Политика конфиденциальности

Как мы обрабатываем персональные данные пользователей сервиса PayPortal

1. Оператор персональных данных

Оператор персональных данных пользователей сервиса PayPortal — Индивидуальный предприниматель Истамулов Роман Ханпашаевич.

• ИНН: 760804937707
• ОГРНИП: 320762700019160
• Email для обращений: support@techtous.ru
• Сайт: pay-portal.ru

Используя Сервис, вы выражаете согласие с настоящей Политикой и порядком обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных».

2. Какие данные мы собираем

В процессе использования Сервиса мы собираем следующие категории данных:

Идентификаторы авторизации: email и пароль (пароль хранится только как необратимый хеш bcrypt); идентификаторы из сторонних сервисов — Google ID, Яндекс ID, VK ID; имя пользователя; URL аватара.

Финансовый контент пользователя: записи о доходах и расходах, суммы, даты, описания; информация о контрагентах, в том числе ИНН (для бизнес-аккаунтов); категории и теги операций, комментарии; подписки, регулярные платежи, цели накоплений; загружаемые файлы — чеки, документы, изображения для автоматической обработки.

Параметры платежей: сумма, валюта, дата операции по подписке; идентификатор операции в платёжном сервисе ЮKassa; статус оплаты и подписки. Данные банковских карт мы не храним — они обрабатываются исключительно ЮKassa.

Технические параметры: IP-адрес (в журналах аудита); User-Agent браузера, тип устройства; языковые настройки; технические cookies (httpOnly сессия); дата и время обращений, идентификатор сессии.

Логи активности: события входа и выхода; изменения настроек безопасности (смена пароля, привязка соцсетей); действия с финансовыми записями (создание, изменение, удаление); действия в команде (для бизнес-аккаунтов).

3. Обработка финансовых документов и технологии распознавания

В составе Сервиса работают функции автоматического распознавания и анализа: сканер чеков, анализ документов, финансовый ассистент, автокатегоризация операций. Эти функции обрабатывают загружаемые пользователем изображения и текст.

Распознавание извлекает из чеков магазин, суммы и позиции, из документов — стороны, суммы и сроки. Финансовый ассистент формирует рекомендации на основе агрегированной истории операций.

Обезличивание перед передачей. Для работы этих функций мы используем внешние технологические сервисы, в том числе размещённые за пределами Российской Федерации. Перед передачей таким сервисам данные обезличиваются согласно ст. 7 152-ФЗ и приказу Роскомнадзора от 19.06.2025 № 140: из запросов удаляются идентификаторы пользователя (имя, email, телефон, идентификатор учётной записи), а финансовая информация передаётся только в агрегированном виде (суммы по категориям, количество подписок, прогресс целей) без названий конкретных операций, магазинов, подписок или целей. Картинка кассового чека передаётся без какой-либо связи с учётной записью. После обезличивания такие данные не являются персональными.

Мы не проводим автоматическое профилирование пользователей в целях принятия юридически значимых решений; не передаём финансовые данные пользователя в банки, налоговые или иные госорганы по собственной инициативе; не используем содержимое ваших чеков и операций для рекламы или для обучения сторонних моделей.

Если вы загружаете документы, содержащие персональные данные третьих лиц (например, чек с ФИО получателя или счёт-фактура), вы подтверждаете, что имеете правовое основание для их обработки.

4. Цели обработки

Персональные данные обрабатываются для следующих целей:

1. Регистрация, авторизация и идентификация пользователя.
2. Предоставление функционала Сервиса (учёт расходов, функции распознавания и анализа, аналитика).
3. Приём платежей и формирование кассовых чеков по 54-ФЗ.
4. Сервисные уведомления (email, Telegram, Max, in-app).
5. Техническая поддержка пользователей.
6. Защита от злоупотреблений и обеспечение безопасности.
7. Улучшение Сервиса на основе агрегированной статистики.
8. Выполнение требований законодательства Российской Федерации.

5. Правовые основания

Обработка персональных данных осуществляется на следующих правовых основаниях:

• Исполнение договора с пользователем — Пользовательского соглашения и Публичной оферты (п. 5 ч. 1 ст. 6 152-ФЗ).
• Явное согласие пользователя при регистрации и использовании функций распознавания и анализа (п. 1 ч. 1 ст. 6 152-ФЗ).
• Законный интерес Оператора — обеспечение безопасности, предотвращение мошенничества и злоупотреблений.
• Выполнение требований Федеральных законов № 152-ФЗ, № 54-ФЗ, № 115-ФЗ и запросов уполномоченных государственных органов.

