Всички правни документи

Политика за поверителност

Дата на влизане в сила: 10 април 2026 г.

1. Въведение

Тази Политика за поверителност обяснява как Cove („Компанията", „ние", „нас" или „наш/а/е") събира, използва, съхранява, споделя и защитава Вашите лични данни, когато използвате платформата Cove на joincove.io и app.joincove.io („Услугата").

Ние сме ангажирани да защитаваме Вашата поверителност и да обработваме личните ви данни в съответствие с Общия регламент относно защитата на данните (ЕС) 2016/679 („ОРЗД"), Закона за защита на личните данни на Република България и всички други приложими закони за защита на данните.

2. Администратор на лични данни

Администраторът на лични данни, отговорен за Вашите лични данни, е:

  • Юридическо наименование: Версей ЕООД / Versey EOOD
  • ЕИК: 208443341
  • ДДС номер: BG208443341
  • Адрес на регистрация: ул. Алабин 42, ап. 8, район Триадица, София 1000, България
  • Имейл: filip@joincove.io
  • Надзорен орган: Комисия за защита на личните данни (КЗЛД), България — kzld@cpdp.bg, www.cpdp.bg

3. Лични данни, които събираме

Ние събираме следните категории лични данни:

3.1 Данни за акаунт и профил

Данни, които предоставяте при създаване и управление на вашия акаунт:

  • Пълно име, имейл адрес, телефонен номер
  • Профилна снимка
  • Име на фирма, адрес на фирма, фирмено лого, ЕИК, ДДС номер
  • Описание на бизнеса, уебсайт, URL адреси на социални мрежи (LinkedIn, X/Twitter)
  • Държава, адрес, пощенски код
  • Предпочитана валута, локал и часова зона
  • Тип потребител (физическо лице или бизнес) и предпочитания за начално въвеждане

Правно основание: Изпълнение на договор (чл. 6, ал. 1, буква б от ОРЗД) — необходимо за създаване и управление на вашия акаунт и предоставяне на Услугата.

3.2 Финансови и бизнес данни

Данни, които създавате или качвате в хода на използване на Услугата:

  • Фактури: Данни за издател и получател, позиции, суми, данъчни ставки, банкови сметки, статус на плащане
  • Разходи и приходи: Суми на транзакции, категории, информация за доставчици, методи на плащане, изображения на разписки
  • Данъчни записи: Видове данъци, суми на плащания, периоди, крайни срокове
  • Клиентски данни: Имена на клиенти, имена на фирми, лица за контакт, имейл адреси, телефонни номера, адреси, ДДС номера, ЕИК
  • Каталог на продукти/услуги: Наименования на продукти, описания, цени, данъчни ставки, нива на наличност
  • Записи за заплати: Разбивка на заплати на служители, данъчни удръжки, социално-осигурителни вноски, нетно възнаграждение

Правно основание: Изпълнение на договор (чл. 6, ал. 1, буква б от ОРЗД) — необходимо за предоставяне на функциите за фактуриране, проследяване на разходи, данъчно съответствие и други основни функции на Услугата.

3.3 Данни за служители и човешки ресурси

Ако използвате функциите за човешки ресурси, можете да въведете данни за Вашите служители:

  • Лична информация: пълно име, дата на раждане, пол, семейно положение, националност, ЕГН, данъчен идентификатор
  • Информация за контакт: имейл, телефон, адрес
  • Данни за заетост: длъжност, отдел, вид трудов договор, условия на договора, начална/крайна дата
  • Финансови данни: заплата, информация за банкова сметка, здравно осигуряване, пенсионен план
  • Лица за спешен контакт, сертификати, умения, оценки на представянето

Важно: Когато въвеждате данни за служители, вие сте администратор на тези данни, а ние действаме като ваш обработващ. Вие носите отговорност да осигурите законово основание за обработката на личните данни на Вашите служители и да ги информирате за тази обработка. Нашето Споразумение за обработка на данни урежда тази връзка.

