Последна актуализация: 1 май 2026 г.
В сила от: 1 май 2026 г.
Настоящата Политика за поверителност разяснява как "Б&П Ко" ЕООД (ЕИК 208260678), дружество, учредено съгласно законите на Република България, със седалище на адрес ул. "27 Юли" № 21, ап. 18, Варна 9000, България ("ние", "Студиото", с търговско обозначение "Tropical Pilates"), събира, използва и защитава личните данни на посетителите и клиентите на уебсайта tropicalpilates.bg ("Уебсайтът") и участниците в нашите часове по пилатес ("Услугите").
Ние сме администратор на лични данни по отношение на личните данни, които обработваме за Вас, по смисъла на Регламент (ЕС) 2016/679 ("ОРЗД" или "GDPR") и Закона за защита на личните данни (ЗЗЛД).
1. За контакт
- Администратор: "Б&П Ко" ЕООД, ЕИК 208260678, ул. "27 Юли" № 21, ап. 18, Варна 9000, България
- Отговорно лице по защита на данните: Ребека Кинсела
- Електронна поща за въпроси и искания, свързани с личните данни: pilates@tropical.bg
- Телефон: +359 87 725 6848
Не сме задължени да назначаваме Длъжностно лице по защита на данните по смисъла на чл. 37 от ОРЗД. За всякакви въпроси относно настоящата Политика за поверителност или начина, по който обработваме Вашите лични данни, можете да ни пишете на горепосочения електронен адрес. Ще Ви отговорим в срок от един (1) месец от получаване на искането, съгласно чл. 12, параграф 3 от ОРЗД.
2. Какви лични данни събираме
2.1 Данни, които ни предоставяте пряко
Когато се регистрирате и резервирате час:
- Вашият мобилен телефонен номер в международен формат (задължителен — използва се като уникален идентификатор)
- Вашето име за показване (задължително)
- Вашият електронен адрес (незадължителен — ако го предоставите, го използваме за потвърждения на резервациите и разписки)
- Потвърждение, че сте навършили 18 години (задължително)
- Приемане на Общите условия и потвърждение, че сте запознати с настоящата Политика за поверителност (задължително)
- Потвърждение на нашия отказ от отговорност (задължително — виж раздел 2.4)
- Изрично и незадължително съгласие за получаване на маркетингови съобщения по електронна поща (по желание)
Когато извършвате плащане чрез Stripe:
- Платежните Ви данни се събират директно от нашия платежен оператор Stripe Payments Europe Ltd. (виж раздел 4). Ние никога не виждаме и не съхраняваме пълния номер на Вашата карта, срока на валидност или CVC кода. Получаваме от Stripe единствено: последните четири цифри от картата, марката на картата, стойността на трансакцията и уникален идентификатор на трансакцията.
Когато се свържете с нас:
- Съдържанието на всяко съобщение, което ни изпращате по електронна поща, по телефона или чрез каквато и да било форма за контакт, както и всички лични данни, които доброволно сте включили в това съобщение.
2.2 Данни, генерирани при използване на Услугите
- Записи за часовете, които сте резервирали, посетили, отказали или пропуснали
- Записи за извършените от Вас плащания, закупените кредитни пакети, получените или изразходвани кредити, както и салдото по Вашата сметка
- Дата и час на създаване на акаунта, на последно влизане и на последно използване на Услугите
- IP адрес и приблизително местоположение (държава/град) от мястото, откъдето достъпвате Уебсайта, както и данни за браузъра (user agent), записани в сървърни журнали с цел сигурност
2.3 Данни, които не събираме онлайн
Чрез Уебсайта не събираме:
- Вашия домашен адрес
- Вашата дата на раждане (само потвърждение, че сте навършили 18 години)
- Информация за здравословно състояние, медицински състояния, наранявания, бременност или приемани лекарства
- Идентификационни номера, издавани от държавен орган (ЕГН, паспортни данни)
- Биометрични данни
- Данни за Вашите политически възгледи, религиозни убеждения, етническа принадлежност, сексуална ориентация или членство в синдикални организации
2.4 Потвърждение на отказа от отговорност
При регистрацията Ви се изисква да потвърдите следното: "Потвърждавам, че съм в подходящо физическо здраве да участвам в пилатес занимания. Ще уведомя моя инструктор за всички съответни медицински състояния, наранявания или бременност преди всяко занимание. Разбирам, че физическата активност включва присъщи рискове и участвам на собствена отговорност."
