1. Общие положения
Настоящая Политика конфиденциальности (далее — Политика) описывает, как Оператор (далее — «мы», «наш сервис») обрабатывает персональные данные посетителей и зарегистрированных пользователей сайта fintal.ru (далее — Сайт). Используя Сайт, вы подтверждаете, что прочитали и поняли её условия.
Документ применяется ко всем функциям сервиса: AI-чат с Евой, рейтинги банков, калькуляторы, финансовый рентген, статьи, словарь и утренние брифинги. Мы действуем в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 (с учётом изменений, внесённых Федеральным законом № 420-ФЗ от 30.11.2024, вступивших в силу 30.05.2025).
2. Оператор персональных данных
Оператором обработки персональных данных является:
- Полное наименование: Индивидуальный предприниматель Бондаренко Павел Владимирович
- ИНН: 614905407642
- ОГРНИП: 313617309900061
- Email для запросов ПДн: support@fintal.ru
- Ответственный за организацию обработки ПДн (ст. 22.1 152-ФЗ): индивидуальный предприниматель (наименование указано выше); контакт — support@fintal.ru.
- Номер в реестре операторов ПДн (Роскомнадзор): уведомление направлено, ожидается внесение в реестр
Уведомление о намерении осуществлять обработку персональных данных направляется в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в соответствии со ст. 22 Федерального закона № 152-ФЗ. До момента внесения Оператора в реестр обработка ограничивается случаями, не требующими предварительного уведомления.
3. Правовые основания обработки
- Согласие субъекта (ст. 6 ч.1 п.1 152-ФЗ) — согласие на обработку ПДн оформляется отдельной галочкой при регистрации (отдельно от принятия Пользовательского соглашения, ст. 9 в ред. ФЗ-156); отдельный необязательный чекбокс — для маркетинговых рассылок.
- Исполнение договора (ст. 6 ч.1 п.5) — Пользовательское соглашение, заключаемое при регистрации.
- Законные интересы оператора (ст. 6 ч.1 п.7) — защита от мошенничества, обеспечение работоспособности сервиса.
4. Категории субъектов
Оператор обрабатывает персональные данные следующих категорий субъектов:
- Пользователи сервиса — физические лица (граждане Российской Федерации в возрасте от 18 лет), добровольно зарегистрировавшиеся на Сайте.
- Посетители сайта — анонимные пользователи, чьи технические данные (IP-адрес, сведения о браузере, UTM-метки) собираются автоматически в целях аналитики и безопасности.
- Заявители — лица, направившие запрос по реализации прав субъекта ПДн.
Сервис не предназначен для пользователей младше 18 лет. Если нам станет известно о сборе данных от лица младше 18 лет — такие данные будут удалены незамедлительно.
5. Перечень собираемых ПДн
Идентификационные: имя/ник, email, Telegram ID (опц.), телефон (опц., при подтверждении).
Финансовая информация (только если предоставлена): уровень дохода, тип занятости, категории расходов и сбережений, сведения об активных кредитах и ипотеке, финансовые цели.
Технические данные (автоматически): IP-адрес, устройство, браузер, посещённые страницы, источник перехода (UTM).
Что НЕ собирается: паспортные данные, СНИЛС, ИНН физлица, номера банковских карт, точный адрес, медицинские данные, политические или религиозные взгляды.
6. Цели обработки
- Предоставление сервиса: AI-чат, профиль пользователя, персональные рекомендации.
- Связь с пользователем: ответы на обращения, важные уведомления (с согласия — маркетинговые).
- Улучшение сервиса: анализ обезличенной статистики.
- Безопасность: предотвращение мошенничества, защита от взлома, расследование инцидентов.
- Исполнение требований закона: ответы на запросы госорганов в установленных законом случаях.
7. Способы обработки
Обработка персональных данных осуществляется следующими способами:
- Автоматизированная обработка с использованием средств вычислительной техники и программного обеспечения (ст. 3 152-ФЗ).
- Обработка с использованием AI-моделей — для работы чата с финансовым AI-ассистентом «Ева» отправляются обезличенные сообщения через зашифрованное соединение. Идентификаторы пользователя (ФИО, email, телефон) AI-провайдеру не передаются.
- Смешанная обработка — отдельные операции (например, ручная модерация спорных запросов) выполняются сотрудниками Оператора с полным соблюдением требований конфиденциальности.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
8. Передача данных третьим лицам (поимённо)
Оператор не продаёт персональные данные. Передача возможна следующим именованным контрагентам:
- CPA-партнёры (Leads.su, Admitad, Pampadu, а также банки-партнёры: Сбер, Т-Банк, Альфа, ВТБ и др.) — при переходе по партнёрской ссылке передаётся только обезличенный идентификатор перехода без ФИО / email / финансовых данных.
