ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ
на платформата Wizia AI
Последна актуализация: 18.05.2026
Настоящата Политика за поверителност е неразделна част от Общите условия за ползване на Wizia AI. Термините с главна буква, които не са дефинирани тук, имат значението, дадено им в Общите условия.
1. Администратор на лични данни
Администратор на лични данни по смисъла на чл. 4, т. 7 от Регламент (ЕС) 2016/679 (GDPR) е:
| Наименование | „Визия АИ“ ООД |
| Правна форма | Дружество с ограничена отговорност (ООД) |
| ЕИК / БУЛСТАТ | 208797639 |
| Седалище и адрес на управление | гр. Банско, п.к. 2770, ул. „Цар Симеон“ №68, обл. Благоевград, България |
| Имейл | hello@wizia.ai |
| Уебсайт | https://wizia.ai |
Когато Търговец използва вградения модул (embed widget) на Wizia AI на собствения си уебсайт, Администраторът и Търговецът действат като съвместни администраторипо смисъла на чл. 26 от GDPR по отношение на данните на Крайните клиенти, събрани чрез модула.
2. Длъжностно лице по защита на данните (DPO)
Администраторът е определил лице за контакт по въпросите на защитата на данните:
| Имейл | hello@wizia.ai |
| Адрес | гр. Банско, п.к. 2770, ул. „Цар Симеон“ №68, обл. Благоевград |
Ако съгласно чл. 37 от GDPR и чл. 25б от ЗЗЛД назначаването на DPO не е задължително за Администратора, горепосоченото лице за контакт изпълнява функцията по приемане и обработка на запитвания, свързани със защитата на личните данни.
3. Категории лични данни, които събираме
В зависимост от начина, по който взаимодействате с Платформата, може да събираме следните категории лични данни:
3.1. Данни за регистрация и профил
- Пълно име (или наименование на юридическо лице)
- Адрес на електронна поща
- Парола (съхранявана в хеширан вид чрез Supabase Auth)
- Езикови предпочитания (locale)
- Дата на регистрация и верификация на имейл
3.2. Данни за плащане и фактуриране
- Идентификатор на клиент в Stripe (stripe_customer_id)
- Абонаментен план и баланс на Кредити
- Информация за транзакции (суми, дати, статус)
Wizia AI не съхранява номера на банкови карти. Плащанията се обработват изцяло от Stripe, Inc. в съответствие с PCI DSS стандартите.
3.3. Снимки и изображения
- Продуктови снимки: изображения на стоки, качени от Търговци за целите на AI фото студио
- Персонални снимки: снимки на лица/тела за целите на Виртуалното пробване
- AI-генерирани изображения: резултати от обработката чрез AI модели
- Персонализирани сцени и модели: референтни изображения за персонализирани фотографски сцени
3.4. Аналитични данни (събирани чрез вградения модул)
- Идентификатори: visitor_id, session_id, fingerprint, shop_user_id
- Контекст на страницата: URL, заглавие, referrer
- UTM параметри: utm_source, utm_medium, utm_campaign
- Устройство: размер на екрана, viewport, device pixel ratio, тип на свързаност
- Сървърно обогатени данни: IP адрес, user agent, ОС, браузър, тип устройство
- Гео-локация: държава, регион, град (от IP адреса)
- Поведенчески данни: тип на събитието, данни на събитието, часова зона, език
- Маркер за бот
3.5. Данни за употреба
- Тип и брой AI генерации (фото студио, виртуално пробване, видео)
- Използвани Кредити и доставчик на AI модел
- Метаданни за съхранение на файлове
- Дата и час на действията
3.6. Данни за ограничаване на честотата (rate limiting)
- Fingerprint на устройството
- Идентификатор на Търговеца
- Дата и брой заявки
3.7. Данни за предотвратяване на злоупотреби
- Хеширан IP адрес (HMAC) при регистрация
- User agent при регистрация
3.8. Данни от Wizia Pixel (междусайтово проследяване)
- Canvas fingerprint хеш
- WebGL renderer/vendor
- AudioContext хеш
- Постоянен visitor_id (localStorage)
- Session_id (sessionStorage)
- Междусайтов поведенчески път
- Данни за свързване на самоличност (Identity Stitching)