Правно основание: Изпълнение на договор (чл. 6, ал. 1, буква б от ОРЗД) за предоставяне на HR функции; Легитимен интерес (чл. 6, ал. 1, буква е от ОРЗД) за сигурност на данните.

3.4 Данни от интеграция с имейл

Когато свързвате поддържан имейл акаунт (в момента Gmail, Outlook, Titan Mail и Zoho Mail):

  • OAuth токени за достъп и за опресняване (за Gmail, Outlook, Zoho)
  • Свързан имейл адрес
  • Предоставени OAuth обхвати
  • Времеви маркери за изтичане на токени
  • За Titan Mail: конфигурация за препращане и статус на потвърждение
  • Идентификатори на обработени съобщения (за дедупликация — ние не съхраняваме съдържанието на имейли)
  • Извлечени данни от прикачени файлове, идентифицирани като бизнес документи (фактури, разписки)

Правно основание: Съгласие (чл. 6, ал. 1, буква а от ОРЗД) — вие изрично избирате да свържете вашия имейл акаунт. Можете да оттеглите съгласието си по всяко време, като прекъснете връзката с имейл акаунта.

Разкриване за ограничено използване на Google API: Нашето използване на информация, получена от Google API, спазва Политиката за потребителски данни на услугите на Google API, включително изискванията за ограничено използване. По-конкретно, ние използваме данни от Gmail само за предоставяне на функциите за автоматично извличане на документи, които изрично сте активирали, и не използваме данни от Gmail за реклама, пазарни проучвания или каквато и да е несвързана цел.

3.5 Данни за документи

Документи, които качвате или които са извлечени от Вашите имейли:

  • Съдържание и метаданни на файлове (име, тип, размер, дата на качване)
  • Организация и категоризация на папки
  • Резултати от AI извличане: класифициран тип, извлечени полета, оценки на увереност
  • Статус и история на работния поток за одобрение

Правно основание: Изпълнение на договор (чл. 6, ал. 1, буква б от ОРЗД).

3.6 Данни за автентикация и сигурност

  • Хеширани пароли (ние никога не съхраняваме пароли в обикновен текст)
  • Данни за многофакторна автентикация: TOTP тайни (криптирани), имейл базирани 2FA кодове (хеширани с SHA-256 с изтичане)
  • Токени за доверени устройства (HMAC-SHA256 подписани бисквитки)
  • Сесийни токени и JWT данни за опресняване
  • Времеви маркери за вход и IP адреси за мониторинг на сигурността

Правно основание: Изпълнение на договор (чл. 6, ал. 1, буква б от ОРЗД) и Легитимен интерес (чл. 6, ал. 1, буква е от ОРЗД) — необходимо за сигурност на акаунта и предотвратяване на измами.

3.7 Автоматично събирани данни

  • IP адрес
  • Тип и версия на браузъра
  • Тип на устройството и операционна система
  • Посетени страници и използвани функции
  • Препращащ URL
  • Дата и час на достъп

Правно основание: Легитимен интерес (чл. 6, ал. 1, буква е от ОРЗД) — необходимо за функциониране, сигурност и подобряване на услугата.

4. Как използваме Вашите данни

Ние използваме Вашите лични данни за следните цели:

| Цел | Правно основание | |---|---| | Предоставяне и поддържане на Услугата | Изпълнение на договор | | Обработка и управление на Вашите фактури, разходи и финансови записи | Изпълнение на договор | | AI-базирано извличане и класификация на документи | Съгласие (за имейл данни); Изпълнение на договор (за качени документи) | | Изпращане на транзакционни имейли (фактури, кодове за потвърждение, напомняния) | Изпълнение на договор | | Сигурност на акаунта, откриване на измами и предотвратяване на злоупотреби | Легитимен интерес | | Отговаряне на заявки за поддръжка | Изпълнение на договор | | Спазване на законови задължения (съхранение на данъчни записи, искания от правоприлагащи органи) | Законово задължение | | Подобряване на Услугата и отстраняване на грешки | Легитимен интерес | | Изпращане на продуктови актуализации и съобщения за нови функции | Легитимен интерес (с възможност за отказ) |

