Политика за поверителност.

// последно обновена: 13 май 2026 г. · версия 1.0

// съдържание

Кои сме ние
Какви данни събираме
Защо ги обработваме
Колко дълго ги пазим
Кои трети страни виждат данните
Прехвърляне извън ЕС
Бисквитки и локално съхранение
Твоите права
Сигурност
Промени в политиката
Контакт

Кратко казано: събираме само това, което ни трябва, за да отговорим на твоето запитване. Използваме анонимна Google Analytics статистика само ако приемеш банера за бисквитки — ако откажеш, никакъв tracking скрипт не зарежда. Не продаваме данни, не показваме реклами, не правим remarketing. Имаш пълно право да поискаш всичко изтрито по всяко време.

1. Кои сме ние (администратор на данни)

„devinfi" е независимо уеб студио със седалище в гр. Бургас, Република България.

Имейл: devinfi@devinfi.com
Телефон: +359 877 152 298
Адрес: гр. Бургас, България

За малки студия като нашето GDPR не изисква официален „Длъжностно лице по защита на данните" (DPO). Всички въпроси, свързани с лични данни, се обработват директно от основателя/основателите.

2. Какви данни събираме

2.1 Когато попълниш контактната форма

Име
Имейл адрес
Тип проект (по избор)
Ориентировъчен бюджет (по избор)
Съобщение / описание на проекта
Времеви печат на подаването

Допълнително, в зависимост от използваната backend услуга (виж раздел 5), може да се запише IP адрес и user-agent на браузъра ти — за защита срещу спам.

2.2 Когато използваш сайта без да попълваш форма

Locale на браузъра (navigator.language) — четем го, но не го записваме никъде. Използваме го само, за да решим дали да ти покажем сайта на български или английски при първото посещение.
IP-базирана geo детекция (по избор): ако navigator.language не е BG, правим една анонимна заявка към ipapi.co, за да проверим дали си от България. Получаваме обратно само двубуквен код на държавата (например „US"). IP-то ти отива до ipapi.co, не до нас.
Технически логове на сървъра: хостинг провайдърът може да записва стандартни access логове (IP, време, URL, статус). Това е необходимо за сигурността и срещу злоупотреби.

3. Защо ги обработваме (правни основания)

Данни	Цел	Правно основание (GDPR)
Данни от формата	Отговор на запитване	Чл. 6(1)(a) — съгласие; Чл. 6(1)(b) — стъпки преди договор
Locale на браузъра	Избор на език на сайта	Чл. 6(1)(f) — легитимен интерес (UX)
Geo IP (eднократно)	Избор на език на сайта	Чл. 6(1)(f) — легитимен интерес (UX)
Сървърни логове	Сигурност, предотвратяване на злоупотреби	Чл. 6(1)(f) — легитимен интерес

4. Колко дълго ги пазим

Данни от формата (активна кореспонденция): докато тече разговорът + 12 месеца след това.
Данни от формата (станали клиенти): докато съществува договор + 5 години след прекратяването му (за данъчно-счетоводни цели — изискване на ЗДДС/ЗСч).
Сървърни логове: обикновено 30–90 дни (зависи от хостинг провайдъра).
Geo IP заявки: не се записват от наша страна. ipapi.co има собствена политика — виж ipapi.co/privacy.

5. Кои трети страни виждат данните

Стремим се да използваме възможно най-малко външни услуги. Към момента са:

Firebase Hosting (Google Cloud) — съхранява сайта, статичните файлове и стандартни сървърни логове (IP, timestamp, URL). Намира се в EU multi-region инфраструктура на Google. Виж Firebase Privacy & Security и Google Privacy Policy.
Google Fonts — шрифтовете Inter, JetBrains Mono и Caveat се сервират от Google. Браузърът ти прави заявки към fonts.googleapis.com и fonts.gstatic.com. Google може да записва IP-то ти. Виж политиката на Google.
ipapi.co — само за geo IP детекция при първо посещение, ако browser locale-ът не е BG. Една заявка за сесия. Виж тяхната политика.
Formspree (или еквивалентна услуга) — приема submissions от контактната форма, препраща ги към devinfi@devinfi.com. Виж политиката им.
Google Analytics 4 (само със съгласие) — анонимна статистика за посещения, страници и източници на трафик. Не се зарежда без изричен click на „Приеми" в банера за бисквитки. IP адресите се анонимизират. Не споделяме данни с Google за реклама (signals и personalization са изключени). Виж политиката на Google.

Не използваме Facebook Pixel, Hotjar, Mixpanel или други remarketing / heatmap услуги. Google Analytics се зарежда само ако приемеш в банера; в противен случай gtag.js никога не се swallow-ва на страницата.