- Технические подрядчики (РФ): хостинг (Timeweb/ Selectel — РФ); транзакционные письма — Unisender Go (ООО «Юнисендер СМАРТ», РФ, в реестре операторов ПДн); веб-аналитика — Яндекс.Метрика (ООО «Яндекс», РФ; включается только после согласия на cookie).
- Государственные органы РФ — по обоснованному запросу в соответствии с законодательством.
Об иностранных провайдерах (OpenRouter, Sentry) — отдельный раздел 10.
9. Сроки и способы хранения
Серверы Оператора расположены на территории РФ (ст. 18.1 152-ФЗ). Чувствительные поля БД зашифрованы AES-256-GCM. Бэкапы хранятся в зашифрованном виде в S3 (РФ).
- Активный профиль — пока аккаунт активен. После удаления — 30 дней soft-delete, затем полная очистка.
- История чата — 5 лет с момента последней активности, далее агрегируется в обезличенную статистику.
- Логи безопасности и аудит — 1 год.
- Согласия на обработку — хранятся пожизненно (для подтверждения правомерности обработки).
10. Трансграничная передача данных
В рамках работы AI-ассистента «Ева» обезличенные тексты сообщений пользователя передаются на серверы следующих иностранных провайдеров:
- OpenRouter Inc. (США) — маршрутизация запросов к языковым моделям (в том числе DeepSeek) для генерации ответов AI. Передаются только тексты сообщений без идентификаторов пользователя (ФИО, email, телефон, Telegram ID).
- Sentry Inc. (США) — для сбора технических ошибок приложения. Перед отправкой все потенциально чувствительные поля (пароли, токены, email, телефон, доходы) автоматически заменяются на
[REDACTED].
Трансграничная передача осуществляется при условии:
- обезличенности передаваемой информации (невозможность идентификации конкретного субъекта без доступа к серверам Оператора в РФ);
- уведомления Роскомнадзора о намерении осуществлять трансграничную передачу в соответствии со ст. 12 152-ФЗ (направляется до начала такой передачи, отдельно от основного уведомления оператора);
- поскольку иностранным провайдерам передаются только обезличенные данные, не позволяющие идентифицировать субъекта без доступа к серверам Оператора в РФ, отдельного согласия на трансграничную передачу персональных данных не требуется. При изменении состава передаваемых данных согласие будет запрашиваться отдельно.
Первичная запись персональных данных (создание учётной записи, сохранение профиля, история чата) осуществляется на серверах, расположенных на территории Российской Федерации — в соответствии с требованиями ст. 18.1 152-ФЗ.
11. Права субъекта
В соответствии со ст. 14 152-ФЗ вы имеете право:
- Получить информацию об обработке ваших ПДн;
- Запросить копию данных в машиночитаемом формате;
- Исправить неточные или устаревшие данные;
- Удалить аккаунт и связанные с ним данные (право на забвение);
- Отозвать ранее данное согласие;
- Запретить использование данных в маркетинговых целях.
Запросы направляйте на support@fintal.ru. Срок ответа — 10 рабочих дней. Удаление данных — в течение 30 дней.
12. Меры защиты
- TLS 1.3 для всех соединений + HSTS preload;
- Шифрование чувствительных полей в БД (AES-256-GCM);
- Двухфакторная аутентификация для административного доступа;
- IP whitelist для admin-панели;
- Аудит всех критичных действий + хранение 1 год;
- Резервное копирование с зашифрованным хранением (gpg AES-256);
- Мониторинг подозрительной активности и автоматические алерты.
При обнаружении инцидента (утечки), затрагивающего ваши данные, Оператор уведомит Роскомнадзор в течение 24 часов о факте инцидента и в течение 72 часов — о результатах внутреннего расследования, в соответствии со ст. 21 152-ФЗ (в редакции ФЗ-420 от 30.11.2024). Невыполнение требований по защите ПДн влечёт административную ответственность по ст. 13.11 КоАП РФ — оборотные штрафы за утечки введены тем же ФЗ-420.
13. Контакты и история версий
По вопросам обработки персональных данных:
- Email: support@fintal.ru (запросы субъектов ПДн и общая поддержка)
- Форма обратной связи: /contacts
При нарушении ваших прав вы вправе обратиться в Роскомнадзор: rkn.gov.ru или по email orphus@rkn.gov.ru.
Cookies и аналитика — отдельный документ /cookies. Аналитика — Yandex Metrika.
История версий:
- v1.0 (1 апреля 2026) — первая редакция.
Существенные изменения анонсируются минимум за 14 дней до вступления в силу. Прошлые версии доступны по запросу на support@fintal.ru.