Ние не използваме Вашите лични данни за:

  • Реклама или рекламно таргетиране
  • Продажба на трети страни
  • Изграждане на потребителски профили за маркетингови цели
  • Обучение на AI модели с Вашите данни

5. AI обработка и трансфери на данни

5.1 Как работи AI обработката

Когато качвате документи или свързвате имейл акаунти, Услугата използва изкуствен интелект за извличане на структурирани данни. Този процес работи по следния начин:

  1. Документите или прикачените файлове от имейли се идентифицират като бизнес релевантни (фактури, разписки, договори)
  2. Изображенията на документи се компресират и изпращат до API на нашия AI доставчик
  3. AI доставчикът връща структурирани данни (име на доставчик, суми, позиции, данъчни данни, дати)
  4. Извлечените данни се представят за вашия преглед и потвърждение
  5. След вашето потвърждение данните се съхраняват във вашия акаунт

5.2 AI доставчик

В момента използваме Anthropic Claude API за AI обработка. Условията на API на Anthropic гласят, че данните, подадени чрез техния API, не се използват за обучение на техните модели. Поддържаме Споразумение за обработка на данни с Anthropic.

5.3 Международни трансфери на данни

Вашите данни могат да бъдат прехвърлени и обработени в държави извън Европейското икономическо пространство (ЕИП), включително Съединените щати. Ние осигуряваме подходящи гаранции за всички международни трансфери:

| Подизпълнител | Цел | Местоположение | Механизъм за трансфер | |---|---|---|---| | Supabase | База данни, автентикация, файлово хранилище | САЩ/ЕС | Стандартни договорни клаузи (СДК) | | Anthropic | AI извличане на документи | САЩ | Стандартни договорни клаузи (СДК) | | Vercel | Хостинг на приложението | САЩ/ЕС | Рамка за поверителност на данните ЕС-САЩ | | Resend | Доставка на транзакционни имейли | САЩ | Стандартни договорни клаузи (СДК) | | Google | Gmail API интеграция, OAuth | САЩ | Рамка за поверителност на данните ЕС-САЩ | | Microsoft | Outlook API интеграция | САЩ/ЕС | Рамка за поверителност на данните ЕС-САЩ |

Това е обобщение. Пълен и актуален списък, включващ всички подизпълнители, е достъпен на joincove.io/legal/sub-processors.

6. Споделяне на данни

Ние не продаваме Вашите лични данни. Споделяме Вашите данни само при следните обстоятелства:

  • Подизпълнители: С доставчиците на услуги от трети страни, изброени в раздел 5.3, стриктно за целите на предоставяне на Услугата, съгласно обвързващи Споразумения за обработка на данни
  • Вашите получатели: Когато изпращате фактури или документи чрез Услугата, съдържанието на тези комуникации се споделя с получателите, които определите
  • Законови изисквания: Когато се изисква от закон, наредба, правен процес или изпълнимо правителствено искане, включително искания от български, европейски или други компетентни органи
  • Бизнес трансфери: Във връзка с вливане, придобиване, реорганизация или продажба на активи, с предварително уведомление до вас и продължаваща защита на Вашите данни при еквивалентни условия
  • С Ваше съгласие: При всяко друго обстоятелство, при което сте дали изрично предварително съгласие
  • Безопасност: За защита на нашите права, собственост или безопасност, или тези на нашите потребители или обществеността, както се изисква или разрешава от закона