6. Прехвърляне извън ЕС

Някои от изброените услуги (Google Fonts, Firebase / Google Cloud, Formspree, евентуално ipapi.co) са базирани в САЩ или с глобална инфраструктура. Прехвърлянето на данни към тях се осъществява по силата на стандартни договорни клаузи (SCC) и/или рамката EU-US Data Privacy Framework, които осигуряват ниво на защита, еквивалентно на GDPR. По подразбиране сме конфигурирали Firebase Hosting да обслужва от EU региони.

7. Бисквитки и локално съхранение

Сайтът използва ограничен брой стойности — никаква от тях не позволява идентификация на конкретен потребител без неговите данни.

// функционални [без съгласие]

Тези стойности са „стриктно необходими" според GDPR / Закона за електронните съобщения — не изискват отделно съгласие.

devinfi-lang (localStorage) — предпочитан език (BG или EN), за да не го предефинираме при всяко посещение.
devinfi-offer-dismissed (localStorage) — запомня, че си затворил банера за стартова оферта.
devinfi-consent (localStorage) — записва избора ти от банера за бисквитки (приел или отказал), за да не го показваме на всяко посещение. Валиден 12 месеца.

// аналитични [само със съгласие]

Тези бисквитки не се пускат без изричен click на „Приеми". Ако откажеш или не направиш избор, Google Analytics никога не зарежда своя скрипт. Използваме Google Consent Mode v2 по подразбиране в режим „denied".

_ga, _ga_* (Google Analytics 4) — анонимна статистика за посещения, страници, източници. IP-то се анонимизира. Срок: до 24 месеца.

Не използваме рекламни бисквитки (_gcl_*, NID, Facebook Pixel и др.). Не правим remarketing.

Промяна на избора: ако вече си приел или отказал, можеш да отмениш избора по всяко време от настройките на браузъра си (изтриване на localStorage за devinfi.com) или с команда в конзолата на браузъра: devinfiConsent.reset().

8. Твоите права

Под GDPR имаш следните права:

Достъп — да поискаш копие на данните, които съхраняваме.
Корекция — да поискаш поправка на неточни данни.
Изтриване („правото да бъдеш забравен") — да поискаш изтриване, освен ако нямаме законово основание да ги пазим.
Ограничаване — да поискаш временно спиране на обработката.
Преносимост — да получиш данните си в машинно четим формат.
Възражение — срещу обработка на основание легитимен интерес.
Оттегляне на съгласие — по всяко време, без обяснение.
Жалба — пред Комисия за защита на личните данни (КЗЛД): cpdp.bg.

За упражняване на права: пиши на devinfi@devinfi.com. Отговаряме до 30 дни (обикновено до 24 часа).

9. Сигурност

Сайтът се сервира през HTTPS. Контактната форма изпраща данни криптирано. Достъп до имейлите с запитвания имат само основателят и евентуалните екипни членове, с двуфакторна автентикация. Не споделяме данни в трети канали (Slack, Discord, etc.) без необходимост.

10. Промени в политиката

Може да актуализираме тази политика, когато услугите ни се променят (нов backend, нов хостинг, нов екип). Датата „последно обновена" в горната част винаги отразява актуалната версия. Съществени промени ще бъдат отбелязани изрично.

11. Контакт

За всичко свързано с лични данни — пиши директно на devinfi@devinfi.com с тема „GDPR" или „поверителност". Четем всеки имейл лично.

// тази политика се прилага по българското и европейското законодателство.
// в случай на разминаване с по-нов нормативен акт, по-новият има предимство.

Privacy policy.

// last updated: 13 May 2026 · version 1.0

Short version: we collect only what we need to answer your inquiry. We use anonymous Google Analytics only if you accept the cookie banner — reject it and no tracking script ever loads. We don't sell data, we don't show ads, we don't run remarketing. You have the full right to ask for everything to be deleted at any time.

1. Who we are (data controller)

"devinfi" is an independent web studio based in Burgas, Republic of Bulgaria.

Email: devinfi@devinfi.com
Phone: +359 877 152 298
Address: Burgas, Bulgaria

For independent studios like ours, GDPR doesn't require a formal Data Protection Officer (DPO). All data-related questions are handled directly by the founders.

2. What data we collect

2.1 When you submit the contact form

Name
Email address
Project type (optional)
Approximate budget (optional)
Message / project description
Submission timestamp

Additionally, depending on the backend service used (see section 5), your IP address and browser user-agent may be recorded — for spam protection.

2.2 When you browse without submitting

Browser locale (navigator.language) — we read it, but we don't store it anywhere. Used only to decide whether to show you the site in Bulgarian or English on first visit.
IP-based geo detection (optional): if navigator.language isn't BG, we make one anonymous request to ipapi.co to check if you're in Bulgaria. We only get back a two-letter country code (e.g. "US"). Your IP goes to ipapi.co, not to us.
Server access logs: the hosting provider may record standard access logs (IP, timestamp, URL, status). This is necessary for security and abuse prevention.