6. Кому мы передаём данные

Мы не продаём ваши данные и не передаём их третьим лицам для рекламы. Данные передаются ограниченному кругу провайдеров строго в объёме, необходимом для оказания услуги:

• Технологические сервисы распознавания и анализа: внешние сервисы обработки изображений и текста, в том числе размещённые за пределами РФ. Передача — после обезличивания (см. раздел 3), без идентификаторов аккаунта и без названий операций.
• OAuth-провайдеры: Google, Яндекс, VK — при входе через соответствующий сервис.
• Платёжный сервис: ЮKassa (АО НКО ЮMoney) — обработка оплат подписки и формирование кассовых чеков.
• Каналы уведомлений: Telegram, Max, email-провайдер — по выбору пользователя.
• Аналитика: Яндекс.Метрика — анонимизированная статистика посещаемости. Рекламные трекеры не используются.

Часть технологических сервисов может находиться за пределами Российской Федерации. Передача осуществляется в обезличенном или псевдонимизированном виде, что не позволяет идентифицировать конкретного пользователя.

Помимо перечисленных, данные могут передаваться: с вашего явного согласия — иным лицам, указанным в этом согласии; по запросу уполномоченных государственных органов Российской Федерации в порядке, установленном законом; для защиты прав Оператора в суде.

7. Сроки хранения

Серверы, на которых хранятся персональные данные, размещены на территории Российской Федерации в соответствии с ч. 5 ст. 18 152-ФЗ.

Сроки хранения по категориям данных:

• Аккаунт и финансовые данные — до удаления аккаунта пользователем или до 12 месяцев неактивности.
• Загружаемые файлы (чеки, документы) — 3 дня (Free) или 14 дней (Pro), затем автоматическое удаление.
• Журналы аудита — 12 месяцев с момента события.
• Резервные копии — ротация не позднее 90 дней.

Удаление данных по запросу пользователя производится в течение 30 дней с момента подтверждённого запроса на support@techtous.ru.

8. Cookies и аналитика

Сервис использует две категории cookies. Необходимые cookies (access_token, refresh_token, vk_oauth_state) обеспечивают аутентификацию и защиту от CSRF-атак — без них невозможен вход в Сервис. Аналитические cookies Яндекс.Метрики используются для анонимной статистики посещаемости.

Согласие на установку cookies запрашивается при первом посещении Сайта. Управление cookies возможно через настройки браузера. Отключение необходимых cookies приведёт к невозможности использования авторизации.

Мы не используем рекламные cookies и не профилируем пользователей в маркетинговых целях.

9. Права пользователя

В соответствии с Федеральным законом № 152-ФЗ вы имеете право:

• Получить сведения о составе и условиях обработки своих персональных данных.
• Потребовать уточнения, блокирования или удаления данных.
• Отозвать согласие на обработку.
• Запросить экспорт своих данных в машиночитаемом виде.
• Удалить учётную запись.
• Обжаловать действия Оператора в Роскомнадзоре или суде.

Для реализации прав направьте запрос на support@techtous.ru. Ответ — в течение 30 дней. Отзыв согласия означает невозможность использования Сервиса и приведёт к удалению учётной записи.

10. Безопасность

Мы применяем технические и организационные меры для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения: TLS 1.2+ для всех соединений; bcrypt с 12 раундами для хеширования паролей; SHA-256 для верификационных токенов; httpOnly + secure cookies для сессий; AES-256-GCM для шифрования чувствительных данных; rate limiting на критичных эндпоинтах; CSRF-защита; стандартные HTTP-заголовки безопасности (Helmet, CSP, HSTS, X-Frame-Options); разграничение ролей и прав доступа; журналирование действий с финансовыми данными.

Несмотря на принимаемые меры, абсолютная защищённость не может быть гарантирована — ни одна информационная система не является полностью безопасной.

При обнаружении инцидента безопасности Оператор примет незамедлительные меры по его устранению и при необходимости уведомит затронутых пользователей и Роскомнадзор.

11. Изменения

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна на этой странице по адресу pay-portal.ru/privacy. При существенных изменениях, затрагивающих права пользователей, мы направим уведомление на email или через интерфейс Сервиса. Продолжение использования Сервиса после публикации новой редакции означает согласие с изменениями.

12. Связанные документы

• Публичная оферта — договор о предоставлении доступа, условия оплаты и возврата средств.
• Пользовательское соглашение — правила использования Сервиса и обязательства сторон.

Настоящая Политика конфиденциальности является неотъемлемой частью указанных документов.

Разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». По вопросам обработки данных: support@techtous.ru.