, времеви печат.
  • Хеширан IP идентификатор (не самият IP адрес) — съхранява се в базата заедно с тикета само за rate-limiting и защита от abuse. Хешът е еднопосочен и не може да бъде декодиран обратно до първоначалния IP. Device UUID не се изпраща, освен ако вече сте дали съгласие за функционални бисквитки.

Правно основание: законен интерес (чл. 6, ал. 1, б. „е") — обработка и подобряване на услугата (конкретен интерес: ефективна поддръжка на потребителите; balancing test: минимални данни, хеширан IP, без автоматично решаване, лесно оттегляне на имейла); съгласие, когато доброволно посочвате имейл (чл. 6, ал. 1, б. „а").
Срок на съхранение: до 24 месеца от затваряне на тикета със статус „решен", след което изтриваме или анонимизираме. Отворени тикети без активност над 24 месеца — затварят се автоматично.

2.4. Данни, получени от трети страни (чл. 14 GDPR)

В платформата се публикува информация за събития и места, която достига до нас по различни канали — пряко от собственици на заведения и организатори, чрез наши партньорски споразумения, чрез публични анонси, предоставени от самите организатори за рекламиране на събитията им, и чрез доброволно подадена информация от потребители (например предложения за събитие или място). Когато тази информация съдържа лични данни (име на организатор, контактен телефон или имейл, посочени в публичен анонс), ние я обработваме за информационни и публикационни цели.

  • Категории субекти: организатори на събития, представители на културни институции, автори на флаери, собственици на заведения, чиито данни са включени в съответния анонс.
  • Категории данни: име / име на организация, имейл за контакт от публичен анонс, телефон от публичен анонс, фотография на флаер, връзка към оригиналния анонс.
  • Правно основание: законен интерес (чл. 6, ал. 1, б. „е" GDPR) — информиране на обществото за културни и развлекателни събития. Обработката е ограничена до данни, които организаторите сами са направили публични с цел рекламиране на събитията.
  • Право на възражение и премахване: ако сте субект, чиито данни виждате в платформата и желаете премахване или коригиране, изпратете заявка до dpo@navun.info — реагираме в срок до 30 дни.
  • Срок на съхранение: до 7 дни след последната дата на събитието. След това събитията се архивират в минимален формат (без описание и без снимки на организатори / контакти).

3. Бисквитки и подобни технологии (Cookie Policy)

Използваме минимален набор от технологии за съхранение в крайното Ви устройство. Категории:

  • Строго необходими (винаги активни, не изискват съгласие): сесия за вход в back office, CSRF защита, езиков избор, избор на град. Без тях платформата не може да функционира.
  • Функционални (изискват съгласие): анонимен device UUID за бутон „Интересувам се", QR кампании, „Запази събитие".
  • Аналитични (изискват съгласие): анонимизирана уеб аналитика (брой посещения, устройства, езици). IP е анонимизиран. Не се ползва за реклама.
  • Рекламни от трети страни: НЕ ползваме.

При първо посещение виждате банер за съгласие с три опции: „Приемам всички", „Само необходими", „Настройки". Можете да промените избора си по всяко време от линка „Бисквитки" в подвал (footer) или като изчистите данните на сайта в браузъра си.

4. С кого споделяме данни (получатели и обработващи)

Не продаваме лични данни. Споделяме само с обработващи лица (processors), необходими за работата на услугата:

Категории получатели:

  • IT и хостинг доставчици — за хостинг на платформата, защита срещу злонамерен трафик (CDN/DDoS защита), сигурно доставяне на транзакционни имейли.
  • Доставчик на анонимизирана уеб аналитика — само при дадено съгласие през cookie banner-а.
  • Доставчик на услуга за машинен превод — изпращат се само текстове, които вече са публикувани на платформата; не се изпращат имейли, акаунти или IP.
  • Платформи за дистрибуция на мобилни приложения — спрямо публикуваните от тях условия и декларации за поверителност на приложения.
  • Държавни и съдебни органи — при законово задължение или нареждане от компетентен орган.

Пренос на данни извън ЕИЗ: част от изброените доставчици са установени извън ЕИЗ. Преносът се извършва само към юрисдикции с подходящи гаранции (EU-US Data Privacy Framework или Standard Contractual Clauses). Конкретните имена на обработващите лица и съответните договори по чл. 28 GDPR предоставяме при писмено искане на dpo@navun.info.