- Данни от фунията за покупка
- Допълнителни устройствени данни: hardware concurrency, touch points
3.9. Производни данни (генерирани от Платформата)
- Поведенчески профили и оценки (purchase intent, style affinity, engagement)
- Характеристики, извлечени от снимки (тип тяло, стилови предпочитания)
- Прогнозни модели и пазарни прозрения
- Междутърговски поведенчески модели
4. Цели и правни основания за обработване
Обработваме Вашите лични данни на следните правни основания съгласно чл. 6, пар. 1 от GDPR:
| Цел | Категории данни | Правно основание |
|---|---|---|
| Създаване и управление на акаунт | 3.1 | Изпълнение на договор (б. „б“) |
| AI Услуги (фото студио, VTO, видео) | 3.3, 3.5 | Изпълнение на договор (б. „б“) |
| Плащания и фактуриране | 3.2 | Договор (б. „б“) и Законово задължение (б. „в“) |
| Аналитика за вградения модул | 3.4 | Легитимен интерес (б. „е“) |
| Предотвратяване на злоупотреби | 3.6, 3.7 | Легитимен интерес (б. „е“) |
| Обучение на AI модели | 3.3, 3.5 | Съгласие (б. „а“) — отделно, изрично |
| Споделяне с трети лица за търговски цели | 3.3, 3.4 | Съгласие (б. „а“) — гранулирано |
| Анонимизирани/агрегирани данни | Всички (анонимизирани) | Не се прилага GDPR (Съобр. 26) |
| Маркетингови съобщения | Имейл, име | Съгласие (б. „а“) |
| Законови задължения (счетоводство, данъци) | 3.1, 3.2 | Законово задължение (б. „в“) |
| Продуктова аналитика (PostHog) | Поведенчески данни | Съгласие (б. „а“) — банер |
| Междусайтово проследяване (Wizia Pixel) | 3.8 | Съгласие (б. „а“) — от Търговеца |
| Профилиране и Прогнозен анализ | 3.3, 3.5, 3.8 | Легитимен интерес / Съгласие (чл. 22) |
| Продажба на Производни данни | 3.9 | Легитимен интерес (анониминирани) / Съгласие (идентифицируеми) |
5. Обработка на снимки (фотографски изображения)
5.1. Какви снимки събираме
- Продуктови снимки — изображения на стоки, качени от Търговци (обикновено не съдържат лични данни)
- Персонални снимки за Виртуално пробване — снимки на лице и/или тяло за визуализация
5.2. Как обработваме снимките
- Техническа предобработка: преоразмеряване, конвертиране (HEIC → JPEG), компресия чрез Sharp
- AI обработка: изпращане (base64) към Google Gemini и/или OpenAI — подизпълнители по чл. 28 GDPR
- Съхранение: генерирани изображения в защитено облачно хранилище (Supabase Storage) с RLS
- Демо режим: при публична демо версия снимките не се съхраняват — резултатът се връща като data URI
5.2а. Прогнозен анализ на снимки
Снимките могат да бъдат обработвани за извличане на: тип тяло и пропорции, приблизителни демографски показатели, стилови и цветови предпочитания, прогнози за продуктова съвместимост.
Тези характеристики могат да бъдат:
- използвани вътрешно за подобряване и персонализация
- продавани на трети лица в анонимизиран вид без допълнително съгласие
- продавани в идентифицируем вид само при изрично съгласие
5.3. Класификация по GDPR
Съгласно Съображение 51, обработването на снимки не се счита автоматично за обработване на биометрични данни по чл. 9. Администраторът прилага предпазния подход и третира снимки с лицеви характеристики като потенциално попадащи в обхвата на чл. 9.
5.4. Основания за обработка
| Действие | Правно основание | Необходимо съгласие? |
|---|---|---|
| AI генериране за VTO | Изпълнение на договор (б. „б“) | Не |
| Съхранение до 90 дни | Договор / Легитимен интерес | Не |
| Дългосрочно съхранение (над 90 дни) | Съгласие (б. „а“) | Да |
| Обучение на AI модели | Съгласие (б. „а“ / чл. 9) | Да |
| Предоставяне на трети лица | Съгласие (б. „а“ / чл. 9) | Да |
| Маркетингови материали | Съгласие (б. „а“) | Да |
5.5. Изтриване на снимки
Може да поискате изтриване чрез настройките на акаунта или на hello@wizia.ai. Изтриване от активни системи — до 30 дни. Резервни архиви — до 90 дни.
