Политика за защита на личните данни
Версия: 1.0.0 · В сила от: 2026-04-30
1. Кои сме ние (администратор на лични данни)
Администраторът на лични данни е Политическа партия „Консервативно обединение на десницата" (ПП КОД), ЕИК [TBD], със седалище [Адрес TBD]. Официален представител по GDPR пред КЗЛД е председателят на ПП КОД.
2. Контакт по въпроси на личните данни
За всякакви въпроси относно обработката на Вашите лични данни, упражняване на права или жалби, моля свържете се с нас на:
- Електронна поща: dpo@kod.bg
- Адрес за кореспонденция: [Адрес TBD]
Бележка: ПП КОД към момента не е назначила формално Длъжностно лице по защита на личните данни (DPO). Адресът dpo@kod.bg е оперативен канал, обслужван от председателя и upper management на партията.
3. Какви лични данни събираме и за какви цели
Събираме следните категории лични данни на членовете на ПП КОД:
- Идентификационни данни: собствено име, презиме, фамилия
- Контактни данни: електронна поща, телефонен номер, адрес за кореспонденция
- Локационни данни: област и община на пребиваване
- Членски данни: дата на встъпване в членство, текущ статус
- Технически данни: IP адрес, log записи на достъпа, timestamp на съгласия
Цели на обработката:
- Поддържане на актуален членски регистър по ЗПП чл. 23
- Комуникация с членовете (нотификации, organisational обявления)
- Сигурност на платформата и audit на достъпа до личните данни
- Изпълнение на правни задължения по ЗПП и GDPR
4. Правно основание за обработката (включително специални категории)
Фактът на членство в политическа партия съставлява специална категория лични данни по чл. 9, ал. 1 от GDPR (данни, разкриващи политически възгледи). Обработваме тези данни на основание чл. 9, ал. 2, буква „г" (Art. 9(2)(d)) на GDPR — обработване „в хода на законните дейности и при подходящи гаранции от страна на сдружение или организация с нестопанска цел и с политическа цел, при условие, че обработването се отнася само до членовете или бившите членове на организацията и не се разкрива извън нея без съгласието на субектите на данни."
Допълнително правно основание: чл. 6, ал. 1, буква „в" GDPR (обработка за изпълнение на правно задължение по Закона за политическите партии чл. 23).
5. Получатели на данните
Личните данни не се разкриват извън ПП КОД без Вашето изрично съгласие.В рамките на партията данните са достъпни само за:
- Централен админ (пълен достъп)
- Областен координатор на Вашата област (само членовете от съответната област)
Външни доставчици на технически услуги (data processors) с достъп до личните данни:
- Supabase Inc. — хостинг на базата данни (EU region)
- Vercel Inc. — хостинг на уеб платформата
- Resend Inc. — изпращане на електронна поща (transactional)
6. Трансфер на данни в трети страни
Resend Inc. се намира в САЩ. Трансферът е законен на основание на решението на Европейската комисия от юли 2023 г. за адекватност на EU-US Data Privacy Framework (DPF). Vercel Inc. оперира в EU region за нашия проект.
7. Срок за съхранение на данните
Лични данни на членове се съхраняват докато трае членството + 5 (пет) години след прекратяване на членството, в съответствие със Закона за политическите партии и Закона за защита на личните данни (ЗЛПК) изисквания за archival на партийни записи.
Audit log записи се съхраняват минимум 5 години и са append-only (не подлежат на модификация).
8. Вашите права като субект на лични данни
- Право на достъп (чл. 15 GDPR) — да получите копие на Вашите данни
- Право на коригиране (чл. 16) — да поправите неточни данни
- Право на изтриване (чл. 17) — реализирано чрез anonymization (име → „Изтрит потребител", контакти → NULL), за да се запази интегритета на audit log
- Право на ограничаване на обработката (чл. 18)
- Право на преносимост (чл. 20) — JSON експорт на Вашите данни
- Право на възражение (чл. 21)
- Право на оттегляне на съгласие — но това би довело до прекратяване на членството, тъй като членският регистър е необходима част от функционирането на партията
- Право на жалба до КЗЛД на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" 2, или kzld@cpdp.bg
9. Автоматизирано вземане на решения
Не извършваме автоматизирано вземане на решения или профилиране, които да имат правно или подобно значимо въздействие върху Вас.
10. Задължителност на предоставянето на данните
Предоставянето на лични данни е необходимо за участието Ви като член на ПП КОД. Без тези данни не можем да поддържаме членски регистър по ЗПП чл. 23 и да комуникираме с Вас.
11. Технически и организационни мерки за сигурност
- Криптиране на данните в покой и при пренос (TLS)
- Row-Level Security (RLS) политики на ниво база данни
- Двуфакторна автентикация (2FA) задължителна за всички администратори и областни координатори
- Audit log на всеки достъп до лични данни
- Incident response runbook с 72-часов breach notification protocol (GDPR чл. 33)
12. Разграничение от публичния регистър по ЗПП
Важно: Тази платформа управлява вътрешния членски регистър на ПП КОД (защитен от GDPR). ПП КОД води отделен публичен регистър по ЗПП чл. 29(4) (за дарения, имущество, годишни финансови отчети) — този публичен регистър се води от външен счетоводител и НЕ е част от настоящата платформа. Информация за дарители и финансовите отчети не се обработва в тази система.
9.1 Срок за съхранение (детайли по категория данни)
Phase 5 GDPR-06: подробна разбивка на retention сроковете по категория данни, с препратки към ROPA (Register of Processing Activities) — достъпен само за администратори.
- Членски данни: до прекратяване на членство + 5 (пет) години (ЗЛПК retention за политически организации). Виж ROPA Раздел 1 (Членски регистър).
- Audit log: минимум 5 (пет) години (Art. 5(2) accountability). Append-only, не подлежи на модификация. Виж ROPA Раздел 2 (Audit log).
- Записи за съгласия: до прекратяване на членство + 5 (пет) години. Append-only, не подлежи на модификация (DB-level append-only RLS). Виж ROPA Раздел 3 (Consent records).
13. Промени в политиката
При съществени промени в обработката на лични данни ще обновим тази политика и ще Ви уведомим чрез електронна поща. Текущата версия е v1.0.0 в сила от 2026-04-30. Регистрираме съгласие към конкретна версия (timestamp + IP адрес + версия — append-only).