5. Сигурност

  • Паролите се съхраняват в еднопосочно хеширан вид с индустриално приет алгоритъм; никога в чист текст.
  • Достъпът до back office е защитен със session токени с ограничен срок на валидност.
  • Целият трафик към платформата е криптиран (TLS/HTTPS), включително между приложенията и backend-а. Прилагат се общоприети HTTP security headers.
  • Прилагат се мерки срещу abuse (rate limiting, login throttling, CSRF protection, защита срещу SQL injection и XSS).
  • Бази данни и сървъри в България.
  • Редовни автоматизирани и ръчни прегледи за уязвимости в кода, зависимостите и инфраструктурата.
  • Вътрешен мониторинг на неуспешни опити за вход с цел навременно засичане на нежелана дейност. Правно основание: законен интерес (чл. 6, ал. 1, б. „е") — защита на информационната сигурност.
  • Автоматично решаване (Art. 22 GDPR): не извършваме автоматизирано вземане на решения или профилиране, което поражда правен ефект или съществено засяга потребителите. Автоматичните защитни мерки имат технически характер и могат да бъдат прегледани ръчно при обжалване.

5а. Пробив на лични данни (Personal Data Breach)

В случай на пробив на лични данни, който може да породи риск за правата и свободите на субектите, ще:

  • Уведомим Комисията за защита на личните данни (КЗЛД) в срок до 72 часа от установяване (чл. 33 GDPR).
  • При висок риск за субектите — уведомим засегнатите лица без неоправдано забавяне (чл. 34 GDPR), чрез имейл (за акаунти) и/или известие в платформата.
  • Поддържаме вътрешен регистър на инцидентите със засегнати категории данни, мерки за ограничаване и научени уроци.

6. Вашите права по GDPR

Като субект на данни имате следните права съгласно чл. 15-22 GDPR:

  • Право на достъп — да поискате копие на данните, които съхраняваме за Вас.
  • Право на коригиране — да поискате поправка на неточни данни.
  • Право на изтриване („право да бъдете забравен") — да поискате изтриване на данните си.
  • Право на ограничаване на обработката.
  • Право на преносимост — да получите данните си в машинно четим формат (JSON/CSV).
  • Право на възражение срещу обработка на основание законен интерес.
  • Право да оттеглите съгласието по всяко време (за бисквитки — от линка „Бисквитки" в подвала).
  • Право на жалба до надзорен орган (виж раздел 10).

За упражняване на правата си, изпратете заявка на dpo@navun.info. Ще отговорим в срок до 30 дни. За идентификация може да поискаме потвърждение по същия имейл адрес.

7. Деца

Платформата е оценена с възрастов рейтинг 16+ (IARC) — целевата аудитория е от 16 г. нагоре.

Във връзка с използването на услуги на информационното общество, минималната възраст за валидно съгласие за обработване на лични данни в Република България е 14 г. (чл. 25а ЗЗЛД във вр. с чл. 8 GDPR). За лица под 14 г. се изисква изрично разрешение или съгласие от носителя на родителска отговорност.

Платформата не изисква регистрация за разглеждане; всички consent-gated функции (UUID, уеб аналитика) се активират само след действие на потребителя. Не събираме съзнателно данни от лица под 14 г. Ако родител или настойник установи такова събиране — пишете ни на dpo@navun.info и изтриваме незабавно.

8. Мобилни приложения (Android & iOS)

  • Не изискваме разрешения за камера, микрофон, контакти, SMS, телефон или фоново местоположение.
  • Достъп до фото-галерия — само при ръчно отваряне (snapshot функция или избор на снимка от собственик на заведение).
  • Приложенията не съдържат третостранни аналитични SDK-та и не изпращат данни за поведението Ви към доставчици на аналитика. Не ползваме рекламни идентификатори за проследяване.
  • При всяка заявка от приложението към нашия backend се изпраща минимален технически индикатор за вида на клиента (например „Android приложение, версия Х"), за да можем да разграничим употребата на уеб от приложение в собствените си технически логове. Не се изпраща рекламен идентификатор, IDFA, IMEI или друг постоянен идентификатор на устройството.
  • Съответните декларации за поверителност на нивото на двата магазина за приложения се актуализират при всяка нова версия.

9. Промени в политиката

При съществени промени ще:

  • Обновим датата „Последна актуализация" в горната част на страницата.
  • Изпратим известие по имейл до държатели на акаунт (собственици на заведения, администратори).
  • Покажем in-app банер за поне 30 дни към всички посетители.
  • При промени, които изискват ново съгласие (например нов processor или нова цел) — ще поискаме изрично ново съгласие през cookie banner-а.

Препоръчваме периодичен преглед.

10. Жалби до надзорен орган

Имате право да подадете жалба до надзорен орган за защита на личните данни:

  • Комисия за защита на личните данни (КЗЛД), България
    ул. „Проф. Цветан Лазаров" № 2, София 1592
    www.cpdp.bg · kzld@cpdp.bg
  • Или до надзорен орган в държавата на пребиваване / работа.
Политика за поверителност / Privacy Policy — Навън