3. Why we process it (legal basis)

Data	Purpose	Legal basis (GDPR)
Form data	Reply to inquiry	Art. 6(1)(a) — consent; Art. 6(1)(b) — pre-contract steps
Browser locale	Site language choice	Art. 6(1)(f) — legitimate interest (UX)
Geo IP (one-time)	Site language choice	Art. 6(1)(f) — legitimate interest (UX)
Server logs	Security, abuse prevention	Art. 6(1)(f) — legitimate interest

4. How long we keep it

Form data (active correspondence): for the duration of the conversation + 12 months afterward.
Form data (became clients): for the duration of the contract + 5 years after termination (for tax/accounting purposes — Bulgarian VAT and Accounting Acts).
Server logs: typically 30–90 days (depends on hosting provider).
Geo IP requests: not stored on our side. ipapi.co has its own policy — see ipapi.co/privacy.

5. Third parties who see the data

We aim to use as few external services as possible. Currently they are:

Firebase Hosting (Google Cloud) — stores the site, static files, and standard server logs (IP, timestamp, URL). Hosted on Google's EU multi-region infrastructure. See Firebase Privacy & Security and Google Privacy Policy.
Google Fonts — Inter, JetBrains Mono, and Caveat fonts are served by Google. Your browser makes requests to fonts.googleapis.com and fonts.gstatic.com. Google may log your IP. See Google's policy.
ipapi.co — only for geo IP detection on first visit, if browser locale isn't BG. One request per session. See their policy.
Formspree (or equivalent) — receives contact form submissions and forwards them to devinfi@devinfi.com. See their policy.
Google Analytics 4 (opt-in only) — anonymous traffic statistics. Does not load without an explicit "Accept" click on the cookie banner. IPs are anonymized. Google Signals and ad personalization are turned off — we do not share data with Google for advertising. See Google's policy.

We do not use Facebook Pixel, Hotjar, Mixpanel, or other remarketing / heat-map services. Google Analytics only loads if you accept it in the banner; otherwise gtag.js is never inserted into the page.

6. Transfers outside the EU

Some of the listed services (Google Fonts, Firebase / Google Cloud, Formspree, possibly ipapi.co) are US-based or globally distributed. Data transfers to them are made under Standard Contractual Clauses (SCC) and/or the EU-US Data Privacy Framework, which provide protection equivalent to GDPR. By default, Firebase Hosting is configured to serve from EU regions.

7. Cookies and local storage

The site uses a small set of values — none of which can identify a specific person on their own.

// functional [no consent needed]

These values are "strictly necessary" under GDPR / the EU ePrivacy directive — no separate consent is required.

devinfi-lang (localStorage) — preferred site language (BG or EN), so we don't re-detect it every visit.
devinfi-offer-dismissed (localStorage) — remembers that you closed the launch-offer banner.
devinfi-consent (localStorage) — records your choice from the cookie banner (accepted or rejected) so we don't ask again on every visit. Stored for 12 months.

// analytics [consent required]

These cookies are never set without an explicit "Accept" click. If you reject — or never make a choice — Google Analytics never loads its script. We use Google Consent Mode v2 in "denied" state by default.

_ga, _ga_* (Google Analytics 4) — anonymous traffic, page-view, and source statistics. IPs are anonymized. Retention: up to 24 months.

We do not set advertising cookies (_gcl_*, NID, Facebook Pixel, etc.). We do not run remarketing.

Changing your mind: if you already accepted or rejected, you can revoke the choice at any time by clearing localStorage for devinfi.com in your browser settings, or by running devinfiConsent.reset() in the browser console.

This is "strictly necessary" functional storage under GDPR and the Bulgarian Electronic Communications Act — it doesn't require separate consent. You can delete it any time from your browser settings.

8. Your rights

Under GDPR you have the following rights:

Access — request a copy of the data we hold about you.
Rectification — request correction of inaccurate data.
Erasure ("right to be forgotten") — request deletion, unless we have a legal basis to keep it.
Restriction — request a temporary halt of processing.
Portability — receive your data in a machine-readable format.
Objection — to processing based on legitimate interest.
Withdraw consent — at any time, without explanation.
Lodge a complaint — with the Bulgarian Commission for Personal Data Protection (CPDP): cpdp.bg.

To exercise any right: email devinfi@devinfi.com. We reply within 30 days (usually within 24 hours).

9. Security

The site is served over HTTPS. The contact form transmits data encrypted. Only the founder and any team members have access to inquiry emails, protected by two-factor authentication. We don't share data through third-party channels (Slack, Discord, etc.) unnecessarily.

10. Changes to this policy

We may update this policy as our services evolve (new backend, new hosting, new team). The "last updated" date at the top always reflects the current version. Substantial changes will be marked clearly.

11. Contact

For anything regarding personal data — email devinfi@devinfi.com with subject "GDPR" or "privacy". Every email gets a personal reply.

// this policy is governed by Bulgarian and European Union law.
// in case of conflict with a newer regulation, the newer one prevails.