Политика за поверителност

Последна актуализация: 28 април 2026 г.

1. Кой обработва вашите данни

Администратор на лични данни съгласно Регламент (ЕС) 2016/679 (GDPR) и Закона за защита на личните данни е Берсуцки Трейдинг ЕООД, опериращо под търговското име ChatMedPro, с ЕИК 208543199, със седалище и адрес на управление ул. Слав Караславов 10, вх. Б, ап. 2, гр. София, България („ChatMedPro“, „ние“, „нас“).

За въпроси относно личните данни и вашите права можете да се свържете с нас на: support@chatmedpro.com.

2. Двойна роля на ChatMedPro

ChatMedPro е SaaS платформа, която предлага AI чатбот и инструменти за управление на клиники. В зависимост от ситуацията изпълняваме една от две роли:

• Администратор — когато обработваме данни на самите клиники (името на клиниката, имейла на собственика, информацията за плащане).
• Обработващ — когато нашите клиенти (клиники) използват платформата за да обработват данни на своите пациенти (имена, телефони, имейли, съобщения в чата). В този случай клиниката е администратор, а ние обработваме данните по нейно указание. Тези отношения се уреждат от Споразумението за обработка на данни (DPA), което е неразделна част от Общите условия и се приема от клиниката при регистрацията й в платформата.

3. Какви данни събираме

3.1. Когато регистрирате клиника

• Имейл адрес и парола (паролата се съхранява в криптиран вид)
• Име на клиниката, тип, телефон, адрес
• Информация за платежна карта — не се съхранява при нас, обработва се изцяло от Stripe

3.2. Когато използвате платформата

• Технически логове: IP адрес, браузър, време на действията
• Конфигурация на чатбота (услуги, работно време, FAQ)
• Данни за плащания и абонамент (статус, дати на фактури)

3.3. Когато чатботът работи на сайта на клиниката

Пациентите, които комуникират с чатбота на клиниката, предоставят информация като:

• Име, телефон, имейл (ако желаят да запишат час или оставят контакт)
• Съдържание на съобщенията в чата
• Данни за записани часове
• Здравна информация (минимизирана) — ChatMedPro е административна услуга, не медицински доставчик. Чатботът е изрично инструктиран да препраща медицинските въпроси (симптоми, диагнози, препоръки за лечение, лекарства, прогнози) директно към екипа на клиниката, без да дава медицинско мнение или съвет. Въпреки това пациентите могат доброволно да споделят здравна информация преди ботът да реагира — в този случай тази информация се счита за „особена категория лични данни“ по чл. 9 GDPR и се обработва само въз основа на изрично съгласие, дадено от пациента преди стартиране на чата (чл. 9(2)(а) GDPR).

Тези данни се съхраняват в акаунта на съответната клиника. Клиниката е администратор на тези данни; ChatMedPro ги обработва от нейно име съгласно DPA. ChatMedPro прилага principles на data minimization (чл. 5(1)(c) GDPR) и storage limitation (чл. 5(1)(e)) — съдържанието на чата се съхранява максимум 6 месеца и след това се анонимизира автоматично.

4. Основания за обработка

• Изпълнение на договор (чл. 6, ал. 1, б. „б“ GDPR) — за предоставяне на услугата
• Законово задължение — за счетоводни, данъчни и регулаторни цели
• Легитимен интерес — за сигурност, предотвратяване на измами, подобряване на продукта
• Съгласие (чл. 6, ал. 1, б. „а“ GDPR) — за маркетинг комуникация (може да бъде оттеглено по всяко време)
• Изрично съгласие за здравна информация (чл. 9, ал. 2, б. „а“ GDPR) — обработката на здравна информация в чата се извършва само след изрично съгласие на пациента, дадено чрез форма преди първото взаимодействие. Алтернативно се прилага основанието по чл. 9, ал. 2, б. „з“ GDPR (управление на здравни услуги) когато клиниката е лицензиран здравен оператор.

5. С кого споделяме данните (подизпълнители)

Използваме следните доверени доставчици (подизпълнители), които обработват данните от наше име:

• Supabase (база данни, автентикация) — данните се съхраняват в ЕС
• Vercel (хостинг на платформата) — САЩ, със стандартни договорни клаузи
• Stripe (плащания) — ЕС/САЩ, със стандартни защити
• Anthropic (AI модел Claude за чатбота) — САЩ, със стандартни защити
• Resend (изпращане на имейли) — САЩ/ЕС
• Google (Google Calendar интеграция, при включена опция) — САЩ

Пълен списък на подизпълнителите с актуални местоположения и линкове към техните политики е наличен на страницата Подизпълнители. Допълнителна правна информация в DPA. Никога не продаваме лични данни на трети страни.