6. Предаване на данни на трети лица
6.1. Подизпълнители (обработващи данни по чл. 28 GDPR)
| Подизпълнител | Цел | Данни | Място |
|---|---|---|---|
| Supabase, Inc. | БД, автентикация, хранилище | 3.1–3.7 | ЕС / САЩ |
| Vercel, Inc. | Хостинг, CDN, Edge Functions | IP, user agent, гео | Глобално |
| Google LLC (Gemini) | AI генериране | Снимки (3.3), промптове | ЕС / САЩ |
| OpenAI, Inc. | AI генериране (алт.) | Снимки (3.3), промптове | САЩ |
| Stripe, Inc. | Плащания, абонаменти | 3.2, имейл | ЕС / САЩ |
| PostHog, Inc. | Продуктова аналитика | Поведенчески данни | ЕС |
6.2. Търговски партньори (при изрично съгласие)
При съгласие по чл. 11 от ОУ, данни могат да бъдат предоставени на: модни марки и търговци, аналитични и маркетингови компании, AI и технологични партньори, рекламни мрежи, компании за пазарни проучвания, застрахователни и финансови институции.
6.2а. Производни данни и прогнозни модели
- Анонимизирани: могат да бъдат продавани без съгласие (Съображение 26)
- Идентифицируеми профили: само при изрично съгласие
- Купувачи: подписват Data Use Agreement, забраняващ ре-идентификация
6.3. Анонимизирани и агрегирани данни
Данни, които не позволяват идентификация, не представляват лични данни (Съображение 26) и могат да бъдат използвани без ограничение.
6.4. Разкриване по закон
Разкриване без съгласие при: закон, съдебно разпореждане, защита на права/безопасност.
6.5. Корпоративни транзакции
При сливане/придобиване данните могат да бъдат прехвърлени с предварително уведомление.
7. Международно предаване на данни
- Част от подизпълнителите обработват данни в САЩ и извън ЕИП.
- За всяко предаване извън ЕИП гарантираме адекватност чрез: Решение за адекватност (EU-U.S. Data Privacy Framework), Стандартни договорни клаузи (SCC), Задължителни фирмени правила (BCR) или други гаранции по чл. 46 GDPR.
- Копие от приложимите гаранции — при поискване на hello@wizia.ai.
8. Срокове за съхранение
| Категория данни | Срок |
|---|---|
| Регистрация и профил (3.1) | Времетраене на акаунта + 30 дни |
| Плащане и фактуриране (3.2) | 10 години (Закон за счетоводството) |
| Снимки — стандартно (3.3) | До 90 дни след последно използване |
| Снимки — при съгласие | До оттегляне или до 3 години |
| Аналитични данни (3.4) | 24 месеца |
| Данни за употреба (3.5) | 24 месеца |
| Rate limiting (3.6) | 90 дни |
| Предотвратяване на злоупотреби (3.7) | 12 месеца |
| Данни от Wizia Pixel (3.8) | Безсрочно — до отказ на потребителя или изтриване на акаунт |
| Маркетингово съгласие | Времетраене на акаунта + 3 години |
След изтичане на срока данните се изтриват или анонимизират необратимо.
9. Права на субектите на данни
Съгласно Глава III от GDPR и ЗЗЛД:
| Право | Описание | GDPR |
|---|---|---|
| Достъп | Потвърждение и копие от данните | Чл. 15 |
| Коригиране | Коригиране на неточни данни | Чл. 16 |
| Изтриване | „Право да бъдеш забравен“ | Чл. 17 |
| Ограничаване | Временно спиране на обработването | Чл. 18 |
| Преносимост | Получаване в JSON или CSV формат и прехвърляне | Чл. 20 |
| Възражение | Срещу легитимен интерес или директен маркетинг | Чл. 21 |
| Оттегляне на съгласие | По всяко време, без засягане на вече извършеното | Чл. 7(3) |
| Жалба | До надзорен орган | Чл. 77 |
| Срещу автоматизирано решение | Вкл. профилиране — вж. раздел 9а | Чл. 22 |
Заявления: hello@wizia.ai, настройки на акаунта или по пощата (гр. Банско, ул. „Цар Симеон" №68). Отговор — до 1 месец (удължаване с 2 месеца при сложност).
9а. Профилиране и автоматизирано вземане на решения
9а.1. Какво профилиране извършваме
- Поведенческо оценяване: оценки за покупка, ангажираност, потребителска стойност
- Прогнозиране на покупка: кога и какво е вероятно да закупи потребителят
- Стилова съвместимост: предпочитани стилове, цветове, марки, размери
- Анализ на снимки: тип тяло, пропорции, демографски показатели
- Междутърговско профилиране: поведенчески профил между различни Търговци
9а.2. Логика
Комбинация от AI модели за компютърно зрение, модели за машинно обучение и статистически модели. Входни данни: 3.3, 3.4, 3.5, 3.8. Резултати → Производни данни (3.9).
