Gym Vault

Политика за поверителност

Последна актуализация: април 2026

GYM VAULT OOD („GYM VAULT", „ние", „нас", „наш"), регистриран в България, е администратор на личните данни, събирани чрез нашия уебсайт и фитнес обект. Ние сме ангажирани да защитаваме вашата поверителност при пълно спазване на Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни на Република България (ЗЗЛД). Тази Политика за поверителност обяснява какви лични данни събираме, защо ги събираме, как ги използваме и защитаваме, с кого ги споделяме, колко дълго ги съхраняваме и какви права имате върху тях. Моля, прочетете я внимателно.

1. Кои сме ние (Администратор на данни)

Администраторът на личните ви данни е:

  • Дружество: GYM VAULT OOD
  • Местонахождение: Пловдив, България
  • Имейл: support@gymvault.bg
  • Телефон: +359 87 962 1721
  • Уебсайт: www.gymvault.bg

2. Какви лични данни събираме и защо

Събираме само личните данни, необходими за описаните по-долу цели. Не събираме данни от специални категории (здравни, биометрични, политически, религиозни или подобни данни).

а) Регистрация и управление на акаунт

При регистрация на акаунт събираме:

  • Три имена (собствено и фамилно)
  • Имейл адрес
  • Телефонен номер
  • Дата на раждане (за проверка дали отговаряте на минималното изискване за възраст от 18 години)
  • Парола (съхранявана като защитен криптографски хеш — не можем да прочетем вашата парола)
  • Метод за удостоверяване (дали сте се регистрирали с имейл/парола, Google или Facebook)
  • Статус на верификация на имейл и токени (за потвърждаване, че имейл адресът ви е валиден)

б) Резервации и достъп

При извършване на резервация събираме и обработваме:

  • Данни за резервацията: дата, начален час, краен час, локация, брой участници
  • Информация за участника (лицето, което ще ползва сесията): три имена, имейл, телефон, дата на раждане
  • Вашият уникален код за достъп до сесията (10-цифрен PIN, изпратен на имейла ви и използван за отключване на обекта)
  • Статус и история на резервациите (потвърдена, отменена, завършена)

в) Плащания

При плащане за резервация:

  • Плащанията се обработват от Stripe, нашия доставчик на платежни услуги. GYM VAULT не съхранява номера на вашата карта, дата на изтичане или CVV код.
  • Съхраняваме само: идентификатор на платежното намерение в Stripe, идентификатор на checkout сесията в Stripe, статус на плащане (чакащо, платено, възстановено), платената сума и данни за възстановяване при необходимост.
  • За счетоводна и данъчна отчетност съхраняваме електронни разписки в съответствие с българското данъчно законодателство.

г) Регистри за достъп чрез смарт заключалка

Използваме системата за смарт заключалки Nuki за контрол на физическия достъп до обекта. Във връзка с това:

  • За всяка потвърдена резервация в системата на Nuki се създава уникален код за достъп (PIN) и ограничено по времето разрешение.
  • Записът за разрешение съдържа: вашия код за достъп, валидния времеви прозорец и четим за човек етикет (напр. „Иван Иванов — 10:00–11:00"). Тези данни се предават на Nuki за програмиране на заключалката.
  • Регистри за достъп (кога е използвана заключалката) могат да бъдат съхранявани от Nuki в съответствие с тяхната собствена политика за поверителност.
  • Нашите собствени записи на кодовете за достъп се изтриват 7 дни след края на сесията.

д) Видеонаблюдение (CCTV)

Помещенията на фитнес залата са наблюдавани от CCTV камери в тренировъчната зона и на входовете/изходите.