Ние записваме единствено факта, че сте потвърдили този отказ от отговорност, заедно с датата и часа. Не записваме и не съхраняваме здравна информация за Вас чрез Уебсайта. Всяка информация, която споделяте с инструктора в студиото, се обработва лично от инструктора и не се съхранява в нашите ИТ системи.
3. Защо използваме Вашите лични данни (цели) и правни основания
Обработваме Вашите лични данни за следните цели, на съответните правни основания по чл. 6 от ОРЗД.
| № | Цел | Използвани лични данни | Правно основание |
|---|---|---|---|
| 1 | Създаване и управление на акаунта; удостоверяване на самоличност при вход | Телефон, име, електронен адрес, записи на входове | Изпълнение на договор (чл. 6, пар. 1, б. „б") |
| 2 | Резервиране на часове, управление на отказвания и неявявания, проследяване на кредитно салдо и присъствие | Резервации, кредитен регистър, записи за присъствие | Изпълнение на договор (чл. 6, пар. 1, б. „б") |
| 3 | Обработка на плащания за резервации и кредитни пакети | Платежни данни (виж раздел 4) | Изпълнение на договор (чл. 6, пар. 1, б. „б") |
| 4 | Издаване на разписки и, където е приложимо, фактури с ДДС; изпълнение на данъчни и счетоводни задължения | Име, електронен адрес, платежни данни, ДДС номер, ако го предоставите | Законово задължение (чл. 6, пар. 1, б. „в"), в частност Закона за счетоводството и Закона за ДДС |
| 5 | Изпращане на потвърждения за резервации, напомняния за занимания, уведомления за отказвания и други трансакционни съобщения | Електронен адрес, данни за резервации | Изпълнение на договор (чл. 6, пар. 1, б. „б") |
| 6 | Изпращане на маркетингови съобщения за часове, семинари и промоции, ако сте дали съгласие | Електронен адрес, име | Съгласие (чл. 6, пар. 1, б. „а") — можете да оттеглите съгласието по всяко време чрез връзката за отписване или като ни пишете |
| 7 | Сигурно функциониране на Уебсайта, предотвратяване на злоупотреби, разследване на инциденти | IP адрес, user agent, сървърни журнали | Легитимен интерес (чл. 6, пар. 1, б. „е") за запазване сигурността на Уебсайта и предотвратяване на измами |
| 8 | Защита, установяване или упражняване на правни искове | Всички необходими данни | Легитимен интерес (чл. 6, пар. 1, б. „е") и/или законово задължение (чл. 6, пар. 1, б. „в") |
| 9 | Доказване на съответствие с ОРЗД (записи за съгласие и приемане на Общи условия) | Времеви отпечатъци и IP адрес на действията по съгласие/приемане | Законово задължение (чл. 6, пар. 1, б. „в" и чл. 7, пар. 1) |
4. С кого споделяме Вашите лични данни
Ние не продаваме Вашите лични данни. Споделяме ги единствено със следните категории получатели, които действат като обработващи лични данни от наше име въз основа на писмени договори (споразумения за обработка на данни), отговарящи на изискванията на чл. 28 от ОРЗД:
| Получател | Роля | Място на обработване |
|---|---|---|
| Supabase, Inc. | Хостинг на базата данни и backend функциите на Уебсайта | ЕС — Ирландия (eu-west-1) |
| Vercel, Inc. | Хостинг на фронтенд частта и build инфраструктурата на Уебсайта | САЩ (виж раздел 5) |
| Stripe Payments Europe Ltd. | Обработка на картови плащания на Уебсайта | ЕС — Ирландия (основно), с възможни маршрутизации през дъщерни дружества на Stripe в други юрисдикции |
| Resend | Изпращане на трансакционни електронни писма (потвърждения, разписки, напомняния) | Регион в ЕС (конфигуриран за акаунта) |
| Slack Technologies Limited | Вътрешни уведомления на персонала за резервации, отказвания и плащания | ЕИП (с трансфери съгласно DPA на Slack) |
Може също да споделяме Вашите лични данни с:
- Нашите професионални съветници — счетоводители, одитори и адвокати — когато това е строго необходимо и при задължения за поверителност.