7. Срокове за съхранение на данни

Ние съхраняваме Вашите лични данни само толкова дълго, колкото е необходимо за изпълнение на целите, за които са събрани:

| Категория данни | Период на съхранение | Причина | |---|---|---| | Данни за акаунт и профил | Продължителност на вашия акаунт + 30 дни след изтриване | Предоставяне на услуга; гратисен период за случайно изтриване | | Финансови записи (фактури, разходи, данъци) | Продължителност на вашия акаунт | Предоставяне на услуга; изтриват се при изтриване на акаунта | | Данни за служители/HR | Продължителност на вашия акаунт | Вие контролирате тези данни като администратор | | Токени за имейл интеграция | До прекъсване + незабавно изтриване | Предоставяне на услуга | | Обработени идентификатори на имейл съобщения | Продължителност на вашия акаунт | Дедупликация | | Документи и файлове | Продължителност на вашия акаунт | Предоставяне на услуга | | Логове за сигурност (IP, събития за вход) | 12 месеца | Сигурност и предотвратяване на измами | | Данни за автентикация (хеширани пароли, MFA) | Продължителност на вашия акаунт | Сигурност на акаунта |

Важно: Вие носите пълна отговорност за съхраняването на копия от Вашите финансови и данъчни записи в съответствие с приложимите закони (напр. 10-годишното изискване за съхранение съгласно българското данъчно законодателство, чл. 38 ДОПК). Силно препоръчваме да експортирате данните си преди изтриване на акаунта. Cove е инструмент, който ви помага да управлявате записите си — не е данъчен архив и не съхранява записи от Ваше име след изтриване на акаунта.

При изтриване на акаунта всички Ваши данни се изтриват окончателно, включително от резервни копия, в рамките на 30 дни.

8. Сигурност на данните

Ние прилагаме подходящи технически и организационни мерки за защита на Вашите лични данни, включително:

  • Криптиране при пренос: Всички връзки използват TLS криптиране
  • Криптиране в покой: Криптиране на ниво база данни за всички съхранявани данни
  • Контрол на достъпа: Сигурност на ниво ред (RLS) на всички таблици в базата данни, осигуряваща достъп на потребителите само до собствените им данни
  • Сигурност на автентикация: Паролите се хешират с използване на индустриални стандартни алгоритми; поддръжка на многофакторна автентикация (TOTP и имейл базирана 2FA); управление на доверени устройства с криптографски подписани токени
  • Заглавки за сигурност: HSTS, X-Frame-Options, X-Content-Type-Options, стриктна Referrer-Policy и ограничителна Permissions-Policy на всички отговори
  • Минимален достъп до данни: Служители и подизпълнители имат достъп до лични данни само при необходимост, при задължения за поверителност
  • Сигурност на подизпълнители: Всички подизпълнители са обвързани от Споразумения за обработка на данни с изисквания за сигурност

Въпреки че прилагаме солидни мерки за сигурност, нито един метод за електронно съхранение или предаване не е 100% сигурен. Не можем да гарантираме абсолютна сигурност.

9. Вашите права по ОРЗД

Като субект на данни по ОРЗД имате следните права:

  • Право на достъп (чл. 15): Да поискате копие на личните данни, които съхраняваме за вас
  • Право на коригиране (чл. 16): Да поискате корекция на неточни или непълни данни
  • Право на изтриване (чл. 17): Да поискате изтриване на Вашите данни, при спазване на законовите задължения за съхранение
  • Право на ограничаване (чл. 18): Да поискате ограничаване на обработката на Вашите данни при определени обстоятелства
  • Право на преносимост на данните (чл. 20): Да получите данните си в структуриран, широко използван, машинно четим формат или да поискате прехвърлянето им на друг администратор
  • Право на възражение (чл. 21): Да възразите срещу обработка, основана на легитимен интерес. Ще прекратим обработката, освен ако докажем наличие на убедителни законни основания
  • Право на оттегляне на съгласие (чл. 7, ал. 3): Да оттеглите съгласието си по всяко време за дейности по обработка, основани на съгласие (напр. имейл интеграция). Оттеглянето не засяга законосъобразността на обработката преди оттеглянето
  • Право да не бъдете обект на автоматизирано вземане на решения (чл. 22): Услугата не взема решения, основани единствено на автоматизирана обработка, които произвеждат правни или подобни значителни последици. AI се използва като помощен инструмент с човешки преглед

Как да упражните правата си: Свържете се с нас на filip@joincove.io. Ще отговорим в рамките на един месец. Ако Вашата заявка е сложна, можем да удължим този период с допълнителни два месеца с уведомление.