  • Видеозаписите се правят непрекъснато по време на ползване на обекта.
  • Записите се съхраняват за 30 дни, след което автоматично се презаписват.
  • Достъп до записите може да имат упълномощени служители на GYM VAULT при инциденти, свързани със сигурността, разследвания на наранявания, претенции за имуществени щети или кражби, или когато се изисква от органите на реда.
  • CCTV се експлоатира на основание нашия легитимен интерес за опазване на имуществото, гарантиране на безопасността и подкрепа на правни претенции (чл. 6, ал. 1, б. „е" от GDPR).

е) Токени за удостоверяване и бисквитки

При влизане в акаунта ви задаваме следните бисквитки в браузъра ви:

  • access_token — HttpOnly бисквитка, съдържаща подписан токен за удостоверяване (JWT). Изтича след 1 час. Не може да бъде прочетена от JavaScript и не е достъпна за скриптове на трети страни.
  • refresh_token — HttpOnly бисквитка, използвана за получаване на нов access token при изтичане на текущия. Изтича след 7 дни.
  • token_issued_at — нечувствителен времеви маркер, използван от фронтенда за планиране на проактивно обновяване на токена.
  • NEXT_LOCALE — вашите езикови предпочитания (български или английски). Не съдържа лични данни.
  • Това са строго функционални бисквитки, необходими за работата на услугата. Те не ви проследяват в други уебсайтове.

ж) Регистри за вход и сигурност

За защита на вашия акаунт и предотвратяване на злоупотреби:

  • Проследяваме броя на последователните неуспешни опити за влизане за всеки имейл адрес. След 5 неуспешни опита акаунтът ви се заключва временно.
  • Прилагаме ограничение на честотата по IP адрес за endpoints за регистрация и удостоверяване с цел предотвратяване на автоматизирани атаки.
  • IP адресите, използвани за ограничаване на честотата, се съхраняват временно в паметта (Redis) и не се записват в постоянно хранилище.
  • Регистрираме времевия маркер на последното ви влизане и излизане.

з) Имейл комуникации

Изпращаме транзакционни имейли за следните цели:

  • Верификация на имейл адреса при регистрация
  • Нулиране на парола и потвърждаване на промяна на имейл
  • Потвърждение за резервация, доставка на код за достъп и уведомления за отмяна
  • Заявка за обратна връзка след вашата сесия
  • Предупреждения за изтриване на акаунт (30 дни преди планираното изтриване)
  • Бюлетин (само ако сте абонирани — можете да се отпишете по всяко време)
  • Запис на всички изпратени имейли (включително шаблон, получател и статус на доставка) се съхранява за целите на спазването на изискванията.

и) Обратна връзка и отзиви

Ако подадете оценка или коментар след вашата сесия, съхраняваме:

  • Вашите числови оценки (чистота, оборудване, опит при резервация, обща оценка)
  • Всеки написан от вас коментар (до 2 000 символа)
  • Идентификатора на резервацията, за която се отнася обратната ви връзка
  • Дали обратната ви връзка е подадена чрез имейл линк или в приложението

й) Социално влизане (Google и Facebook OAuth2)

Ако изберете да влезете с Google или Facebook:

  • Получаваме от доставчика: вашия имейл адрес, собствено и фамилно име, и потребителски ID, специфичен за доставчика.
  • Не получаваме вашите публикации в социалните мрежи, контакти или каквито и да е други данни от акаунта.
  • Google и Facebook действат като самостоятелни, независими администратори на данни за данните, които им предоставяте. Тази връзка се урежда от техните собствени политики за поверителност.
  • Получените данни се използват единствено за създаване и поддържане на вашия акаунт в GYM VAULT.