- Държавни органи — като Националната агенция за приходите, съдилища, полиция или Комисията за защита на личните данни — когато сме задължени по закон, съдебно разпореждане или обвързващо регулаторно искане.
5. Международни трансфери
Вашите лични данни се хостват основно в Европейското икономическо пространство (ЕИП), и по-конкретно в Ирландия, чрез нашия доставчик на база данни Supabase.
Някои от нашите обработващи — по-специално Vercel (фронтенд хостинг) и Stripe (в хода на глобалното маршрутизиране на картови плащания) — може да обработват лични данни извън ЕИП, включително в САЩ. В такива случаи ние гарантираме, че трансферът е защитен с един от механизмите, разрешени по Глава V от ОРЗД:
- Рамката за защита на личните данни между ЕС и САЩ (когато обработващият е сертифициран), и/или
- Стандартните договорни клаузи на Европейската комисия (Модул 2 — администратор към обработващ), допълнени с подходящи технически и организационни мерки.
Можете да получите копие от прилаганите гаранции, като ни пишете на pilates@tropical.bg.
6. Колко дълго съхраняваме Вашите лични данни
| Категория | Срок на съхранение |
|---|---|
| Профил на акаунта (име, телефон, електронен адрес) | За срока на клиентските отношения, плюс 3 години след последната Ви резервация или активност |
| Записи за резервации и присъствие | За срока на клиентските отношения, плюс 3 години след последната Ви резервация |
| Записи в кредитния регистър | Както за платежните записи по-долу — те са част от счетоводните записи |
| Платежни записи, фактури, ДДС регистри | 10 години от края на финансовата година, за която се отнасят (законово задължение по чл. 12 от Закона за счетоводството) |
| Записи за съгласие и приемане на Общи условия | За срока на клиентските отношения, плюс 3 години след последната активност |
| Записи за маркетингово съгласие (ако е приложимо) | До оттегляне на съгласието, плюс 3 години след оттеглянето (за доказване, че оттеглянето е зачетено) |
| Сървърни журнали и журнали за достъп | 90 дни |
След изтичане на срока за съхранение ние изтриваме Вашите лични данни или ги анонимизираме, така че да не могат повече да бъдат свързани с Вас. Данните, които следва да бъдат запазени за счетоводни цели, се съхраняват в нашата счетоводна система, като достъпът до тях е ограничен до служители с легитимна служебна нужда.
7. Вашите права
Съгласно ОРЗД имате следните права във връзка с Вашите лични данни:
- Право на достъп (чл. 15 от ОРЗД) — да получите копие от личните данни, които съхраняваме за Вас, и да разберете как ги използваме.
- Право на коригиране (чл. 16 от ОРЗД) — да поискате неточни лични данни да бъдат коригирани или непълните данни да бъдат допълнени.
- Право на изтриване / „право да бъдеш забравен" (чл. 17 от ОРЗД) — да поискате личните Ви данни да бъдат изтрити. Правото не е абсолютно; например не можем да изтрием платежни записи, които сме задължени по закон да пазим.
