Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — Политика) описывает, как Оператор (далее — «мы», «наш сервис») обрабатывает персональные данные посетителей и зарегистрированных пользователей сайта fintal.ru (далее — Сайт). Используя Сайт, вы подтверждаете, что прочитали и поняли её условия.

Документ применяется ко всем функциям сервиса: AI-чат с Евой, рейтинги банков, калькуляторы, финансовый рентген, статьи, словарь и утренние брифинги. Мы действуем в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006.

Оператором обработки персональных данных является:

• Полное наименование: [ЗАПОЛНИТЬ ПЕРЕД ПРОДОМ — ИП/ООО]
• ИНН: [ЗАПОЛНИТЬ ПЕРЕД ПРОДОМ]
• ОГРН/ОГРНИП: [ЗАПОЛНИТЬ ПЕРЕД ПРОДОМ]
• Юридический адрес: [ЗАПОЛНИТЬ ПЕРЕД ПРОДОМ]
• Email для запросов ПДн: pdn@fintal.ru
• Номер в реестре операторов ПДн (Роскомнадзор): [ЗАПОЛНИТЬ ПОСЛЕ РЕГИСТРАЦИИ В РКН]

Уведомление о намерении осуществлять обработку персональных данных направлено в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в соответствии со ст. 22 Федерального закона № 152-ФЗ.

• Согласие субъекта (ст. 6 ч.1 п.1 152-ФЗ) — явное согласие при регистрации, отдельный чекбокс для маркетинговых рассылок и трансграничной передачи.
• Исполнение договора (ст. 6 ч.1 п.5) — Пользовательское соглашение, заключаемое при регистрации.
• Законные интересы оператора (ст. 6 ч.1 п.7) — защита от мошенничества, обеспечение работоспособности сервиса.

Оператор обрабатывает персональные данные следующих категорий субъектов:

• Пользователи сервиса — физические лица (граждане Российской Федерации в возрасте от 18 лет), добровольно зарегистрировавшиеся на Сайте.
• Посетители сайта — анонимные пользователи, чьи технические данные (IP-адрес, сведения о браузере, UTM-метки) собираются автоматически в целях аналитики и безопасности.
• Заявители — лица, направившие запрос по реализации прав субъекта ПДн.

Сервис не предназначен для пользователей младше 18 лет. Если нам станет известно о сборе данных от лица младше 18 лет — такие данные будут удалены незамедлительно.

Идентификационные: имя/ник, email, Telegram ID (опц.), телефон (опц., при подтверждении).

Финансовая информация (только если предоставлена): уровень дохода, тип занятости, категории расходов и сбережений, сведения об активных кредитах и ипотеке, финансовые цели.

Технические данные (автоматически): IP-адрес, устройство, браузер, посещённые страницы, источник перехода (UTM).

Что НЕ собирается: паспортные данные, СНИЛС, ИНН физлица, номера банковских карт, точный адрес, медицинские данные, политические или религиозные взгляды.

1. Предоставление сервиса: AI-чат, профиль пользователя, персональные рекомендации.
2. Связь с пользователем: ответы на обращения, важные уведомления (с согласия — маркетинговые).
3. Улучшение сервиса: анализ обезличенной статистики.
4. Безопасность: предотвращение мошенничества, защита от взлома, расследование инцидентов.
5. Исполнение требований закона: ответы на запросы госорганов в установленных законом случаях.

Обработка персональных данных осуществляется следующими способами:

• Автоматизированная обработка с использованием средств вычислительной техники и программного обеспечения (ст. 3 152-ФЗ).
• Обработка с использованием AI-моделей — для работы чата с финансовым AI-ассистентом «Ева» отправляются обезличенные сообщения через зашифрованное соединение. Идентификаторы пользователя (ФИО, email, телефон) AI-провайдеру не передаются.
• Смешанная обработка — отдельные операции (например, ручная модерация спорных запросов) выполняются сотрудниками Оператора с полным соблюдением требований конфиденциальности.