3. Правно основание за обработване

Обработваме личните ви данни само когато разполагаме с валидно правно основание по чл. 6 от GDPR. Правното основание зависи от целта:

  • Изпълнение на договор (чл. 6, ал. 1, б. „б"): Обработването на информацията за вашия акаунт, данните за резервации, кодовете за достъп, платежните записи и транзакционните комуникации е необходимо за предоставянето на услугите, за които сте сключили договор.
  • Спазване на законово задължение (чл. 6, ал. 1, б. „в"): Съхраняване на електронни разписки и счетоводни записи за периода, изискван от българското данъчно законодателство.
  • Легитимни интереси (чл. 6, ал. 1, б. „е"): Експлоатация на CCTV за сигурност; прилагане на мерки за ограничаване на честотата и предотвратяване на измами; съхраняване на записи за доставка на имейли като доказателство за спазване на изискванията; съхраняване на обратна връзка. Нашите легитимни интереси не надделяват над вашите основни права — ние сме оценили тази пропорционалност.
  • Съгласие (чл. 6, ал. 1, б. „а"): Изпращане на нашия бюлетин. Можете да оттеглите това съгласие по всяко време, като кликнете „Отписване" в имейл с бюлетин или като актуализирате настройките на акаунта си. Оттеглянето не засяга законосъобразността на обработването, извършено преди оттеглянето.

4. С кого споделяме вашите данни

Ние не продаваме, не отдаваме под наем и не споделяме личните ви данни с трети страни за техни маркетингови цели. Споделяме данни само по описания по-долу начин и само в необходимата степен.

Stripe (Обработка на плащания)

Използваме Stripe, Inc. за обработка на плащания. При плащане за резервация, съответните данни за транзакцията (включително вашите три имена, имейл, сума за резервация и данни за сесията) се споделят със Stripe за обработка на плащането и издаване на разписка. Stripe действа като обработващ данни от наше име въз основа на Споразумение за обработка на данни. За подробности вижте Политиката за поверителност на Stripe и Списъка на подобработващите на Stripe на stripe.com.

Nuki (Достъп чрез смарт заключалка)

Използваме Nuki Home Solutions GmbH за управление на смарт заключалката в нашия обект. За всяка потвърдена резервация предаваме на Nuki: уникален PIN за достъп, четим за човек етикет на сесията и валиден времеви прозорец. Nuki обработва тези данни за програмиране на заключалката. Nuki е базиран в Австрия (ЕС). За подробности вижте Политиката за поверителност на Nuki на nuki.io.

Доставчик на имейл услуги (Транзакционен имейл)

Използваме доставчик на SMTP имейл услуги на трета страна за изпращане на транзакционни имейли (потвърждения за резервации, кодове за достъп, известия за акаунт и бюлетини). Този доставчик получава вашия имейл адрес и съдържанието на всеки имейл, включително персонализирани променливи като вашите три имена и данните за резервацията. Те действат като обработващ данни въз основа на Споразумение за обработка на данни и не могат да използват вашите данни за собствени маркетингови или други цели.

Органи на реда и регулаторни органи

Можем да разкрием личните ви данни на компетентни органи (полиция, съд, КЗЛД, данъчни органи) когато се изисква от закона, във връзка с разследване на престъпление или за установяване, упражняване или защита на правни претенции. Ще споделим само минимално необходимите данни за конкретната цел.

5. Международно предаване на данни

GYM VAULT е базиран в България (ЕС). Някои от нашите доставчици на услуги — по-специално Stripe — са базирани извън ЕС/ЕИП. Когато вашите данни се предават в трета страна:

  • Гарантираме наличието на подходящи гаранции, като Стандартни договорни клаузи (СДК), одобрени от Европейската комисия, или решение за адекватност.
  • Stripe разчита на Стандартни договорни клаузи и/или Рамката за защита на данните между ЕС и САЩ за предаване към Съединените щати.
  • Nuki е базиран в Австрия и обработва данни в рамките на ЕС.
  • Можете да се свържете с нас на support@gymvault.bg за повече информация относно конкретните гаранции за всяко международно предаване.