9а.3. Последици
- Персонализация на съдържание и препоръки
- Ценови диференциация (от Търговци/трети лица — извън контрола на Администратора)
- Решения на трети лица въз основа на продадени Производни данни
9а.4. Правно основание
| Вид | Основание |
|---|---|
| Без значителни последици (персонализация) | Легитимен интерес (чл. 6(1)(е)) |
| Със значителни последици (автоматизирани решения) | Изрично съгласие (чл. 22(2)(в)) |
| Въз основа на снимки (специална категория) | Изрично съгласие (чл. 9(2)(а)) |
9а.5. Вашите права
Право да не бъдете обект на автоматизирано решение; да поискате човешка намеса; да изразите становище; да оспорите решението. Контакт: hello@wizia.ai. Отговор: до 30 дни.
9а.6. Гаранции срещу дискриминация
AI моделите подлежат на периодичен одит за предубеждения (bias audit). Профилирането не може да води до дискриминация по защитени признаци.
10. Бисквитки и технологии за проследяване
10.1. Какво използваме
| Тип | Технология | Цел | Срок |
|---|---|---|---|
| Задължителни | Supabase Auth сесия | Автентикация | До излизане |
| Задължителни | cookie-consent (localStorage) | Запомняне на избор | Постоянно |
| Аналитични (по избор) | PostHog | Продуктова аналитика | Според PostHog |
| Embed проследяване | Wizia embed widget (JS) | Аналитика за модула | Сесия |
10.2. Управление
Банер за бисквитки при първо посещение. Задължителните не могат да бъдат деактивирани. Управление и чрез настройки на браузъра.
10.3. Бисквитки на вградения модул
Модулът записва visitor_id, session_id, fingerprint в localStorage/sessionStorage. Търговецът отговаря за включването в собствената си политика.
10.4. Wizia Pixel
JavaScript-базирана технология: Canvas Fingerprinting, WebGL Fingerprinting, AudioContext Fingerprinting, допълнителни параметри (hardware concurrency, touch points). Постоянни идентификатори (visitor_id, session_id). Identity Stitching при логин. Сървърно обогатяване (IP, user agent, гео-локация, бот маркер).
10.5. Междусайтово проследяване
Wizia Pixel свързва поведение между множество уебсайтове на Търговци. Право на отказ: банер за бисквитки, изчистване на localStorage, Private/Incognito режим, или заявление до hello@wizia.ai.
11. Сигурност на данните
- Криптиране при пренос: HTTPS/TLS 1.2+
- Криптиране при съхранение: encryption at rest (Supabase)
- Контрол на достъпа: частни бъкети с RLS политики
- Разделение на роли: service role ключ ≠ клиентски ключ
- Хеширане: IP адреси (HMAC), пароли (bcrypt)
- Минимизиране: демо режим без съхранение
- Мониторинг: наблюдение на неоторизирани опити
Уведомление при нарушение:При нарушение на сигурността на данните, което може да доведе до висок риск за правата на субектите, Администраторът уведомява засегнатите лица без неоправдано забавяне в съответствие с чл. 34 от GDPR.
Ограничение на отговорността: Администраторът не носи отговорност за вреди, произтичащи от неоторизиран достъп на трети лица, хакерски атаки, кибератаки или други нарушения на сигурността, причинени от обстоятелства извън разумния контрол на Администратора, включително действия на злонамерени трети лица.
Потребителят се задължава да пази конфиденциалността на данните си за достъп и да уведоми Администратора незабавно при съмнение за нарушение.
12. Деца
Платформата е за лица навършили 18 години. Не събираме съзнателно данни на деца под 18. При установяване — незабавно изтриване. Контакт: hello@wizia.ai.
13. Промени в Политиката за поверителност
- Администраторът може да актуализира периодично.
- При съществени промени — уведомление по имейл и/или в Платформата не по-късно от 30 дни преди влизане в сила.
- При промени, засягащи съгласие — ново съгласие.
- Продължаване на използването = приемане на актуализацията.
14. Контакт и жалби
14.1. Контакт
| Имейл | hello@wizia.ai |
| Адрес | гр. Банско, п.к. 2770, ул. „Цар Симеон“ №68, обл. Благоевград |
14.2. Жалба до надзорен орган
| Орган | Комисия за защита на личните данни (КЗЛД) |
| Адрес | бул. „Проф. Цветан Лазаров“ №2, 1592 София |
| Телефон | +359 2 915 3518 |
| Имейл | kzld@cpdp.bg |
| Уебсайт | https://www.cpdp.bg |
За жители на друга държава от ЕС/ЕИП — надзорният орган на държавата на пребиваване.
14.3. Онлайн решаване на спорове
Платформа ODR на Европейската комисия: https://ec.europa.eu/consumers/odr