Политика за поверителност

а) Данни на Клиента (организация)

• Данни за акаунта — имейл адрес на определеното лице, име на организацията.
• Публичен ключ за криптиране — генериран и съхраняван за E2E криптиране на докладите.
• Комуникации — съдържание на имейлите, изпратени до нас, заявки за поддръжка.

б) Данни на Сигнализатора

в) Автоматично събирани данни (само на dashboard)

• Технически данни — IP адрес, тип браузър (само за удостоверени потребители на dashboard).
• Сесийни бисквитки — съгласно Политиката за бисквитките.

• Предоставяне на Услугите — създаване и управление на акаунт, работа с канала за докладване, криптиране и съхранение на доклади.
• Комуникации по услугата — известия за нови доклади, изтичане на законови срокове, актуализации на Платформата.
• Сигурност — защита на инфраструктурата, откриване на злоупотреби, предотвратяване на неоторизиран достъп.
• Правно съответствие — изпълнение на законови задължения (Директива (ЕС) 2019/1937, GDPR, данъчно законодателство).

Не продаваме, отдаваме под наем и не споделяме личните данни на потребителите с трети страни за маркетингови цели.

Обработваме личните данни на следните правни основания (чл. 6 GDPR):

• Данни за акаунта — за срока на съществуване на акаунта и максимум 30 дни след заявката за изтриване.
• Криптирани доклади — съгласно политиката за задържане на Клиента и задълженията по Директива (ЕС) 2019/1937 (минимум 5 години от датата на доклада).
• Технически данни (dashboard) — максимум 12 месеца от събирането.
• Комуникации и заявки за поддръжка — максимум 3 години от последната комуникация.
• Данни за фактуриране — 10 години съгласно данъчното законодателство на Румъния (Закон № 82/1991).

Личните данни могат да бъдат достъпвани или обработвани от следните подизпълнители:

За трансфери на данни извън ЕИП, разчитаме на Стандартни договорни клаузи (SCCs), одобрени от Европейската комисия.

Важно: Съдържанието на докладите е криптирано E2E и не е достъпно за нито един подизпълнител.

Съгласно GDPR, Вие имате следните права:

• Право на достъп (чл. 15) — получаване на копие от обработваните лични данни.
• Право на коригиране (чл. 16) — коригиране на неточни или непълни данни.
• Право на изтриване (чл. 17) — изтриване на данни при условията на закона.
• Право на ограничаване (чл. 18) — ограничаване на обработването в определени ситуации.
• Право на преносимост (чл. 20) — получаване на данни в структуриран формат (JSON/CSV).
• Право на възражение (чл. 21) — възражение срещу обработване, основано на легитимен интерес.
• Право на оттегляне на съгласието (чл. 7) — оттегляне по всяко време.
• Право да не бъдете обект на автоматизирано решение (чл. 22) — включително профилиране.

За упражняване на правата си, изпратете имейл на contact@whistle-box.eu с тема „Заявка GDPR WhistleBox”.

Прилагаме подходящи технически и организационни мерки за защита на личните данни:

• Криптиране от край до край (E2E) на съдържанието на докладите.
• Криптиране при пренос (TLS 1.2+) за всички комуникации със сървъра.
• Паролите се съхраняват чрез сигурни алгоритми за хеширане (bcrypt със salt).
• Ограничен достъп до бази данни и инфраструктура, по принципа на минималните привилегии.
• Сървъри в Европейския съюз (Hetzner Online GmbH, Германия).
• Редовни криптирани резервни копия.
• Непрекъснат мониторинг на достъпа и аномалиите.
• Удостоверяване чрез JWT токен с ограничена продължителност.
• Страниците за докладване (/r/) не задават бисквитки и не събират идентификационни данни.

Операторът може периодично да актуализира тази политика. Потребителите ще бъдат уведомени чрез имейл и/или съобщение на Платформата поне 15 дни преди влизането в сила на съществени промени.