Право на жалба: Имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД) на kzld@cpdp.bg или www.cpdp.bg, или до надзорния орган в държавата на вашето местоживеене.

10. Изтриване на акаунт

Можете да изтриете акаунта си чрез настройките на Услугата. Процесът на изтриване включва:

  1. Подавате заявка за изтриване в приложението
  2. Код за потвърждение се изпраща на вашия имейл адрес
  3. След потвърждение всички Ваши данни се изтриват окончателно чрез каскадно изтриване, включително всички финансови записи, документи, данни за служители и свързани интеграции

Изтриването на акаунт е необратимо. Силно препоръчваме да експортирате всички Ваши данни — особено финансови и данъчни записи — преди да започнете изтриването, тъй като може да сте законово задължени да ги съхранявате самостоятелно.

11. Политика за бисквитки

Нашето използване на бисквитки е описано в нашата отделна Политика за бисквитки, достъпна на joincove.io/legal/cookie-policy. В обобщение, ние използваме:

  • Стриктно необходими бисквитки: Бисквитки за автентикационна сесия (Supabase auth токени), бисквитки за доверени устройства при MFA, бисквитки за предпочитание на локал
  • В момента не се използват аналитични, рекламни или проследяващи бисквитки

12. Поверителност на деца

Услугата не е насочена към лица под 18-годишна възраст. Ние не събираме съзнателно лични данни от деца. Ако разберем, че сме събрали лични данни от дете, ще предприемем стъпки за незабавното им изтриване. Ако считате, че дете ни е предоставило лични данни, моля свържете се с нас на filip@joincove.io.

13. Допълнителни права за жители на Калифорния (CCPA/CPRA)

Ако сте жител на Калифорния, имате допълнителни права съгласно Калифорнийския закон за поверителност на потребителите (CCPA), изменен от Калифорнийския закон за правата на поверителност (CPRA):

  • Право да знаете: Можете да поискате разкриване на категориите и конкретните лични данни, които сме събрали, източниците, бизнес целите и категориите трети страни, с които ги споделяме
  • Право на изтриване: Можете да поискате изтриване на Вашата лична информация, при определени изключения
  • Право на коригиране: Можете да поискате корекция на неточна лична информация
  • Право на отказ от продажба/споделяне: Ние не продаваме и не споделяме Вашата лична информация за поведенческа реклама между контексти
  • Право на недискриминация: Няма да ви дискриминираме за упражняване на правата ви за поверителност

Категории събрана лична информация (по категории на CCPA): Идентификатори; търговска информация; финансова информация; интернет/електронна активност; професионална/трудова информация; заключения, направени от горните.

Ние не продаваме лична информация. Не споделяме лична информация за поведенческа реклама между контексти.

За упражняване на Вашите права по CCPA се свържете с нас на filip@joincove.io или използвайте настройките на акаунта в Услугата.

14. Допълнителна информация за жители на Обединеното кралство

Ако сте жител на Обединеното кралство, Вашите данни са защитени съгласно UK GDPR и Закона за защита на данните от 2018 г. Вашите права са по същество идентични с описаните в раздел 9. Съответният надзорен орган е Службата на Информационния комисар (ICO) на ico.org.uk.

15. Промени в тази Политика за поверителност

Ние можем да актуализираме тази Политика за поверителност от време на време. Ще ви уведомим за съществени промени, като изпратим имейл на регистрирания ви имейл адрес и покажем известие в Услугата най-малко 30 дни преди промените да влязат в сила.

Насърчаваме ви да преглеждате тази политика периодично. „Дата на влизане в сила" в горната част на тази страница показва кога политиката е била последно актуализирана.

16. Свържете се с нас

За всякакви въпроси, притеснения или заявки относно тази Политика за поверителност или нашите практики за работа с данни:

  • Запитвания за защита на данни: filip@joincove.io
  • Обща поддръжка: filip@joincove.io
  • Правни въпроси: filip@joincove.io
  • КЗЛД: kzld@cpdp.bg | www.cpdp.bg