GDPR инструменти

Защо GDPR функциите трябва да са на всеки план

GDPR не е по избор ако имаш EU потребители. Повечето marketing платформи третират GDPR като enterprise-tier функция, защото compliance е "скъп" — начин за upsell. Ние не сме съгласни: GDPR правата са законово изискване, не nice-to-have, затова трябва да са стандартни.

Monfri предоставя GDPR инструменти на Starter, Growth и Scale. Self-serve, без support ticket, без допълнителен SKU.

Data residency: EU по подразбиране

Клиентските ти данни се хостват в EU (България). Backup-ите се репликират към Cloudflare R2 в EU региони. Никакви данни не напускат EU без твоето изрично действие.

Сравни това с HubSpot (US-hosted по подразбиране, EU само на Enterprise tier), Mailchimp (US AWS по подразбиране), Salesforce (US-hosted основно).

Self-serve data subject права

Право на достъп (data export)

Всеки потребител заявява данните си: твоят admin кликва "Export" на профила им. Monfri генерира JSON архив с всички CRM данни, email история, event-и, consents и computed traits. Download линкът изтича след 7 дни.

Право на изтриване (право да бъдеш забравен)

Кликни "Delete" на профил. Monfri:

• Моментално премахва профила от всички активни audiences, lists, сегменти
• Спира всички активни кампании към този потребител
• Маркира идентификаторите като suppressed (така бъдещи импорти няма да ги пресъздадат)
• Планира hard-delete на PII данни след 30 дни (позволява възстановяване при случайно изтриване)
• Записва audit log entry с timestamp, admin и причина

Право на корекция

Редактирай всяко поле на профила директно. Change history се логва автоматично.

Право на възражение / ограничаване на обработка

Превключвай consent флагове на цел. Блокирани цели спират цялата свързана обработка моментално.

Consent management (per-purpose)

GDPR очаква гранулен consent — не един голям "accept marketing" toggle, а per-purpose consent с:

• Каква цел (analytics, маркетинг, персонализация, функционална)
• Кога е даден consent (timestamp)
• Къде е даден consent (URL на страница, IP адрес в момента на consent)
• Как може да се оттегли (линк към preference center)

Monfri съхранява всичко това автоматично чрез нашия consent API. Интегрирай с cookie banner инструмента ти (OneTrust, Cookiebot и др.) или използвай нашия вграден consent widget.

Audit logs

Всяко GDPR-релевантно действие се логва:

• Кой достъпвал данните на кой потребител (admin + timestamp)
• Заявки и download-и на експорти
• Заявки, изпълнения и потвърждения на изтриване
• Дадени и оттеглени consents (с източник)
• Bulk операции (list експорти, segment експорти, API pulls)

Audit logs са immutable и се запазват според плана ти (90 дни Starter, 365 дни Growth, 730 дни Scale). Експорт за отговор на регулатор при поискване.

Data Processing Agreement (DPA)

Нашето стандартно DPA включва:

• Standard Contractual Clauses за всякакви не-EU sub-processor трансфери
• 72-часово ангажимент за breach notification
• Sub-processor предварително известяване (30 дни)
• SOC 2 Type II доказателство (под NDA)
• Условия за отговорност подходящи за SMB-Enterprise договори

Заяви DPA през admin панела или [email protected]. Auto-подписано за 24 часа при стандартни условия.

Sub-processor прозрачност

Monfri публикува списъка на sub-processors на /privacy с:

• Име на всеки sub-processor
• Какво обработват (PII, payment данни, логове и др.)
• Тяхната локация (държава)
• Техните compliance атестации

Основни sub-processors: Cloudflare (CDN/DDoS), Paddle (billing), KumoMTA (email доставка), Twilio (SMS), OpenAI (AI функции, opt-in).

CCPA подкрепа

За California потребители поддържаме CCPA "Do Not Sell My Personal Information" правото. Toggle на профил, приложено през цялата обработка.