6. Срокове на съхранение

• Данни за акаунт — докато акаунтът е активен + до 3 години след закриване, за изпълнение на законови задължения
• Фактури и плащания — 10 години съгласно Закона за счетоводството
• Чат разговори със съдържание (включително евентуална здравна информация) — 6 месеца от последното взаимодействие, след което съдържанието на съобщенията се анонимизира автоматично от системата (запазва се само записът „проведен е разговор на дата X" за анонимни статистики). Намалихме срока от 12 на 6 месеца като приложение на принципа за минимизация (чл. 5(1)(е) GDPR) и за намаляване на нашия Art. 9 риск. Ако клиниката има друг договорен срок с пациент или специфично законово задължение (напр. медицинска документация), приложимо е по-дългото от двата срока.
• Записани часове — 5 години от датата на часа (за счетоводни и регулаторни цели). При изпълнение на заявка за изтриване, личните данни (име, телефон, имейл) се премахват веднага; финансовият запис (услуга, дата, цена) се пази до изтичане на 10-годишния срок по Закона за счетоводството съгласно Art. 17(3)(b) GDPR.
• Контакти за маркетинг — до оттегляне на съгласието
• Технически логове — до 90 дни
• Audit log на изпълнени GDPR заявки — 3 години от датата на изпълнение. Съдържа само метаданни (типа на заявката, дата, IDs и базови идентификатори на изтритите/анонимизирани записи), не съдържанието на личните данни. Това е необходимо за демонстриране на съответствие по Art. 5(2) GDPR (accountability) и евентуално разглеждане на жалби пред КЗЛД.
• Технически резервни копия на базата данни — данните, които сте поискали да бъдат изтрити, могат временно да присъстват в автоматичните резервни копия на нашия инфраструктурен доставчик (Supabase) до 7 дни, преди да бъдат окончателно презаписани. През този период данните не се използват активно, не са достъпни от приложението и се обработват само при възстановяване след аварийна ситуация. Тази практика е в съответствие с европейските насоки относно изтриването на данни от резервни копия.

Пациент може да поиска изтриване на своите данни преди изтичане на тези срокове, чрез заявка към администратора (вижте раздел 7).

7. Вашите права съгласно GDPR

• Право на достъп — да получите копие от данните, които съхраняваме за вас
• Право на коригиране — да поправите неточни данни
• Право на изтриване („правото да бъдеш забравен“)
• Право на ограничаване на обработката
• Право на преносимост — да получите данните си в машинно четим формат
• Право на възражение срещу обработка на основание легитимен интерес
• Право на жалба до Комисията за защита на личните данни (КЗЛД), www.cpdp.bg

За да упражните тези права, можете:

• Да попълните формата за заявка (препоръчително — стига директно до клиниката)
• Да пишете на support@chatmedpro.com ако заявката е към ChatMedPro като платформа

Ще отговорим в рамките на 30 дни съгласно чл. 12, ал. 3 GDPR.

8. Бисквитки (Cookies)

Използваме само строго необходими и функционални бисквитки. Не използваме аналитични или рекламни технологии (Google Analytics, Facebook Pixel и подобни). Използваме error monitoring (Sentry, EU регион — Франкфурт) на основание легитимен интерес (чл. 6(1)(е) GDPR) за откриване и отстраняване на софтуерни грешки и поддържане на стабилност на услугата. Sentry събира само технически данни (stack trace, браузър, IP за geo-tagging) при възникване на грешка — не записва потребителски сесии или съдържание. Пълен списък в Политика за бисквитки.

9. Сигурност

Вземаме технически и организационни мерки за защита на данните: HTTPS криптиране, криптирани пароли (bcrypt чрез Supabase Auth), двуслойна tenant изолация (на ниво приложение чрез централизирани access-control проверки + Row-Level Security политики на ниво база данни като втори независим защитен слой), принципа за минимален достъп до production средата, редовни резервни копия. Въпреки това никоя система не е 100% сигурна — при пробив ще ви уведомим в рамките на 72 часа съгласно чл. 33 GDPR.

10. Промени в тази политика

Може да актуализираме тази политика. При съществени промени ще ви уведомим чрез имейл или известие в платформата поне 30 дни предварително.

11. Контакт

Берсуцки Трейдинг ЕООД
ул. Слав Караславов 10, вх. Б, ап. 2, гр. София
Имейл: support@chatmedpro.com