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Оператор не продаёт персональные данные. Передача возможна следующим именованным контрагентам:

• CPA-партнёры (Leads.su, Admitad, Pampadu, а также банки-партнёры: Сбер, Т-Банк, Альфа, ВТБ и др.) — при переходе по партнёрской ссылке передаётся только обезличенный идентификатор перехода без ФИО / email / финансовых данных.
• Технические подрядчики: хостинг (Selectel — РФ), email-рассылки (через SMTP-провайдера), Yandex Metrika (РФ-аналитика).
• Государственные органы РФ — по обоснованному запросу в соответствии с законодательством.

Об иностранных провайдерах (OpenRouter, Sentry) — отдельный раздел 10.

Серверы Оператора расположены на территории РФ (ст. 18.1 152-ФЗ). Чувствительные поля БД зашифрованы AES-256-GCM. Бэкапы хранятся в зашифрованном виде в S3 (РФ).

• Активный профиль — пока аккаунт активен. После удаления — 30 дней soft-delete, затем полная очистка.
• История чата — 5 лет с момента последней активности, далее агрегируется в обезличенную статистику.
• Логи безопасности и аудит — 1 год.
• Согласия на обработку — хранятся пожизненно (для подтверждения правомерности обработки).

В рамках работы AI-ассистента «Ева» обезличенные тексты сообщений пользователя передаются на серверы следующих иностранных провайдеров:

• OpenRouter Inc. (США) — для генерации ответов AI. Передаются только тексты сообщений без идентификаторов пользователя (ФИО, email, телефон, Telegram ID).
• Sentry Inc. (США) — для сбора технических ошибок приложения. Перед отправкой все потенциально чувствительные поля (пароли, токены, email, телефон, доходы) автоматически заменяются на[REDACTED].

Трансграничная передача осуществляется при условии:

• обезличенности передаваемой информации (невозможность идентификации конкретного субъекта без доступа к серверам Оператора в РФ);
• уведомления Роскомнадзора о намерении осуществлять трансграничную передачу в соответствии со ст. 12 152-ФЗ (направлено отдельно от основного уведомления оператора);
• получения отдельного согласия пользователя на трансграничную передачу (отдельный чекбокс при регистрации).

Первичная запись персональных данных (создание учётной записи, сохранение профиля, история чата) осуществляется на серверах, расположенных на территории Российской Федерации — в соответствии с требованиями ст. 18.1 152-ФЗ.

В соответствии со ст. 14 152-ФЗ вы имеете право:

• Получить информацию об обработке ваших ПДн;
• Запросить копию данных в машиночитаемом формате;
• Исправить неточные или устаревшие данные;
• Удалить аккаунт и связанные с ним данные (право на забвение);
• Отозвать ранее данное согласие;
• Запретить использование данных в маркетинговых целях.

Запросы направляйте на pdn@fintal.ru. Срок ответа — 10 рабочих дней. Удаление данных — в течение 30 дней.

• TLS 1.3 для всех соединений + HSTS preload;
• Шифрование чувствительных полей в БД (AES-256-GCM);
• Двухфакторная аутентификация для административного доступа;
• IP whitelist для admin-панели;
• Аудит всех критичных действий + хранение 1 год;
• Резервное копирование с зашифрованным хранением (gpg AES-256);
• Мониторинг подозрительной активности и автоматические алерты.

При обнаружении инцидента, затрагивающего ваши данные, Оператор уведомит Роскомнадзор в течение 24 часов и субъектов ПДн — в течение 72 часов в соответствии со ст. 21 152-ФЗ.

По вопросам обработки персональных данных:

• Email: pdn@fintal.ru (запросы субъектов), hello@fintal.ru (общая поддержка)
• Форма обратной связи: /contacts

При нарушении ваших прав вы вправе обратиться в Роскомнадзор: rkn.gov.ru или по email orphus@rkn.gov.ru.

Cookies и аналитика — отдельный документ /cookies. Аналитика — Yandex Metrika.

История версий:

• v1.0 (1 апреля 2026) — первая редакция.

Существенные изменения анонсируются минимум за 14 дней до вступления в силу. Прошлые версии доступны по запросу на pdn@fintal.ru.