6. Колко дълго съхраняваме вашите данни

Съхраняваме личните данни само толкова дълго, колкото е необходимо за целта, за която са събрани, или колкото се изисква от закона. Прилагат се следните срокове за съхранение:

  • Активен потребителски акаунт: Съхраняван, докато акаунтът ви е активен.
  • Изтрит потребителски акаунт: След заявка за изтриване акаунтът ви се деактивира за 30 дни (през което време можете да го реактивирате). След 30 дни личните ви данни (три имена, имейл, телефонен номер, дата на раждане) се анонимизират — заменят се с placeholder стойности. Анонимизираният запис се съхранява за целите на одита и данъчния континюитет и вече не може да ви идентифицира. Записите на транзакции и електронните разписки се съхраняват отделно за данъчно/правно спазване.
  • Резервации: Съхраняват се за срока на вашите отношения с GymVault и за период след това, необходим за данъчни, правни и спорни цели (чл. 6, ал. 1, б. „б" и б. „в" от GDPR).
  • Електронни разписки (данъчни записи): Съхраняват се минимум 7 години в съответствие с българското счетоводно законодателство.
  • Видеозаписи от CCTV: Съхраняват се за 30 дни, след което автоматично се презаписват.
  • Кодове за достъп чрез смарт заключалка: Изтриват се 7 дни след края на сесията.
  • Регистри за доставка на имейли: Записите за успешно доставени известия се съхраняват за 90 дни, след което се изтриват. Неуспешните или чакащите известия се съхраняват до успешна доставка или разрешаване.
  • Токени за удостоверяване: Access токените изтичат след 1 час; refresh токените изтичат след 7 дни. Токените се обезсилват незабавно при излизане от акаунта.
  • Неверифицирани акаунти: Ако се регистрирате, но не верифицирате имейла си в рамките на 30 дни, акаунтът ви и свързаните данни се изтриват окончателно.
  • Обратна връзка: Оценките и коментарите се съхраняват, за да ни помогнат да подобрим обекта. При изтриване на акаунта ви, вашият потребителски идентификатор автоматично се дисоциира от записите ви за обратна връзка (съдържанието на обратната връзка се съхранява анонимно).

7. Вашите права съгласно GDPR

Като субект на данни по GDPR, имате следните права. Можете да упражните всяко от тях, като се свържете с нас на support@gymvault.bg. Ще отговорим в рамките на 30 дни (този срок може да бъде удължен с още 2 месеца при сложни или многобройни заявки — ще ви уведомим, ако това е случаят). Може да ви помолим да потвърдите самоличността си преди обработката на заявката.

  • Право на достъп (чл. 15): Имате право да получите копие от личните данни, които съхраняваме за вас, и информация за начина, по който ги обработваме.
  • Право на коригиране (чл. 16): Имате право да поискате коригиране на неточни лични данни и допълване на непълни данни.
  • Право на изтриване / „право да бъдеш забравен" (чл. 17): Имате право да поискате изтриване на личните ви данни, когато те вече не са необходими за целта, за която са събрани, или когато сте оттеглили съгласието си. Това право е обект на изключения, включително когато трябва да съхраняваме данни за изпълнение на законово задължение или за установяване, упражняване или защита на правни претенции.
  • Право на ограничаване на обработването (чл. 18): Имате право да поискате ограничаване на обработването на личните ви данни при определени обстоятелства (напр. докато се разреши спор относно точността).
  • Право на преносимост на данните (чл. 20): Имате право да получите личните данни, предоставени от вас, в структуриран, широко използван, машинно четим формат и да ги предадете на друг администратор, където е технически осъществимо. Прилага се за данни, обработвани въз основа на договор или съгласие.
  • Право на възражение (чл. 21): Имате право да възразите срещу обработване, основано на нашите легитимни интереси. Ще преустановим обработването, освен ако не можем да докажем убедителни законни основания, надделяващи над вашите интереси. Имате безусловно право да възразите срещу обработване за целите на директния маркетинг.
  • Право да не бъдете обект на автоматизирано вземане на решения (чл. 22): GYM VAULT не използва автоматизирано вземане на решения или профилиране, което да произвежда правни или подобни значими последици за вас.
  • Право на оттегляне на съгласие: Когато обработваме вашите данни въз основа на съгласие (бюлетин), можете да оттеглите съгласието си по всяко време, без да засягате законосъобразността на предходното обработване.
  • Право на жалба: Имате право да подадете жалба до Комисията за защита на личните данни (КЗЛД) — вижте раздел 9 за данни за контакт.