- Право на ограничаване на обработването (чл. 18 от ОРЗД) — да поискате да прекратим активното използване на Вашите данни, докато бъде решен спор.
- Право на преносимост на данните (чл. 20 от ОРЗД) — да получите личните данни, които сте ни предоставили, в структуриран, широко използван и машинно четим формат (предоставяме го като JSON или CSV).
- Право на възражение (чл. 21 от ОРЗД) — да възразите срещу обработване, основано на нашия легитимен интерес, или да възразите по всяко време срещу обработване за цели на директен маркетинг.
- Право на оттегляне на съгласието (чл. 7, пар. 3 от ОРЗД) — когато обработваме на основание Вашето съгласие, можете да го оттеглите по всяко време. Оттеглянето не засяга законосъобразността на обработването, извършено преди оттеглянето.
- Право на жалба (чл. 77 от ОРЗД) — до Комисията за защита на личните данни (КЗЛД) на cpdp.bg или до всеки друг надзорен орган в ЕС, ако считате, че сме нарушили Вашите права.
За да упражните някое от тези права, пишете ни на pilates@tropical.bg. Може да Ви помолим да удостоверите самоличността си, преди да предприемем действия (обикновено чрез потвърждение на телефона и електронния адрес, свързани с Вашия акаунт). Ще отговорим в срок от един месец от получаване на валидно искане, безплатно, освен ако искането не е явно неоснователно или прекомерно.
8. Автоматизирано вземане на решения и профилиране
Ние не вземаме решения по отношение на Вас, основани единствено на автоматизирано обработване (включително профилиране), които пораждат правни последици или по подобен начин значително Ви засягат по смисъла на чл. 22 от ОРЗД.
9. Бисквитки и подобни технологии
Използваме малък брой строго необходими бисквитки за функционирането на Уебсайта (например сесийни бисквитки за поддържане на Вашата сесия). Не използваме аналитични бисквитки, рекламни бисквитки или проследяващи пиксели.
За повече информация вижте нашата Политика за бисквитки.
10. Деца
Услугите са предназначени за пълнолетни лица на възраст 18 и повече години. Не събираме съзнателно лични данни от лица под 18 години чрез Уебсайта. Ако смятате, че непълнолетно лице се е регистрирало на Уебсайта, моля свържете се с нас на pilates@tropical.bg и ние своевременно ще изтрием акаунта.
11. Сигурност
Прилагаме подходящи технически и организационни мерки за защита на Вашите лични данни от неразрешен достъп, случайна загуба, унищожаване или изменение, включително:
- Криптиране на данни при пренос (HTTPS) и в покой (криптиране на ниво база данни, предоставяно от Supabase)
- Контрол на достъпа: до клиентските данни имат достъп само упълномощени служители с легитимна служебна нужда
- Сигурно удостоверяване и достъп на база на роли за служебните акаунти
- Редовни софтуерни актуализации и наблюдение
- Журналиране и одит на привилегировани действия
- Споразумения за обработка на данни с всички обработващи, съгласно чл. 28 от ОРЗД
При нарушение на сигурността на личните данни, което може да породи риск за правата и свободите Ви, ще уведомим Комисията за защита на личните данни в срок от 72 часа от узнаването, съгласно чл. 33 от ОРЗД, и ще Ви уведомим без неоправдано забавяне, когато нарушението може да породи висок риск за Вашите права и свободи, съгласно чл. 34 от ОРЗД.
12. Промени в настоящата Политика за поверителност
Можем да актуализираме настоящата Политика за поверителност от време на време. Датата на последна актуализация в началото на документа отразява кога е последно изменена. При съществени промени ще Ви уведомим по електронна поща (ако сте я предоставили) и/или чрез видимо съобщение на Уебсайта поне 30 дни преди промяната да влезе в сила.
13. Меродавен език
Настоящата Политика за поверителност се публикува на български и английски език. При несъответствие между двете версии меродавна е българската версия.