8. Как защитаваме вашите данни

Прилагаме подходящи технически и организационни мерки за сигурност за защита на личните ви данни срещу неоторизиран достъп, загуба, промяна или разкриване. Тези мерки включват:

  • Паролите се съхраняват с bcrypt — силен едностранен криптографски хеш. Не можем да получим или прочетем вашата парола.
  • Цялата комуникация между вашия браузър и нашите сървъри използва TLS/HTTPS криптиране.
  • Токените за удостоверяване (JWT) са подписани с HMAC-SHA256 и съхранявани в HttpOnly бисквитки, недостъпни за JavaScript и скриптове на трети страни.
  • Данните в Redis сесиите са защитени с парола и ограничен достъп.
  • Достъпът до физическия обект се контролира чрез ограничени по времето, уникални PIN кодове и се наблюдава от CCTV.
  • Прилагаме ограничаване на честотата на endpoints за удостоверяване за предотвратяване на атаки с груба сила.
  • Акаунтите се заключват временно след 5 последователни неуспешни опита за влизане.
  • Данните от картови плащания никога не се обработват или съхраняват от GYM VAULT — Stripe обработва всички карточни данни при спазване на стандарта PCI-DSS.
  • Достъпът до личните данни в нашите системи е ограничен до упълномощен персонал на принципа на необходимостта да знаят.
  • При нарушение на сигурността на личните данни, което е вероятно да доведе до риск за вашите права и свободи, ще уведомим КЗЛД в рамките на 72 часа и, където се изисква, ще ви уведомим без ненужно забавяне.

9. Надзорен орган

Ако смятате, че не сме обработвали личните ви данни в съответствие с GDPR или ЗЗЛД, имате право да подадете жалба до българския надзорен орган:

  • Комисия за защита на личните данни (КЗЛД)
  • Адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2
  • Телефон: +359 2 915 3580
  • Имейл: kzld@cpdp.bg
  • Уебсайт: www.cpdp.bg
  • Имате също право да предявите иск пред компетентните съдилища в България.

10. Поверителност на децата

Нашите услуги не са предназначени за деца. За да ползвате GYM VAULT, трябва да сте навършили поне 18 години. Ние не събираме съзнателно лични данни от лица под 18 години. Ако установим, че сме непреднамерено събрали лични данни от непълнолетно лице, ще ги изтрием незабавно. Ако смятате, че непълнолетно лице е регистрирало акаунт, моля свържете се с нас на support@gymvault.bg.

11. Промени в тази Политика за поверителност

Можем да актуализираме тази Политика за поверителност периодично, за да отразим промени в нашите услуги, правни задължения или най-добри практики. При съществени промени ще актуализираме датата „Последна актуализация" в горната част на тази страница и ще уведомим регистрираните потребители по имейл. Продължаването на използването на нашите услуги след влизане в сила на промените представлява приемане на актуализираната политика. Ако не сте съгласни с актуализираната политика, моля преустановете използването на нашите услуги и поискайте изтриване на акаунта си.

12. Свържете се с нас

За всякакви въпроси, искания или притеснения относно тази Политика за поверителност или начина, по който обработваме личните ви данни, моля свържете се с нас:

  • Имейл: support@gymvault.bg
  • Телефон: +359 87 962 1721
  • Адрес: Пловдив, България
  • Стремим се да отговаряме на всички заявки на субекти на данни в рамките на 30 дни.

Имате въпроси? Ще се радваме да помогнем.

info@gymvault.com+359 87 962 1721